[发明专利]一种攻击流量转发至蜜罐的方法

权利要求书

1.一种攻击流量转发至蜜罐的方法，包括以下步骤：

步骤1，攻击者访问真实业务客户端的敏感内容；

步骤2，真实业务客户端接收到访问请求后进行流量转发，将对真实业务服务器上敏感端口的请求访问都转发给网关；

步骤3，网关进行流量转发模块规则配置；

步骤4，蜜罐接收到网关配置的流量转发后进行对攻击者其取证并回复访问请求；

步骤5，网关将蜜罐回复的内容拦截并发送给真实业务服务器；

步骤6，真实业务服务器将网关发来的内容转发至攻击者。

2.根据权利要求1所述的一种攻击流量转发至蜜罐的方法，其特征在于，所述真实业务数据转发通过Java开发出的小程序安装在真实业务机上，虚拟出端口，实现数据流量转发。

3.根据权利要求1所述的一种攻击流量转发至蜜罐的方法，其特征在于：所述网关配置流量转发模块规则，将真实业务发来的攻击者请求都转发给蜜罐，在转发过程中将数据包重新封装，修改访问来源为攻击者。

4.根据权利要求1或3所述的一种攻击流量转发至蜜罐的方法，其特征在于：所述网关配置流量转发模块规则包括四条：（1）从真实业务端发过来的数据包通过网关中字符串匹配套接字数据包，如果网关检测到该数据包中含有攻击者信息，则启用内核模块，将该数据包的去向改成蜜罐IP和对应的敏感端口；（2）从真实业务端发过来的数据包通过网关中字符串匹配套接字数据包，如果网关检测到该数据包中含有攻击者信息，则启用内核模块，将数据包的访问来源修改成攻击者IP；（3）如果网关经过字符串匹配，发现有从蜜罐反馈的数据包，则启用内核模块，把数据包的去向改成真实业务端；（4）在整个过程中，通过编写蜜罐的路由规则，将蜜罐的gateway改成网关，使得整个过程可以通信。

5.根据权利要求4所述的一种攻击流量转发至蜜罐的方法，其特征在于：所述网关配置流量转发模块规则，在网关配置规则之前配置两条预设规则，包括（1）清空本条数据传输链的规则；（2）允许数据转发的规则。

6.根据权利要求1所述的一种攻击流量转发至蜜罐的方法，其特征在于：所述蜜罐收到网关发过来的数据包，对这个数据包作出回应。