使用AWS API Gateway和Lambda函数的蜂蜜令牌
问题描述:
我想设置假的URL或honeytoken来诱使攻击者关注这些链接,并且有一个脚本可以使用AWS WAF自动阻止攻击者IP。使用AWS API Gateway和Lambda函数的蜂蜜令牌
现在安全是一件大事,我们的网络基础设施已经成为大规模暴力攻击和DDOS攻击的目标。我想设置跟踪,以便可以找到使用目录遍历攻击的攻击者。例如,在扫描目标网站时列出攻击遍历URL(如../admin,../wp-admin等)的通用目录。我想设置一个机制,以便在浏览任何这些不存在的URL时得到警报。
问题: 1.是否可以将部分网络流量(例如www.abc.com/admin)重定向到API网关,并将剩余的www.abc.com重定向到我的现有服务器? 2.如果可能,我将如何设置DNS条目? 3.有没有不同的/容易做到这一点。
任何建议都是值得欢迎的,因为我愿意接受创意。谢谢
答
您可以先使用WAF ip黑名单设置Cloudfront发行版。然后使用API网关和Lambda设置一个蜜罐,它将成为诸如/ admin,/ wp-admin之类的URL的源。
下面的例子与bad bot blocking using honeypots可以为您提供一个良好的开端。
@ahsan,谢谢你的建议。我已经在使用一个[蜜罐](https://github.com/0x4D31/honeyLambda),它工作正常。我感到困惑的部分是如何将流量路由到我的API网关。 正如我在我的问题中解释的那样,dns工程的方式www.abc.com将始终登录在我的服务器上(如x.x.x.x),如何使www.abc.com/admin成为API网关上的子资源。我希望现在这是清楚的。 谢谢 – Umer
你的意思是机器人调用honeypot的链接? – Ashan
是的,因为通常如果www.abc.com/admin的机器人报废,它会得到404,因为我的服务器没有提供此页面。但是我希望它能够从API网关登陆,从那里我可以将它路由到lambda并阻止IP。 – Umer