目  录

1 主动诱捕

1.1 主动诱捕简介

1.1.1 诱捕探针和诱捕服务器

1.1.2 主动诱捕类型

1.1.3 主动诱捕流程

1.2 主动诱捕与硬件适配关系

1.3 主动诱捕配置任务简介

1.4 配置诱捕服务器的IP地址

1.5 配置离线IP诱捕功能

1.6 配置静态诱捕功能

1.7 配置诱捕探针的IP地址扫描速率

1.8 配置诱捕白名单

1.9 开启主动诱捕功能

1.10 主动诱捕的显示和维护

1.11 主动诱捕典型配置举例

1.11.1 主动诱捕基本组网典型配置举例

 

1 主动诱捕

1.1  主动诱捕简介

主动诱捕是一种内网安全防护特性，用于对内网发起的攻击行为进行检测与防范。入侵内网的黑客或恶意软件通常会对内部网络结构以及内网主机或服务器的端口开放情况进行扫描分析，以便进行下一步攻击。主动诱捕技术通过感知内网中的扫描行为，可以及时发现入侵威胁，并通过伪造攻击目标的响应报文，诱骗攻击者与诱捕服务器进行深度交互，借以吸引攻击者的注意力，分析和溯源攻击行为，保护内网用户的安全。

1.1.1  诱捕探针和诱捕服务器

主动诱捕功能由诱捕探针和诱捕服务器配合实现：

·     诱捕探针：开启主动诱捕功能的设备被称为诱捕探针。诱捕探针用于监视内网中的扫描行为，并将攻击流量引导至诱捕服务器。

·     诱捕服务器：诱捕服务器是部署了各类沙箱与分析工具的第三方威胁感知和溯源系统，其通过模拟真实网络中的设备、系统以及应用，诱骗攻击者与之持续交互，保护真实网络中的设备不受攻击。

1.1.2  主动诱捕类型

1. 离线IP诱捕

如图1-1所示，攻击者通过计算机病毒或木马程序侵入内网后，首先借助被感染的主机或服务器对内部网络结构进行扫描，通常表现为被感染的主机或服务器持续性地发送ARP请求报文。离线IP诱捕功能可以监测针对离线IP地址的ARP请求，并通过伪造ARP响应报文，将来自攻击者的后续流量引导至诱捕服务器进行深度交互与分析。

离线IP诱捕有如下两种模式，不同模式的诱捕触发条件有所不同：

·     严格诱捕模式下，当诱捕探针监测到某攻击者针对指定网段内离线IP地址的ARP扫描行为，诱捕探针就会将攻击者后续发往该IP地址的流量引导至诱捕服务器。

·     非严格诱捕模式下，诱捕探针周期性地统计某攻击者针对指定网段的ARP请求报文的发送速率。当该速率达到ARP扫描行为的诱捕触发阈值后，诱捕探针将攻击者后续发往指定网段内离线IP地址的流量引导至诱捕服务器。

图1-1 离线IP诱捕组网图

 

 

2. 静态诱捕

如图1-2所示，攻击者通过计算机病毒或木马程序侵入内网后，可能对某个固定的IP地址进行端口扫描或其他基于TCP协议的访问。静态诱捕功能会将所有访问指定IP地址的流量视为攻击流量，并将其引流到诱捕服务器进行深度交互与分析。

静态诱捕的触发条件为，当诱捕探针监测到攻击者针对指定网段内IP地址的ARP或TCP扫描行为，无论该IP地址是否在线，诱捕探针都会将攻击者后续发往该IP地址的流量引导至诱捕服务器。

图1-2 静态诱捕组网图

 

 

1.1.3  主动诱捕流程

主动诱捕功能按如图1-3所示流程运行：

(1)     诱捕探针持续对内网中的扫描行为进行监测，一旦监测到符合诱捕触发条件的扫描行为，随即进入诱捕状态。

(2)     诱捕探针对于被认为是攻击流量的ARP请求报文进行响应，通过构造ARP响应报文，代替被扫描IP回复给攻击者，将攻击者的后续报文引导至诱捕探针。

(3)     诱捕探针接收到攻击者的后续报文后，在诱捕引流表中创建一个表项（包括报文的源和目的IP地址、源和目的端口、诱捕类型、表项老化时间等信息），然后将报文转发至诱捕服务器进行分析。

(4)     诱捕服务器利用内置的沙箱环境构造相应的响应报文，并将报文回送给诱捕探针。

(5)     诱捕探针将响应报文转发给攻击者，完成与攻击者的一轮交互。

在诱捕引流表项的老化时间内，匹配该表项的流量将被诱捕探针转发至诱捕服务器进行处理；诱捕引流表项老化后，该表项所对应的流量将不再进行引流，诱捕探针按上述流程重新对流量进行监测和诱捕。

图1-3 主动诱捕原理图（以离线IP诱捕为例）

 

1.2  主动诱捕与硬件适配关系

本功能的支持情况与设备型号有关，请以设备实际情况为准。

F1000系列	型号	说明
F1000-X-G5系列	F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5	支持
F1000-X-XI系列	F1000-D-XI、F1000-E-XI	支持

 

F100系列	型号	说明
F100-X-G5系列	F100-A-G5、F100-C-G5、F100-E-G5、F100-M-G5、F100-S-G5	支持
F100-C-A系列	F100-C-A2、F100-C-A1	不支持
F100-X-XI系列	F100-A-XI	不支持
	F100-C-XI、F100-S-XI	支持

‌

1.3  主动诱捕配置任务简介

主动诱捕配置任务如下：

(1)     配置诱捕服务器的IP地址

(2)     配置离线IP诱捕功能

(3)     配置静态诱捕功能

(4)     （可选）配置诱捕探针的IP地址扫描速率

(5)     （可选）配置诱捕白名单

(6)     开启主动诱捕功能

1.4  配置诱捕服务器的IP地址

1. 功能简介

诱捕服务器是部署了各类沙箱与分析工具的第三方威胁感知和溯源系统，通过精心构造的仿真环境诱骗攻击者与之深度交互，分析和溯源攻击行为的同时，保护真实网络免遭攻击。

2. 配置限制和指导

诱捕探针需要与诱捕服务器之间路由可达。

不能将VRRP备份组的虚拟IP地址作为诱捕探针连接诱捕服务器时使用的源IP地址。有关VRRP备份组的详细介绍，请参见“可靠性配置指导”中的“VRRP”。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入诱捕视图。

deception

(3)     配置诱捕服务器的IP地址。

decoy destination destination-ip [ source source-ip ] [ dest-port destination-port ] [ vpn-instance vpn-instance-name ]

缺省情况下，未配置诱捕服务器的IP地址。

1.5  配置离线IP诱捕功能

1. 功能简介

离线IP诱捕功能通过监测针对检测网段的ARP扫描行为，实现对攻击者后续发往检测网段内离线IP地址的流量进行诱捕。

2. 配置限制和指导

诱捕探针需要在检测网段内存在处于开启状态的三层以太网接口、三层以太网子接口或VLAN接口。

在使用静态ARP表项等不可老化ARP表项的固定组网环境中，设备之间转发报文只需参考已有的ARP表项，无需发送ARP请求。建议在这种情况下开启严格诱捕模式。

所有检测网段内包含的IP地址个数之和不能超过10240。

检测网段不能包含0.0.0.0或255.255.255.255。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入诱捕视图。

deception

(3)     配置检测网段。

detect-network [ id id-number ] ip-address [ mask | mask-length ] [ vpn-instance vpn-instance-name ]

缺省情况下，不存在检测网段配置。

(4)     配置ARP扫描行为的诱捕触发阈值。

arp-scan threshold threshold-value

缺省情况下，ARP扫描行为的诱捕触发阈值为10次/10秒。

(5)     （可选）开启严格诱捕模式。

deception mode strict

缺省情况下，未开启严格诱捕模式。

1.6  配置静态诱捕功能

1. 功能简介

静态诱捕功能用于对所有访问诱饵网段的流量进行诱捕。

2. 配置限制和指导

 

如果离线IP诱捕中的检测网段与静态诱捕中的诱饵网段存在重合，设备将对重合部分的IP地址进行静态诱捕处理。

诱饵网段不能包含0.0.0.0或255.255.255.255。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入诱捕视图。

deception

(3)     配置诱饵网段。

decoy-network [ id id-number ] destination ip-address [ mask | mask-length ] [ vpn-instance vpn-instance-name ]

缺省情况下，不存在诱饵网段配置。

1.7  配置诱捕探针的IP地址扫描速率

1. 功能简介

离线IP诱捕功能需要诱捕探针维护一张关于检测网段内所有IP地址在线状态的信息表。

开启主动诱捕功能后，诱捕探针以30分钟为周期主动对检测网段发起IP地址扫描，并根据响应情况更新IP地址的在线状态。在一个检测周期内，诱捕探针以指定速率依次向检测网段内的IP地址发送ARP请求。

2. 配置限制和指导

请根据实际网络环境，合理配置诱捕探针的IP地址扫描速率：如果速率配置过大，可能对内部网络造成冲击；如果速率配置过小，IP地址在线状态需要较长时间才能更新完全。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入诱捕视图。

deception

(3)     配置诱捕探针的IP地址扫描速率。

ip-state detect rate rate-number

缺省情况下，诱捕探针的IP地址扫描速率为30个ARP请求/秒。

1.8  配置诱捕白名单

1. 功能简介

诱捕白名单分为目的地址白名单和源地址白名单：

·     对于目的地址白名单中的IP地址，诱捕探针不会对访问该IP地址的流量进行诱捕。

·     对于源地址白名单中的IP地址，诱捕探针不会对该IP地址发起的流量进行诱捕。

2. 配置限制和指导

·     对于不会响应ARP请求的设备（例如老式打印机），可以将其IP地址加入目的地址白名单中，以免正常访问设备的流量被诱捕；对于会周期性探测网络的设备（例如网管设备），可以将其IP地址加入源地址白名单中，以免其被判定为攻击者而进行诱捕。

·     如果诱捕白名单中的IP地址与诱饵网段或检测网段中的IP地址重合，设备将会把重合部分的IP地址视为诱捕白名单进行处理。

·     诱捕白名单不能包含0.0.0.0或255.255.255.255。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入诱捕视图。

deception

(3)     配置诱捕白名单。

allowlist [ id id-number ] { destination | source } ip-address [ mask | mask-length ] [ vpn-instance vpn-instance-name ]

缺省情况下，不存在诱捕白名单配置。

1.9  开启主动诱捕功能

1. 功能简介

开启主动诱捕功能后，设备通过感知内网中的扫描行为，将可疑流量引导至诱捕服务器进行深度分析。

2. 配置限制和指导

 

需要至少配置一个诱饵网段（执行decoy-network命令）或检测网段（执行detect-network命令），主动诱捕功能才能生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入诱捕视图。

deception

(3)     开启主动诱捕功能。

deception enable

缺省情况下，主动诱捕功能处于关闭状态。

1.10  主动诱捕的显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示主动诱捕的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除主动诱捕的统计信息。

表1-1 主动诱捕配置的显示和维护

操作	命令
显示ARP扫描行为的统计信息	display deception arp-scan [ source ip-address ] statistics [ slot slot-number ]
显示诱捕服务器的状态	display deception decoy status
显示检测网段内IP地址的在线情况	display deception ip-state [ ip-address ] [ slot slot-number ]
显示诱捕引流表项	display deception redirect [ source-ip ip-address ] [ destination-ip ip-address ] [ destination-port port ] [ slot slot-number ]
清除检测网段内IP地址的在线情况记录	reset deception ip-state
清除指定诱捕引流表项	reset deception redirect [ source-ip ip-address ] [ destination-ip ip-address ] [ destination-port port ]

 

1.11  主动诱捕典型配置举例

1.11.1  主动诱捕基本组网典型配置举例

1. 组网需求

某公司内部网络A（10.0.1.0/24）为办公网络，网络B（10.0.2.0/24）为业务网络，网络A中有一台IP地址为10.0.1.38的老式打印机。现需要在公司内网部署主动诱捕系统，对入侵内网的攻击行为进行检测与防范。具体要求如下：

·     内部网关Device作为诱捕探针，另外部署一台IP地址为30.0.0.1的诱捕服务器与之联动。

·     针对办公网络A和业务网络B配置离线IP诱捕功能，对网络中的异常ARP扫描进行诱捕。

·     针对业务网络B中的闲置网段10.0.2.0/28配置静态诱捕功能，诱捕所有访问该闲置网段的流量。

·     老式打印机不会应答ARP请求，需要将其IP地址加入目的地址白名单中。

2. 组网图

图1-4 主动诱捕配置组网图

‌

3. 配置准备

完成诱捕服务器相关配置，具体配置方法请参见诱捕服务器的产品手册。

4. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息，配置各接口的IP地址，具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 20.0.0.1 24

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址，具体配置步骤略。

(2)     将接口加入安全域

# 请根据组网图中规划的信息，将接口加入对应的安全域，具体配置步骤如下。

[Device] security-zone name DMZ

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1

[Device-security-zone-DMZ] quit

[Device] security-zone name networkA

[Device-security-zone-networkA] import interface gigabitethernet 1/0/2

[Device-security-zone-networkA] quit

[Device] security-zone name networkB

[Device-security-zone-networkB] import interface gigabitethernet 1/0/3

[Device-security-zone-networkB] quit

(3)     配置安全策略保证网络互通

[Device] security-policy ip

[Device-security-policy-ip] rule name neta-netb

[Device-security-policy-ip-0-neta-netb] action pass

[Device-security-policy-ip-0-neta-netb] source-zone networkA

[Device-security-policy-ip-0-neta-netb] destination-zone networkB

[Device-security-policy-ip-0-neta-netb] quit

[Device-security-policy-ip] rule name neta-dmz

[Device-security-policy-ip-1-neta-dmz] action pass

[Device-security-policy-ip-1-neta-dmz] source-zone networkA

[Device-security-policy-ip-1-neta-dmz] destination-zone DMZ

[Device-security-policy-ip-1-neta-dmz] quit

[Device-security-policy-ip] rule name dmz-neta

[Device-security-policy-ip-2-dmz-neta] action pass

[Device-security-policy-ip-2-dmz-neta] source-zone DMZ

[Device-security-policy-ip-2-dmz-neta] destination-zone networkA

[Device-security-policy-ip-2-dmz-neta] quit

[Device-security-policy-ip] rule name dmz-netb

[Device-security-policy-ip-3-dmz-netb] action pass

[Device-security-policy-ip-3-dmz-netb] source-zone DMZ

[Device-security-policy-ip-3-dmz-netb] destination-zone networkB

[Device-security-policy-ip-3-dmz-netb] quit

[Device-security-policy-ip] rule name local-dmz

[Device-security-policy-ip-4-local-dmz] action pass

[Device-security-policy-ip-4-local-dmz] source-zone Local

[Device-security-policy-ip-4-local-dmz] destination-zone DMZ

[Device-security-policy-ip-4-local-dmz] source-ip-host 20.0.0.1

[Device-security-policy-ip-4-local-dmz] destination-ip-host 30.0.0.1

[Device-security-policy-ip-4-local-dmz] quit

[Device-security-policy-ip] rule name dmz-local

[Device-security-policy-ip-5-dmz-local] action pass

[Device-security-policy-ip-5-dmz-local] source-zone DMZ

[Device-security-policy-ip-5-dmz-local] destination-zone Local

[Device-security-policy-ip-5-dmz-local] source-ip-host 30.0.0.1

[Device-security-policy-ip-5-dmz-local] destination-ip-host 20.0.0.1

[Device-security-policy-ip-5-dmz-local] quit

[Device-security-policy-ip] rule name local-neta

[Device-security-policy-ip-6-local-neta] action pass

[Device-security-policy-ip-6-local-neta] source-zone Local

[Device-security-policy-ip-6-local-neta] destination-zone networkA

[Device-security-policy-ip-6-local-neta] quit

[Device-security-policy-ip] rule name local-netb

[Device-security-policy-ip-7-local-netb] action pass

[Device-security-policy-ip-7-local-netb] source-zone Local

[Device-security-policy-ip-7-local-netb] destination-zone networkB

[Device-security-policy-ip-7-local-netb] quit

[Device-security-policy-ip] quit

(4)     配置路由

本举例仅以静态路由方式配置路由信息。实际组网中，请根据具体情况选择相应的路由配置方式。

# 配置Device到诱捕服务器的静态路由，本举例假设下一跳的IP地址为20.0.0.2，具体配置步骤如下。

[Device] ip route-static 30.0.0.1 24 gigabitethernet 1/0/1 20.0.0.2

(5)     配置主动诱捕功能

# 配置诱捕服务器的IP地址为30.0.0.1，诱捕探针连接诱捕服务器时使用的IP地址为20.0.0.1。

[Device] deception

[Device-deception] decoy destination 30.0.0.1 source 20.0.0.1

# 配置离线IP诱捕功能，检测网段配置为10.0.1.0/24和10.0.2.0/24，ARP扫描行为的诱捕触发阈值配置为500次/10秒，诱捕探针的IP地址扫描速率配置为100个ARP请求/秒。

[Device-deception] detect-network id 1 10.0.1.0 255.255.255.0

[Device-deception] detect-network id 2 10.0.2.0 255.255.255.0

[Device-deception] arp-scan threshold 500

[Device-deception] ip-state detect rate 100

# 配置静态诱捕功能，诱饵网段配置为10.0.1.0/28。

[Device-deception] decoy-network id 1 destination 10.0.1.0 255.255.255.240

# 将IP地址10.0.1.38纳入目的地址白名单。

[Device-deception] allowlist destination 10.0.1.38

# 查看主动诱捕配置是否正确。

[Device-deception] display this

# 开启主动诱捕功能。

[Device-deception] deception enable

5. 验证配置

(1)     在诱捕视图下查看相关配置是否正确

[Device-deception] display this

deception enable

decoy destination 30.0.0.1 source 20.0.0.1

allowlist destination 10.0.1.38

arp-scan threshold 500

decoy-network id 1 destination 10.0.1.0 255.255.255.240

detect-network id 1 10.0.1.0 255.255.255.0

detect-network id 2 10.0.2.0 255.255.255.0

ip-state detect rate 100

[Device-deception] quit

[Device] quit

(2)     在Device上查看诱捕探针在诱捕服务器上的注册情况是否为alive

<Device> display deception decoy status

Decoy register status information:

   Register status                                     : alive

   Online duration                                     : 25510(s)

 Available decoy service ports:

   21        22        80        443       3306

   4855      15554

(3)     当诱捕探针发现威胁进入诱捕状态后，查看诱捕引流表项是否创建

<Device> display deception redirect

slot 1:

SrcIP     SrcPort    DstIP      DstPort   VPN instance   Type     Aging   Count

10.0.1.1  1123       10.0.2.1   80            --         Decoy    12      100