|
“当前已有100+用户参与分享,共计发放奖励60000+“
一、蜜罐技术产生背景
简介: 内网主机变成僵尸主机之后一般会向公网恶意域名地址(比如:访问C&C服务器)发起访问,首先主机会向DNS服务器发送解析请求,当主机使用的是内网DNS服务器时,DNS请求是先发给内网的DNS服务器,但最终会请求到公网DNS服务器,流量经过AF,AF识别到是内网DNS服务器发起的请求,所以僵尸网络防护把内网DNS服务器当成是僵尸主机,导致无法正常的定位到真正的内网僵尸主机
大致可以分为以下几步:
1、主机受到感染,访问公网恶意域名地址,连接C&C服务器,获取指令;
2、主机会向内网DNS服务器发送恶意域名的解析请求;
3、内网DNS服务器会再向公网DNS服务器发送解析请求;
4、AF识别到是内网DNS服务器的请求,所以僵尸网络防护把内网DNS服务器当成是僵尸主机;
二、蜜罐技术原理
1、首先僵尸主机会向内网DNS服务器发送恶意域名的解析请求;
2、内网DNS收到后,向公网DNS转发;
3、DNS请求数据经过AF后,AF检测到是解析恶意域名地址;
4、AF会主动回复DNS请求,但解析的是固定IP地址;
5、当内网DNS收到回复之后,转发给僵尸主机;
6、僵尸主机收到DNS回复,就会主动访问解析到的IP地址;
7、访问此IP地址的数据经过AF之后,定位到内网真正僵尸主机;
三、AF上配置
1、配置僵尸网络防护模板,这里我们使用默认模板;
2、配置僵尸网络防护策略;
配置源区域和目的区域(源区域为内网,目的区域为外网);
按需求配置处置动作;
填写内网DNS服务器地址,如有多个DNS服务器,一行一个;
3、配置恶意域名重定向功能(蜜罐功能配置);
选择配置恶意域名重定向;
这里我们选择某公司在线蜜罐地址;
重要:一定要保存配置,否则不生效;
注意事项:
1、内网为DNS服务器代理环境,内网用户上网的流量是双向经过AF设备;
2、蜜罐功能是在AF7.1及以上版本开始支持的,又名“恶意域名重定向”;
3、旁路镜像模式不支持此功能;
4、蜜罐IP地址设置,此IP地址不能与内网网段冲突,访问此IP的数据需要经过AF;
5、内网存在DNS服务器时必须要进行设置,用于定位内网感染僵尸网络主机的真实IP地址; | 
发表于 2024-2-24 11:28
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师3级 
