- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
主动诱捕技术白皮书
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
随着内网攻击技术和手段的不断演进,入侵者往往会在前期利用各类扫描技术(如主机发现、端口扫描、服务指纹识别等),梳理和还原内网的拓扑结构,识别关键服务器、网关设备以及重要业务系统的位置与关系。同时,他们还会针对常见端口进行细致探测,例如针对 80/443 端口,识别 Web 服务及其中间件版本,尝试利用已知漏洞实施代码执行或权限提升攻击。通过上述扫描与信息收集,入侵者可以有针对性地选择漏洞利用、弱口令爆破、横向移动等一系列攻击手段,为后续深入渗透和控制内网奠定基础,从而对内网安全构成严重威胁。
而传统被动防御手段难以及时发现和精准识别这些隐蔽的扫描行为,缺乏主动感知和干预能力。主动诱捕技术因此应运而生,通过对内网扫描、探测等可疑行为的实时感知,及时识别潜在入侵威胁;同时利用伪造的主机、端口和服务响应,诱导攻击者将后续攻击流量集中引向诱捕服务器,与之进行深度交互。借助这一过程,安全人员可以持续监测、分析并溯源攻击行为,有效分散和延缓对真实资产的打击,提升内网用户的整体安全防护能力。
主动诱捕技术的优势主要体现在以下几个方面:
· 实时监测与高感知能力:能够实时捕捉内网中的扫描和攻击行为,及时识别潜在威胁,提升防护的时效性。
· 主动引导攻击者交互:通过伪造虚假目标响应,主动引诱攻击者与诱捕系统深入交互,有效分散攻击注意力,减轻对真实网络的威胁。
· 深度威胁分析与溯源:诱捕服务器配备多种沙箱环境和分析工具,能够深入分析攻击手法,追踪攻击源头,提升威胁感知和溯源能力。
· 精准监控和高效引流:通过诱捕探针和诱捕服务器的协同工作,实现对内网扫描行为的精准监控和高效引流,保护真实网络设备和内部用户安全。
· 适应多样化攻击场景:支持离线IP诱捕和静态诱捕等多种诱捕方式,灵活应对不同类型的内网扫描和攻击行为。
主动诱捕是一种针对内网安全的防护技术,旨在检测并防范针对内网的攻击行为。入侵者或恶意软件通常会扫描内网结构及主机或服务器的端口开放状态,为后续攻击做准备。主动诱捕技术能够实时感知内网中的扫描行为,及时识别潜在威胁。通过伪造虚假攻击目标的响应报文,诱导攻击者与诱捕服务器进行深入交互,从而吸引攻击者注意力,分析攻击手法并追踪攻击源,有效提升内网安全防护能力,保障内部用户的安全。
主动诱捕功能由诱捕探针与诱捕服务器协同实现。诱捕探针负责在内网实时监测并识别扫描/攻击行为、伪造响应并将可疑流量引流,而诱捕服务器对引流流量进行仿真交互和深度分析,两者协同构成完整的主动诱捕防护闭环。
诱捕探针是指开启主动诱捕功能的网络设备,部署在内网关键位置,负责实时监控内网中的扫描和攻击行为。它能够识别可疑的扫描请求(如ARP扫描、TCP端口扫描),并通过伪造响应报文,将攻击者的后续流量引导至诱捕服务器进行深度交互和分析。诱捕探针的主要作用包括:
· 实时捕获内网扫描行为,实现对潜在威胁的快速感知。
· 主动伪造虚假响应,诱导攻击者与诱捕环境交互,分散攻击注意力。
· 将攻击流量转发至诱捕服务器,进行威胁分析和溯源。
诱捕探针需要对攻击者发来的ARP请求报文进行处理,并向攻击者发送ARP响应报文,因此诱捕探针需要在被扫描网段内存在处于UP状态的三层以太网接口、三层以太网子接口或VLAN接口。同时诱捕探针需部署在攻击流量必经的关键路径上,以确保能够有效捕获并引流相关流量。
诱捕服务器是部署多种沙箱环境和安全分析工具的第三方威胁感知与溯源系统,通过模拟真实设备、系统和应用环境,接收诱捕探针引流的攻击流量并与攻击者持续交互,集中分散其对真实资产的注意力,深入分析攻击手法、追踪攻击源头,为安全团队提供详尽的攻击行为数据和溯源线索,是主动诱捕技术中的核心分析平台。诱捕服务器的主要职责包括:
· 接收诱捕探针引入的攻击流量,识别流量中的攻击行为并进行详细分析。
· 执行沙箱分析,自动运行并分析恶意代码或攻击行为,识别攻击特征和手段。
· 溯源攻击源头,通过分析攻击路径和行为轨迹,帮助定位攻击者。
诱捕白名单是主动诱捕系统中的一项策略控制机制,用于精确指定哪些通信对象不参与诱捕。它分为两类:
· 目的地址白名单:将某些IP地址加入目的地址白名单后,诱捕探针在检测到访问这些IP的流量时,不会对其进行诱捕和引流处理,而是按正常转发路径处理。例如:对实际在用但行为特殊的业务主机或老旧设备(如不响应ARP的打印机)进行保护,避免其被误判为诱捕目标。
· 源地址白名单:将某些IP地址加入源地址白名单后,诱捕探针不会对这些源地址发起的流量执行诱捕操作。通常用于排除安全运维设备、扫描工具、管理终端等可信源,避免对正常巡检、资产探测等行为产生干扰。
离线IP诱捕适用于内网中存在大量空闲或暂未使用地址的场景,通过监测针对这些离线IP的异常ARP扫描,将可疑流量引导至诱捕服务器,用于发现入侵者或木马在内网进行主机探测和拓扑扫描的行为,实现早期预警和溯源分析。
如图2-1所示,攻击者通过计算机病毒或木马程序侵入内网后,通常会利用被感染的主机或服务器对内部网络结构进行扫描,这种扫描行为常表现为持续发送ARP请求报文。离线IP诱捕功能能够监测针对离线IP地址的ARP请求,并通过伪造ARP响应报文,将攻击者的后续流量引导至诱捕服务器,进行深度交互与分析。
离线IP诱捕支持两种模式:
· 严格诱捕模式:当诱捕探针检测到攻击者对指定网段内离线IP地址发起ARP扫描时,即刻将其后续发往该IP的流量引导至诱捕服务器。该模式适用于安全要求高、对误报容忍度低的核心业务网段和关键服务器网段,可快速捕获明确的扫描与入侵行为。
· 非严格诱捕模式:诱捕探针周期性统计攻击者针对指定网段ARP请求的发送速率,当该速率达到预设的ARP扫描触发阈值后,才将其后续发往该网段内离线IP地址的流量引导至诱捕服务器。该模式适用于终端数量多、日常探测行为较多的办公网、园区网等环境,可过滤零星、偶发访问,更侧重识别大范围、持续性的自动化扫描和蠕虫传播行为。
图2-1 离线IP诱捕组网图
静态诱捕适用于需要重点监控或隔离的固定IP/网段场景,如关键业务服务器、闲置网段或敏感资产所在网段,通过将所有访问这些指定IP的流量视为潜在攻击并统一引流到诱捕服务器,用于发现定向扫描、端口探测和异常访问行为。
如图2-2所示,攻击者通过计算机病毒或木马程序侵入内网后,可能会针对某个固定IP地址发起端口扫描或其他基于TCP协议的访问。静态诱捕功能将所有访问该指定IP地址的流量视为潜在攻击,并将其引流至诱捕服务器,进行深度交互与分析。
静态诱捕的触发条件为:当诱捕探针监测到攻击者对指定网段内IP地址发起ARP或TCP扫描行为时,无论该IP地址是否处于在线状态,诱捕探针均会将攻击者后续发往该IP地址的流量引导至诱捕服务器。
主动诱捕功能通过诱捕探针与诱捕服务器的协同运作,实现对内网扫描行为的实时监测、流量引导及深度分析。其具体运行流程如图2-3所示,并按以下步骤执行:
(1) 持续监测与状态切换
诱捕探针部署于内网关键位置,持续监控网络中的扫描行为(如ARP扫描、TCP端口扫描)。一旦检测到符合预设诱捕触发条件的扫描活动,诱捕探针立即切换至诱捕状态,准备进行后续处理。
(2) 伪造响应与流量引导
针对识别为攻击流量的ARP请求,诱捕探针主动伪造ARP响应报文,模拟被扫描IP地址回复攻击者,从而将攻击者的后续通信流量引导至诱捕探针本身。
(3) 引流表项创建与流量转发
诱捕探针接收攻击者发往目标IP的后续报文后,在本地创建并维护诱捕引流表项。该表项记录关键信息,包括源IP地址、目的IP地址、端口号、诱捕类型及表项老化时间等。随后,诱捕探针将匹配该表项的流量转发至诱捕服务器。
(4) 深度分析与响应生成
诱捕服务器接收引流流量后,利用内置的沙箱环境及安全分析工具,对攻击行为进行深度解析与行为模拟,并生成相应的虚假响应报文回传至诱捕探针。
(5) 响应转发与攻击交互
诱捕探针将诱捕服务器生成的响应报文转发给攻击者,实现与攻击者的持续交互,从而达到延缓攻击进程、分散攻击注意力及收集攻击特征的目的。
在诱捕引流表项的有效老化时间内,所有匹配该表项的流量均经由诱捕探针转发至诱捕服务器进行处理;表项超时老化后,相关流量恢复常规处理,诱捕探针继续执行内网扫描行为的监测与诱捕流程,从而形成闭环的主动防护机制。
图2-3 主动诱捕原理图(以离线IP诱捕为例)
某公司内部网络A为办公网络,网络B为业务网络,网络A中有一台老式打印机。现需要在公司内网部署主动诱捕系统,对入侵内网的攻击行为进行检测与防范。具体要求如下:
· 内部网关Device作为诱捕探针,另外部署一台诱捕服务器与之联动。
· 针对办公网络A和业务网络B配置离线IP诱捕功能,对网络中的异常ARP扫描进行诱捕。
· 针对业务网络B中的闲置网段配置静态诱捕功能,诱捕所有访问该闲置网段的流量。
· 老式打印机不会应答ARP请求,需要将其IP地址加入目的地址白名单中。
图3-1 企业内部网络主动诱捕场景示意图
支持
