目  錄

1 主動誘捕

1.1 主動誘捕簡介

1.1.1 誘捕探針和誘捕服務器

1.1.2 主動誘捕類型

1.1.3 主動誘捕流程

1.2 主動誘捕與硬件適配關係

1.3 主動誘捕配置任務簡介

1.4 配置誘捕服務器的IP地址

1.5 配置離線IP誘捕功能

1.6 配置靜態誘捕功能

1.7 配置誘捕探針的IP地址掃描速率

1.8 配置誘捕白名單

1.9 開啟主動誘捕功能

1.10 主動誘捕的顯示和維護

1.11 主動誘捕典型配置舉例

1.11.1 主動誘捕基本組網典型配置舉例

 

1 主動誘捕

1.1  主動誘捕簡介

主動誘捕是一種內網安全防護特性，用於對內網發起的攻擊行為進行檢測與防範。入侵內網的黑客或惡意軟件通常會對內部網絡結構以及內網主機或服務器的端口開放情況進行掃描分析，以便進行下一步攻擊。主動誘捕技術通過感知內網中的掃描行為，可以及時發現入侵威脅，並通過偽造攻擊目標的響應報文，誘騙攻擊者與誘捕服務器進行深度交互，借以吸引攻擊者的注意力，分析和溯源攻擊行為，保護內網用戶的安全。

1.1.1  誘捕探針和誘捕服務器

主動誘捕功能由誘捕探針和誘捕服務器配合實現：

·     誘捕探針：開啟主動誘捕功能的設備被稱為誘捕探針。誘捕探針用於監視內網中的掃描行為，並將攻擊流量引導至誘捕服務器。

·     誘捕服務器：誘捕服務器是部署了各類沙箱與分析工具的第三方威脅感知和溯源係統，其通過模擬真實網絡中的設備、係統以及應用，誘騙攻擊者與之持續交互，保護真實網絡中的設備不受攻擊。

1.1.2  主動誘捕類型

1. 離線IP誘捕

如圖1-1所示，攻擊者通過計算機病毒或木馬程序侵入內網後，首先借助被感染的主機或服務器對內部網絡結構進行掃描，通常表現為被感染的主機或服務器持續性地發送ARP請求報文。離線IP誘捕功能可以監測針對離線IP地址的ARP請求，並通過偽造ARP響應報文，將來自攻擊者的後續流量引導至誘捕服務器進行深度交互與分析。

離線IP誘捕有如下兩種模式，不同模式的誘捕觸發條件有所不同：

·     嚴格誘捕模式下，當誘捕探針監測到某攻擊者針對指定網段內離線IP地址的ARP掃描行為，誘捕探針就會將攻擊者後續發往該IP地址的流量引導至誘捕服務器。

·     非嚴格誘捕模式下，誘捕探針周期性地統計某攻擊者針對指定網段的ARP請求報文的發送速率。當該速率達到ARP掃描行為的誘捕觸發閾值後，誘捕探針將攻擊者後續發往指定網段內離線IP地址的流量引導至誘捕服務器。

圖1-1 離線IP誘捕組網圖

 

 

2. 靜態誘捕

如圖1-2所示，攻擊者通過計算機病毒或木馬程序侵入內網後，可能對某個固定的IP地址進行端口掃描或其他基於TCP協議的訪問。靜態誘捕功能會將所有訪問指定IP地址的流量視為攻擊流量，並將其引流到誘捕服務器進行深度交互與分析。

靜態誘捕的觸發條件為，當誘捕探針監測到攻擊者針對指定網段內IP地址的ARP或TCP掃描行為，無論該IP地址是否在線，誘捕探針都會將攻擊者後續發往該IP地址的流量引導至誘捕服務器。

圖1-2 靜態誘捕組網圖

 

 

1.1.3  主動誘捕流程

主動誘捕功能按如圖1-3所示流程運行：

(1)     誘捕探針持續對內網中的掃描行為進行監測，一旦監測到符合誘捕觸發條件的掃描行為，隨即進入誘捕狀態。

(2)     誘捕探針對於被認為是攻擊流量的ARP請求報文進行響應，通過構造ARP響應報文，代替被掃描IP回複給攻擊者，將攻擊者的後續報文引導至誘捕探針。

(3)     誘捕探針接收到攻擊者的後續報文後，在誘捕引流表中創建一個表項（包括報文的源和目的IP地址、源和目的端口、誘捕類型、表項老化時間等信息），然後將報文轉發至誘捕服務器進行分析。

(4)     誘捕服務器利用內置的沙箱環境構造相應的響應報文，並將報文回送給誘捕探針。

(5)     誘捕探針將響應報文轉發給攻擊者，完成與攻擊者的一輪交互。

在誘捕引流表項的老化時間內，匹配該表項的流量將被誘捕探針轉發至誘捕服務器進行處理；誘捕引流表項老化後，該表項所對應的流量將不再進行引流，誘捕探針按上述流程重新對流量進行監測和誘捕。

圖1-3 主動誘捕原理圖（以離線IP誘捕為例）

 

1.2  主動誘捕與硬件適配關係

本功能的支持情況與設備型號有關，請以設備實際情況為準。

F1000係列	型號	說明
F1000-X-G5係列	F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5	支持
F1000-X-XI係列	F1000-D-XI、F1000-E-XI	支持

 

F100係列	型號	說明
F100-X-G5係列	F100-A-G5、F100-C-G5、F100-E-G5、F100-M-G5、F100-S-G5	支持
F100-C-A係列	F100-C-A2、F100-C-A1	不支持
F100-X-XI係列	F100-A-XI	不支持
	F100-C-XI、F100-S-XI	支持

‌

1.3  主動誘捕配置任務簡介

主動誘捕配置任務如下：

(1)     配置誘捕服務器的IP地址

(2)     配置離線IP誘捕功能

(3)     配置靜態誘捕功能

(4)     （可選）配置誘捕探針的IP地址掃描速率

(5)     （可選）配置誘捕白名單

(6)     開啟主動誘捕功能

1.4  配置誘捕服務器的IP地址

1. 功能簡介

誘捕服務器是部署了各類沙箱與分析工具的第三方威脅感知和溯源係統，通過精心構造的仿真環境誘騙攻擊者與之深度交互，分析和溯源攻擊行為的同時，保護真實網絡免遭攻擊。

2. 配置限製和指導

誘捕探針需要與誘捕服務器之間路由可達。

不能將VRRP備份組的虛擬IP地址作為誘捕探針連接誘捕服務器時使用的源IP地址。有關VRRP備份組的詳細介紹，請參見“可靠性配置指導”中的“VRRP”。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入誘捕視圖。

deception

(3)     配置誘捕服務器的IP地址。

decoy destination destination-ip [ source source-ip ] [ dest-port destination-port ] [ vpn-instance vpn-instance-name ]

缺省情況下，未配置誘捕服務器的IP地址。

1.5  配置離線IP誘捕功能

1. 功能簡介

離線IP誘捕功能通過監測針對檢測網段的ARP掃描行為，實現對攻擊者後續發往檢測網段內離線IP地址的流量進行誘捕。

2. 配置限製和指導

誘捕探針需要在檢測網段內存在處於開啟狀態的三層以太網接口、三層以太網子接口或VLAN接口。

在使用靜態ARP表項等不可老化ARP表項的固定組網環境中，設備之間轉發報文隻需參考已有的ARP表項，無需發送ARP請求。建議在這種情況下開啟嚴格誘捕模式。

所有檢測網段內包含的IP地址個數之和不能超過10240。

檢測網段不能包含0.0.0.0或255.255.255.255。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入誘捕視圖。

deception

(3)     配置檢測網段。

detect-network [ id id-number ] ip-address [ mask | mask-length ] [ vpn-instance vpn-instance-name ]

缺省情況下，不存在檢測網段配置。

(4)     配置ARP掃描行為的誘捕觸發閾值。

arp-scan threshold threshold-value

缺省情況下，ARP掃描行為的誘捕觸發閾值為10次/10秒。

(5)     （可選）開啟嚴格誘捕模式。

deception mode strict

缺省情況下，未開啟嚴格誘捕模式。

1.6  配置靜態誘捕功能

1. 功能簡介

靜態誘捕功能用於對所有訪問誘餌網段的流量進行誘捕。

2. 配置限製和指導

 

如果離線IP誘捕中的檢測網段與靜態誘捕中的誘餌網段存在重合，設備將對重合部分的IP地址進行靜態誘捕處理。

誘餌網段不能包含0.0.0.0或255.255.255.255。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入誘捕視圖。

deception

(3)     配置誘餌網段。

decoy-network [ id id-number ] destination ip-address [ mask | mask-length ] [ vpn-instance vpn-instance-name ]

缺省情況下，不存在誘餌網段配置。

1.7  配置誘捕探針的IP地址掃描速率

1. 功能簡介

離線IP誘捕功能需要誘捕探針維護一張關於檢測網段內所有IP地址在線狀態的信息表。

開啟主動誘捕功能後，誘捕探針以30分鍾為周期主動對檢測網段發起IP地址掃描，並根據響應情況更新IP地址的在線狀態。在一個檢測周期內，誘捕探針以指定速率依次向檢測網段內的IP地址發送ARP請求。

2. 配置限製和指導

請根據實際網絡環境，合理配置誘捕探針的IP地址掃描速率：如果速率配置過大，可能對內部網絡造成衝擊；如果速率配置過小，IP地址在線狀態需要較長時間才能更新完全。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入誘捕視圖。

deception

(3)     配置誘捕探針的IP地址掃描速率。

ip-state detect rate rate-number

缺省情況下，誘捕探針的IP地址掃描速率為30個ARP請求/秒。

1.8  配置誘捕白名單

1. 功能簡介

誘捕白名單分為目的地址白名單和源地址白名單：

·     對於目的地址白名單中的IP地址，誘捕探針不會對訪問該IP地址的流量進行誘捕。

·     對於源地址白名單中的IP地址，誘捕探針不會對該IP地址發起的流量進行誘捕。

2. 配置限製和指導

·     對於不會響應ARP請求的設備（例如老式打印機），可以將其IP地址加入目的地址白名單中，以免正常訪問設備的流量被誘捕；對於會周期性探測網絡的設備（例如網管設備），可以將其IP地址加入源地址白名單中，以免其被判定為攻擊者而進行誘捕。

·     如果誘捕白名單中的IP地址與誘餌網段或檢測網段中的IP地址重合，設備將會把重合部分的IP地址視為誘捕白名單進行處理。

·     誘捕白名單不能包含0.0.0.0或255.255.255.255。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入誘捕視圖。

deception

(3)     配置誘捕白名單。

allowlist [ id id-number ] { destination | source } ip-address [ mask | mask-length ] [ vpn-instance vpn-instance-name ]

缺省情況下，不存在誘捕白名單配置。

1.9  開啟主動誘捕功能

1. 功能簡介

開啟主動誘捕功能後，設備通過感知內網中的掃描行為，將可疑流量引導至誘捕服務器進行深度分析。

2. 配置限製和指導

 

需要至少配置一個誘餌網段（執行decoy-network命令）或檢測網段（執行detect-network命令），主動誘捕功能才能生效。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入誘捕視圖。

deception

(3)     開啟主動誘捕功能。

deception enable

缺省情況下，主動誘捕功能處於關閉狀態。

1.10  主動誘捕的顯示和維護

在完成上述配置後，在任意視圖下執行display命令可以顯示主動誘捕的運行情況，通過查看顯示信息驗證配置的效果。

在用戶視圖下執行reset命令可以清除主動誘捕的統計信息。

表1-1 主動誘捕配置的顯示和維護

操作	命令
顯示ARP掃描行為的統計信息	display deception arp-scan [ source ip-address ] statistics [ slot slot-number ]
顯示誘捕服務器的狀態	display deception decoy status
顯示檢測網段內IP地址的在線情況	display deception ip-state [ ip-address ] [ slot slot-number ]
顯示誘捕引流表項	display deception redirect [ source-ip ip-address ] [ destination-ip ip-address ] [ destination-port port ] [ slot slot-number ]
清除檢測網段內IP地址的在線情況記錄	reset deception ip-state
清除指定誘捕引流表項	reset deception redirect [ source-ip ip-address ] [ destination-ip ip-address ] [ destination-port port ]

 

1.11  主動誘捕典型配置舉例

1.11.1  主動誘捕基本組網典型配置舉例

1. 組網需求

某公司內部網絡A（10.0.1.0/24）為辦公網絡，網絡B（10.0.2.0/24）為業務網絡，網絡A中有一台IP地址為10.0.1.38的老式打印機。現需要在公司內網部署主動誘捕係統，對入侵內網的攻擊行為進行檢測與防範。具體要求如下：

·     內部網關Device作為誘捕探針，另外部署一台IP地址為30.0.0.1的誘捕服務器與之聯動。

·     針對辦公網絡A和業務網絡B配置離線IP誘捕功能，對網絡中的異常ARP掃描進行誘捕。

·     針對業務網絡B中的閑置網段10.0.2.0/28配置靜態誘捕功能，誘捕所有訪問該閑置網段的流量。

·     老式打印機不會應答ARP請求，需要將其IP地址加入目的地址白名單中。

2. 組網圖

圖1-4 主動誘捕配置組網圖

‌

3. 配置準備

完成誘捕服務器相關配置，具體配置方法請參見誘捕服務器的產品手冊。

4. 配置步驟

(1)     配置接口IP地址

# 根據組網圖中規劃的信息，配置各接口的IP地址，具體配置步驟如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 20.0.0.1 24

[Device-GigabitEthernet1/0/1] quit

請參考以上步驟配置其他接口的IP地址，具體配置步驟略。

(2)     將接口加入安全域

# 請根據組網圖中規劃的信息，將接口加入對應的安全域，具體配置步驟如下。

[Device] security-zone name DMZ

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1

[Device-security-zone-DMZ] quit

[Device] security-zone name networkA

[Device-security-zone-networkA] import interface gigabitethernet 1/0/2

[Device-security-zone-networkA] quit

[Device] security-zone name networkB

[Device-security-zone-networkB] import interface gigabitethernet 1/0/3

[Device-security-zone-networkB] quit

(3)     配置安全策略保證網絡互通

[Device] security-policy ip

[Device-security-policy-ip] rule name neta-netb

[Device-security-policy-ip-0-neta-netb] action pass

[Device-security-policy-ip-0-neta-netb] source-zone networkA

[Device-security-policy-ip-0-neta-netb] destination-zone networkB

[Device-security-policy-ip-0-neta-netb] quit

[Device-security-policy-ip] rule name neta-dmz

[Device-security-policy-ip-1-neta-dmz] action pass

[Device-security-policy-ip-1-neta-dmz] source-zone networkA

[Device-security-policy-ip-1-neta-dmz] destination-zone DMZ

[Device-security-policy-ip-1-neta-dmz] quit

[Device-security-policy-ip] rule name dmz-neta

[Device-security-policy-ip-2-dmz-neta] action pass

[Device-security-policy-ip-2-dmz-neta] source-zone DMZ

[Device-security-policy-ip-2-dmz-neta] destination-zone networkA

[Device-security-policy-ip-2-dmz-neta] quit

[Device-security-policy-ip] rule name dmz-netb

[Device-security-policy-ip-3-dmz-netb] action pass

[Device-security-policy-ip-3-dmz-netb] source-zone DMZ

[Device-security-policy-ip-3-dmz-netb] destination-zone networkB

[Device-security-policy-ip-3-dmz-netb] quit

[Device-security-policy-ip] rule name local-dmz

[Device-security-policy-ip-4-local-dmz] action pass

[Device-security-policy-ip-4-local-dmz] source-zone Local

[Device-security-policy-ip-4-local-dmz] destination-zone DMZ

[Device-security-policy-ip-4-local-dmz] source-ip-host 20.0.0.1

[Device-security-policy-ip-4-local-dmz] destination-ip-host 30.0.0.1

[Device-security-policy-ip-4-local-dmz] quit

[Device-security-policy-ip] rule name dmz-local

[Device-security-policy-ip-5-dmz-local] action pass

[Device-security-policy-ip-5-dmz-local] source-zone DMZ

[Device-security-policy-ip-5-dmz-local] destination-zone Local

[Device-security-policy-ip-5-dmz-local] source-ip-host 30.0.0.1

[Device-security-policy-ip-5-dmz-local] destination-ip-host 20.0.0.1

[Device-security-policy-ip-5-dmz-local] quit

[Device-security-policy-ip] rule name local-neta

[Device-security-policy-ip-6-local-neta] action pass

[Device-security-policy-ip-6-local-neta] source-zone Local

[Device-security-policy-ip-6-local-neta] destination-zone networkA

[Device-security-policy-ip-6-local-neta] quit

[Device-security-policy-ip] rule name local-netb

[Device-security-policy-ip-7-local-netb] action pass

[Device-security-policy-ip-7-local-netb] source-zone Local

[Device-security-policy-ip-7-local-netb] destination-zone networkB

[Device-security-policy-ip-7-local-netb] quit

[Device-security-policy-ip] quit

(4)     配置路由

本舉例僅以靜態路由方式配置路由信息。實際組網中，請根據具體情況選擇相應的路由配置方式。

# 配置Device到誘捕服務器的靜態路由，本舉例假設下一跳的IP地址為20.0.0.2，具體配置步驟如下。

[Device] ip route-static 30.0.0.1 24 gigabitethernet 1/0/1 20.0.0.2

(5)     配置主動誘捕功能

# 配置誘捕服務器的IP地址為30.0.0.1，誘捕探針連接誘捕服務器時使用的IP地址為20.0.0.1。

[Device] deception

[Device-deception] decoy destination 30.0.0.1 source 20.0.0.1

# 配置離線IP誘捕功能，檢測網段配置為10.0.1.0/24和10.0.2.0/24，ARP掃描行為的誘捕觸發閾值配置為500次/10秒，誘捕探針的IP地址掃描速率配置為100個ARP請求/秒。

[Device-deception] detect-network id 1 10.0.1.0 255.255.255.0

[Device-deception] detect-network id 2 10.0.2.0 255.255.255.0

[Device-deception] arp-scan threshold 500

[Device-deception] ip-state detect rate 100

# 配置靜態誘捕功能，誘餌網段配置為10.0.1.0/28。

[Device-deception] decoy-network id 1 destination 10.0.1.0 255.255.255.240

# 將IP地址10.0.1.38納入目的地址白名單。

[Device-deception] allowlist destination 10.0.1.38

# 查看主動誘捕配置是否正確。

[Device-deception] display this

# 開啟主動誘捕功能。

[Device-deception] deception enable

5. 驗證配置

(1)     在誘捕視圖下查看相關配置是否正確

[Device-deception] display this

deception enable

decoy destination 30.0.0.1 source 20.0.0.1

allowlist destination 10.0.1.38

arp-scan threshold 500

decoy-network id 1 destination 10.0.1.0 255.255.255.240

detect-network id 1 10.0.1.0 255.255.255.0

detect-network id 2 10.0.2.0 255.255.255.0

ip-state detect rate 100

[Device-deception] quit

[Device] quit

(2)     在Device上查看誘捕探針在誘捕服務器上的注冊情況是否為alive

<Device> display deception decoy status

Decoy register status information:

   Register status                                     : alive

   Online duration                                     : 25510(s)

 Available decoy service ports:

   21        22        80        443       3306

   4855      15554

(3)     當誘捕探針發現威脅進入誘捕狀態後，查看誘捕引流表項是否創建

<Device> display deception redirect

slot 1:

SrcIP     SrcPort    DstIP      DstPort   VPN instance   Type     Aging   Count

10.0.1.1  1123       10.0.2.1   80            --         Decoy    12      100