@秒灵儿
2年前 提问
1个回答
蜜罐系统Agent组件包括哪些功能模块
房乐
2年前
蜜罐系统Agent组件包括以下四个功能模块:
策略加载与更新模块:策略的内容有高交互Server的转发规则和IP、端口的白名单,启动时会加载初始化策略。
非监听端口的抓包模块:用来捕获攻击者的扫描或访问行为,不管服务器中此端口是否处于监听状态,只要攻击者触碰就可以检测到。
高交互蜜罐的转发模块:根据规则将特定服务的流量转发到高交互蜜罐中。在数据转发的过程中会将攻击者的真实源IP附带到数据包中,方便蜜罐高交互服务直接获取到攻击者的真实源IP。
蜜罐的攻击日志传输模块:蜜罐Agent不直接分析攻击数据,而是发送到后端的日志服务器中,由后端处理程序从日志中取出处理,判断是否为攻击、是否告警等。