一、 网络架构
WAF拟态防护通常需要和WAF进行配合使用,通过WAF将攻击者的流量转发到拟态蜜罐。拟态蜜罐进而可以对攻击者的请求在学习的业务特征的基础上注入各类漏洞信息,从而达到欺骗攻击者的效果。
三、 验证蜜罐功能
验证蜜罐对真实业务的学习和拟真
从蜜罐的"操作->测试"中可以获取近似如下格式的测试请求
curl "http://honeypot_ip:honeypot_port" \ -H "Host: example.com" \ -H "X-Forwarded-Host: example.com" \ -H "X-Forwarded-Proto: scheme" \ -H "X-Forwarded-Port: port" \ -H "X-Cmd-Token: test_token"
执行测试请求后,可以确认是否能够正常返回业务的首页信息,如果正常返回则代表业务学习功能正常
验证蜜罐漏洞欺骗的注入效果
将前面测试请求的honeypot_ip、honeypot_port、example.com、scheme、port、test_token提取出来,用于替换如下命令进行各种漏洞效果的测试
测试LFI漏洞效果
curl -v "http://honeypot_ip:honeypot_port/f/login?file=%2Fetc%2Fgroup&pp01000=1" \ -H "Host: exemple.com" \ -H "X-Forwarded-Host: exemple.com" \ -H "X-Forwarded-Proto: scheme" \ -H "X-Forwarded-Port: port" \ -H "X-Cmd-Token: test_token"
测试SQL盲注效果
curl -v "http://honeypot_ip:honeypot_port/b/yzlxs/login?p01001=6666666%27or%20sleep(10)=%27" \
-H "Host: exemple.com" \
-H "X-Forwarded-Host: exemple.com" \
-H "X-Forwarded-Proto: scheme" \
-H "X-Forwarded-Port: port" \
-H "X-Cmd-Token: test_token"
- 反序列化、SSRF、DNSLog欺骗等更多漏洞可以联系技术支持(联系方式见文档末尾)配合测试
四、 WAF转发配置
目前拟态蜜罐只需WAF支持转发功能即可和WAF进行联动欺骗,目前该文档主要提供长亭雷池及ModSecurity的联动配置方案,其它开源/商业WAF可以联系技术支持配合测试
雷池联动
进入雷池资产管理页面(安全管理->资产管理->资产列表),在需要欺骗的资产上选择查看详情
在"请求处理"Tab选择"HTTP 头设置",按照下图的方式进行设置
- 进入雷池的规则配置页面(安全管理->自定义规则->全局自定义规则),选择指定的规则命中流量转发至蜜罐,达到欺骗效果。转发配置如下图
- 后续黑客的攻击流量就会被转发至WAF拟态蜜罐,WAF拟态蜜罐能够正常模拟业务返回,同时并注入漏洞欺骗信息
通用WAF联动
在WAF规则中,通过配置选择将攻击流量转发至蜜罐,进行欺骗。如ModSecurity规则可以选择proxy Action 将攻击流量进行转发
转发时建议配置如下Header字段,以达到更好的欺骗效果
您的网站使用的协议,通常为http/https
X-Forwarded-Proto: http
您的网站对应的域名
X-Forwarded-Host: example.com
您的网站对应的端口
X-Forwarded-Port: 80
生成蜜罐分配的Token信息
X-Cmd-Token: this_is_token
- 后续黑客的攻击流量就会被转发至WAF拟态蜜罐,WAF拟态蜜罐能够正常模拟业务返回,同时并注入漏洞欺骗信息
配置问题
建议加入技术支持群(QQ:179439196),咨询技术支持协助解决