[发明专利]一种基于透明代理设置攻击反制脚本的方法

说明书

本发明公开了一种基于透明代理设置攻击反制脚本的方法，包括有：将蜜罐陷阱应用映射给蜜罐透明代理网关，攻击者访问蜜罐透明代理网关时，蜜罐透明代理网关进行透明代理转发，将攻击者的访问请求透明代理转发至蜜罐陷阱应用，待蜜罐陷阱应用回复响应包后，蜜罐透明代理网关再将相关的蜜罐陷阱应用回复的响应包透明代理转发给攻击者；通过蜜罐透明代理网关，作为攻击者与蜜罐陷阱服务的中间人，并在蜜罐陷阱服务的响应包中按需插入攻击反制脚本，以达到对攻击者进行攻击反制的效果。

技术领域

本发明涉及计算机技术领域，尤其涉及一种基于透明代理设置攻击反制脚本的方法。

背景技术

蜜罐陷阱应用可以吸引攻击者访问，为了实现对攻击者进行攻击反制，蜜罐陷阱应用上需要提前设置好攻击反制脚本，当攻击者访问蜜罐陷阱应用时，蜜罐陷阱应用上的攻击反制脚本将会对攻击者自动发起攻击反制行为，从而可以获取攻击者身份信息、攻击设备指纹信息、攻击设备权限，达到攻击反制效果。

攻击反制脚本的传统设置方式，需要提前将攻击反制脚本提前设置到蜜罐陷阱应用的代码程序中，才能实现攻击反制效果，要求将攻击反制脚本提前设置到蜜罐陷阱应用的代码程序中，每次设置都会涉及到陷阱应用的代码程序的变更，若攻击者入侵蜜罐陷阱应用后，提前设置好的攻击反制脚本容易被攻击者发现。攻击反制脚本的传统设置方式存在设置不灵活、隐蔽性差的问题。因此，解决这一类的问题显得尤为重要。

发明内容

针对上述问题，本发明提供了一种基于透明代理设置攻击反制脚本的方法，通过蜜罐透明代理网关，作为攻击者与蜜罐陷阱服务的中间人，并在蜜罐陷阱服务的响应包中按需插入攻击反制脚本，以达到对攻击者进行攻击反制的效果。

为了实现上述技术方案，本发明提供了一种基于透明代理设置攻击反制脚本的方法，包括有：将蜜罐陷阱应用映射给蜜罐透明代理网关，攻击者访问蜜罐透明代理网关时，蜜罐透明代理网关进行透明代理转发，将攻击者的访问请求透明代理转发至蜜罐陷阱应用，待蜜罐陷阱应用回复响应包后，蜜罐透明代理网关再将相关的蜜罐陷阱应用回复的响应包透明代理转发给攻击者。

进一步改进在于：所述蜜罐透明代理网关具备对攻击者发起中间人攻击的条件，蜜罐透明代理网关在蜜罐陷阱应用的回复数据包中按需插入不同的攻击反制脚本，隐蔽地让攻击者自动执行，并对攻击者实施攻击反制。

进一步改进在于，具体包括以下反制步骤：

步骤一：攻击者（IP：1.1.1.1）访问蜜罐透明代理网关（IP：2.2.2.1），发送请求数据包；

步骤二：蜜罐透明代理网关（IP：2.2.2.1）转发请求数据包给蜜罐陷阱服务，修改请求数据包中的源IP地址为2.2.2.1，修改请求数据包中的目标IP地址为：2.2.2.2；

步骤三：蜜罐陷阱服务收到蜜罐透明代理网关的请求数据包后，正常返回响应包，响应包中源IP地址为2.2.2.2，目标IP为2.2.2.1；

步骤四：蜜罐透明代理网关收到蜜罐陷阱服务返回的响应包，按需插入攻击反制脚本，本例子中插入了攻击反制脚本1，同时修改响应包中的源IP为2.2.2.1，修改目标IP为攻击者IP：1.1.1.1，最后将响应包转发给攻击者；

步骤五：攻击者接收到响应包后，自动执行攻击反制脚本1，自动将攻击反制脚本1的执行结果返回给蜜罐。

进一步改进在于，当攻击者后续对蜜罐透明代理网关再发起访问请求时，蜜罐透明代理网关充当中间人的角色，在返回响应包的同时，按需插入攻击反制脚本，

进一步改进在于，具体反制步骤为：

步骤一：当攻击者（IP：1.1.1.1）再次访问蜜罐透明代理网关（IP：2.2.2.1）时，再次发送请求数据包；

步骤二：蜜罐透明代理网关（IP：2.2.2.1）转发请求数据包给蜜罐陷阱服务，修改请求数据包中的源IP地址为2.2.2.1，修改请求数据包中的目标IP地址为：2.2.2.2；