更多全球网络安全资讯尽在邑安全
0x00前言之前搞蜜罐项目,领导提了一个部署方案:主机器部署蜜罐,其他节点能否在不部署蜜罐的情况下,监听对应端口,能否直接将端口流量转发到蜜罐机器。大致流程如下图所示,故如果有端口的恶意请求到达A/B/C机器,流量转到蜜罐机器,蜜罐机器能记录到相关恶意请求,且蜜罐机器能获取到恶意请求的原始ip。
该方案的好处是能做到蜜罐的轻量部署,增加节点也很便捷——直接监听端口然后做转发。但是该方案也带来了新的问题,一个最实际的问题是:A/B/C的恶意请求转发到蜜罐机器后,蜜罐机器如何获取到而已请求的原始ip(攻击者ip)(A/B/C如何透传ip到蜜罐机器),故而解决这个问题是最迫切的。
故笔者花了很长时间对几类端口转发方案进行调研测试。本文对每个方案的部署和配置方法及实践测试结果进行记录。希望能给也在做类似蜜罐方案及在研究端口流量转发透传ip的师傅们一些参考。
0x01端口流量转发方案调研文中涉及的机器及ip
预览时标签不可点收录于话题#个上一篇下一篇