夜幕下的战场,远处侦察无人机(Nmap)静默掠过,向前方的防线发出照射脉冲(Port scan)。前线雷达(antiscanGW)敏锐捕获信号并将数据回传到指挥所(Policy Engine)。指挥官分析情报后下达命令:对于疑似敌军(高风险)派遣“诱敌小队”(Decoy / Honeypot)引导其深入;对于合法友军(可信流量)打开通道,护送至堡垒(Protected Service);对持续骚扰者实施压制火力(Block/Quarantine)。整个战场覆盖侦听与录音设备(PCAP/会话录像),准确记录敌我交锋过程用于事后勘验与战术升级。
夜幕下的数字迷局
黑客的困惑
深夜,黑客“影子”坐在昏暗的房间里,屏幕上闪烁着终端的光影。他锁定了目标——一家金融科技公司的服务器。
黑客“影子”:某黑产组织成员,在组织中主要负责信息收集工作。
第一步:常规侦察
nmap -sS -sV -p- 目标IP
影子熟练地启动nmap扫描,期待找到突破口。几分钟后,结果让他皱眉:
疑惑渐起:为何有两个ssh服务? 445端口不是smb???
切换扫描命令再次确认:
nmap -sV -p 445 --script smb-os-discovery 192.168.3.196
奇怪的发现:
影子通过浏览器轻松访问80和443端口的web应用,界面正常,功能完整。唯一问题445端口始终显示为SSH服务。但诡异的是: 当影子使用特定HTTP客户端构造特殊请求时,445端口竟然返回了完全不同的响应——一个隐藏的邮件系统。
影子内心惊喜,这个隐藏的web邮件系统,应该是此次目标关键入口。
最终整理资产信息如下:
网络服务清单
| 端口 |
状态 |
服务 |
版本信息 |
风险等级 |
备注 |
| 80/tcp |
✅ 开放 |
HTTP |
Apache httpd 2.0.48 |
🔴 高危 |
陈旧Web服务 |
| 443/tcp |
✅ 开放 |
HTTPS |
Apache httpd 2.0.48 |
🔴 高危 |
加密Web服务 |
| 445/tcp |
✅ 开放 |
SSH |
OpenSSH 7.4 (protocol 2.0) |
🔴 高危 |
异常:应为WEB邮件系统 |
影子在日志中写道:
“目标系统存在异常:445端口对外宣称SSH服务,但实际承载web应用。
扫描器被完美欺骗,手动测试才能发现真相。
建议:需要更高级的服务指纹探测方案。”
背景: 你真的碰到真相了吗?
防御系统的“魔术”
切换到防御队视角,目标系统部署反测绘防御网关antiscanGW,相关部署如下:
确认防御目标,添加端口级陷阱,针对常用端口80/443
添加质疑点,445端口实施ssh混淆路由(涉及到协议优先级特性)
进一步添加协议陷阱,445端口同时挂载HTTP蜜罐
添加决策路由,正常访问HTTPS路由到web系统业务
陷阱级策略(排除445上http挂载,防止正常访问误操作)统计绑定自动处置策略:当有地址“先访问到其他端口与蜜罐交互时,自动标记禁止其x秒内访问到真实业务”。
侦察无人机(nmap)
↓
防线雷达(反测绘网关) → 识别出标准探测包
↓
指挥所(策略引擎) → “这是扫描器,启动诱饵程序”
↓
诱敌小队(SSH/HTTP/HTTPS蜜罐) → 返回完美的模拟响应
而当合法管理客户端连接时:
认证终端(特定HTTPS客户端)
↓
防线雷达 → 识别出合法协议特征
↓
指挥所 → “这是友军,开放安全通道”
↓
堡垒(真实管理服务) → 正常提供服务
而此时,防御方的监控系统完整记录了这次探测:
- 🎯 识别出nmap扫描特征
- 🛡️ 成功诱导攻击者误判
- 📊 收集了攻击者的TTPs(战术、技术、程序)
重点: 本次防御重点HTTPS管理服务被隐藏在445端口下,未被攻击者发现
技术启示
这个“数字魔术”展现了现代防御的精髓:
- 动态身份:同一端口因客户端不同而呈现不同“面孔”
- 协议级智能:深度包检测与协议级路由区分敌我
- 主动欺骗:用蜜罐消耗攻击者资源
- 隐形防御:真实服务对扫描器“不可见”
影子最终未能突破这道防线,而防御方则通过这次交锋进一步完善了防护策略——这就是现代网络安全的“猫鼠游戏”。
数字战场上的心理博弈艺术
1. 认知误导(Cognitive Misdirection)
- 战术实施:将HTTPS服务隐藏在SMB端口(445)下
- 心理原理:利用攻击者对“端口-服务”对应关系的固有认知偏见
- 效果:攻击者扫描到445端口时,大脑自动关联到“SMB文件共享”概念,进一步对扫描结果产生疑惑。
2. 预期满足(Expectation Fulfillment)
- 战术实施:在同一端口下预埋其他协议路由陷阱
- 心理原理:满足攻击者的验证预期,消除怀疑情绪
- 效果:当访问端口获得某邮件关系系统的响应时,攻击者获得确认感(果然藏了个业务),停止深度探测
3. 注意力转移(Attention Diversion)
- 战术实施:在80/443端口布置明显的蜜罐服务
- 心理原理:利用“显眼目标”吸引和消耗攻击者的注意力资源
- 效果:攻击者忙于分析Web蜜罐,忽略了对445端口的深度检查
4. 权威暗示(Authority Suggestion)
- 战术实施:入口与路径实施蜜罐陷阱
- 心理原理:明确告知攻击者,这是一个蜜罐资产
- 效果:攻击者获得警示后放弃进一步攻击
本次交锋中配置流程:服务类型探测攻击防护
利用常见协议端口(常见协议端口异常+协议混淆)隐藏真实服务(HTTPS),对抗服务类型探测攻击(如Nmap扫描)。若想深入了解网络协议底层原理,可参考云栈社区的相关技术讨论。
1. 创建反测绘服务:
| 序号 |
操作类型 |
策略名称 |
服务端口 |
用途说明 |
| 1 |
创建反测绘服务策略 |
协议陷阱隐藏HTTPS服务 |
445 |
利用SMB端口隐藏真实HTTPS服务 |
| 2 |
创建反测绘服务陷阱策略 |
常用敏感端口布置陷阱服务-1 |
80 |
在HTTP端口布置蜜罐陷阱 |
| 3 |
创建反测绘服务陷阱策略 |
常用敏感端口布置陷阱服务-2 |
443 |
在HTTPS端口布置蜜罐陷阱 |
80/443端口服务纯设陷阱 445端口挂载SSH协议陷阱,同时设陷HTTP协议关联陷阱蜜罐,“绑定防护HTTPS真实业务管理系统”
2. 添加蜜罐资产:
| 序号 |
操作 |
名称 |
类型 |
| 1 |
添加SSH蜜罐模拟服务作为陷阱 |
SSH服务蜜罐 |
选择SSH服务蜜罐模板 |
| 2 |
添加HTTP蜜罐模拟服务作为陷阱 |
HTTP服务蜜罐 |
选择HTTP服务蜜罐模板 |
| 3 |
添加HTTPS蜜罐模拟服务作为陷阱 |
HTTPS服务蜜罐 |
选择HTTPS服务蜜罐模板 |
“本次防御方案中使用了三个蜜罐(SSH/HTTP/HTTPS)”
3. 添加防护资产
| 操作 |
名称 |
类型 |
用途 |
| 添加需要保护的真实服务 |
HTTPS系统服务 |
选择HTTPS服务 |
隐藏和保护真实HTTPS服务 |
注意:HTTPS为需要隐藏的真实服务
4. 配置协议路由策略
| 规则 |
协议类型 |
关联反测绘服务 |
目标类型 |
目标资产 |
| 规则一 |
HTTP |
常用敏感端口布置陷阱服务-1 |
蜜罐 |
HTTP服务蜜罐 |
| 规则二 |
HTTPS |
常用敏感端口布置陷阱服务-2 |
蜜罐 |
HTTPS服务蜜罐 |
| 规则三 |
HTTP |
利用SSH陷阱隐藏HTTPS服务 |
蜜罐 |
HTTP服务蜜罐 |
| 规则四 |
SSH |
利用SSH陷阱隐藏HTTPS服务 |
蜜罐 |
SMB服务蜜罐 |
| 规则五 |
HTTPS |
利用SSH陷阱隐藏HTTPS服务 |
防护资产 |
HTTPS某管理系统 |
5. 启用策略
6. 测试验证
- 测试方法: 使用Nmap扫描目标服务器445端口
- 预期结果:
- Nmap扫描结果: 显示445端口运行SSH服务
- 实际连接: 使用HTTPS客户端连接445端口可访问真实HTTPS服务
- 验证目的: 确认HTTPS服务已成功隐藏,仅对合法客户端可用
真实的被防护系统
总结
这场攻防博弈展现了现代网络安全的核心理念:从静态防护转向动态欺骗,从边界防御转向身份智能识别。协议伪装技术成功实现了“数字战场”的主动防御,使攻击者陷入真伪难辨的迷局。
防御方的胜利不在于完全阻止攻击,而在于大幅提高攻击成本,延长攻击链条,为检测和响应争取宝贵时间。这种攻防思维在安全/渗透/逆向领域尤为关键,同时也离不开对网络/系统底层协议的深刻理解。这正是纵深防御理念在实践中的精彩体现。
发表于 3 小时前
|
查看: 4|
回复: 0
