《第14章蜜罐技术课件》由会员分享,可在线阅读,更多相关《第14章蜜罐技术课件(40页珍藏版)》请在金锄头文库上搜索。
1、第14章 蜜罐技术,本章主要内容,蜜罐技术提出与发展历程 蜜罐技术概念及分类 蜜罐技术原理 蜜罐技术实例,网络攻防技术,互联网安全状况,安全基础薄弱 操作系统/软件存在大量漏洞 安全意识弱、缺乏安全技术能力 任何主机都是攻击目标! DDoS、跳板攻击需要大量僵尸主机 蠕虫、病毒的泛滥 并不再仅仅为了炫耀:Spamming, Phishing 攻击者不需要太多技术 攻击工具的不断完善 Metasploit: 40+ Exploits 攻击脚本和工具可以很容易得到和使用 0-day exploits: packetstorm,网络攻防技术,网络攻防的非对称博弈,工作量不对称 攻击方:夜深人静, 攻
2、其弱点 防守方:24*7, 全面防护 信息不对称 攻击方:通过网络扫描、探测、踩点对攻击目标全面了解 防守方:对攻击方一无所知 后果不对称 攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损 攻击方掌握主动权,网络攻防技术,传统安全防护机制的不足,被动安全防护机制 加密、VPN 防火墙: 配置问题、针对开放业务端口的攻击、内部攻击 入侵检测系统IDS: 已知攻击特征库、高误报率 反病毒软件: 病毒特征库在线升级,延迟 “主动”安全防护机制 漏洞扫描与补丁分发工具:扫描脚本、补丁延迟 入侵防御系统IPS: 已知攻击特征库、“傻瓜式”,网络攻防技术,蜜罐技术的提出,防御方尝试改变攻防
3、博弈不对称性而提出的一种 主动防护技术 对攻击者的欺骗技术增加攻击代价、减少对实际系统的安全威胁 了解攻击者所使用的攻击工具和攻击方法 追踪攻击源、攻击行为审计取证 蜜罐技术的提出 Honeypot: 首次出现在Cliff Stoll的小说“The Cuckoos Egg” (1990) 著名计算机安全专家Fred Cohen,网络攻防技术,蜜罐技术发展历程,蜜罐技术 1998年后,出现DTK、Honeyd等大量开源蜜罐工具 同期出现一些商业产品,但并未得到市场普及 蜜网技术 1999年由蜜网项目组(The Honeynet Project)提出并实现 目前已发展到第三代蜜网技术 蜜场技术 2
4、003年由Lance Spitzner首次提出Honeypot farms思想 目前仍未有实际的工具、产品和应用,网络攻防技术,蜜罐技术概念,定义:honeypot: “A security resource whos value lies in being probed, attacked or compromised”Lance Spitzner(The Honeynet Project 的创始人) 蜜罐是一类安全资源,其价值就在于被探测、被攻击及被攻陷。,网络攻防技术,蜜罐技术分类,系统功能(产品型蜜罐、研究型蜜罐) 交互程度(低交互蜜罐、高交互蜜罐),网络攻防技术,产品型蜜罐,目标:有
5、效防护业务网络 间接性防护通过诱骗增大攻击者代价,混淆关键业务资源,了解并规避安全威胁 直接性防护蜜场技术 较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTrap 等一系列的商业产品。,网络攻防技术,研究型蜜罐,目标:研究对手,了解自身面临的安全威胁 知己知彼、百战不殆 蜜网技术(Know Your Enemy)(Enemy)目前更多意义上属于研究型蜜罐技术 具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术,网络攻防技术,低交互式蜜罐技术,交互性:攻击者在蜜罐中活动的交互性级别 低交互式蜜罐技术 具有与攻击源主动交互的能力 模拟网络服务响应,模拟漏洞
6、容易部署,容易控制攻击 低交互式交互级别由于模拟能力而受限,数据获取能力和伪装性较弱,一般仅能捕获已知攻击 例: Honeyd 商业产品: KFSensorKFSensor, Specter, , HoneyPointHoneyPoint,网络攻防技术,高交互式蜜罐技术,高交互式蜜罐技术 使用真实的操作系统、网络服务与攻击源进行交互 高度的交互等级对未知漏洞、安全威胁具有天然的可适性,数据获取能力、伪装性均较强 弱势资源需求较大,可扩展性较弱,部署安全风险较高 虚拟机蜜罐 VS. 物理蜜罐 虚拟机(Virtual Machine)/仿真器(Emulator)技术 节省硬件资源、容易部署和控制、
7、容易恢复、安全风险降低 高交互式蜜罐工具 Honeynet 蜜网项目组(The Honeynet Project),网络攻防技术,蜜罐技术优缺点,优点 收集到的数据很大可能就是由于黑客攻击造成的,不依赖于任何复杂的检测技术等,因此减少了漏报率和误报率。 能够收集到新的攻击工具和攻击方法。 不需要强大的资源支持。 缺点 需要较多的时间和精力投入。 只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限。 不能直接防护有漏洞的信息系统。 会带来一定的安全风险。,网络攻防技术,蜜罐技术原理,蜜罐技术原理“蜜罐公理” 无任何业务用途没有任何的正常活动任何活动都是恶意的 攻击诱骗、安全威胁预警 绕过攻击
8、检测问题区分正常业务和攻击行为 防火墙:定义安全策略保证正常业务 入侵检测系统:根据已知攻击特征进行检测 反病毒软件:根据已知病毒特征码,网络攻防技术,蜜罐技术如何实施诱骗?,欺骗环境 (Pot)的构建: 黑洞VS. 模拟VS. 真实 零交互式蜜罐: 黑洞,没有任何响应 低交互式蜜罐虚拟蜜罐: 模拟网络拓扑、协议栈、服务(Honeyd/Nepenthes);模拟;OS (Sandbox) 高交互式蜜罐 物理蜜罐 : 完全真实的硬件、OS、应用、服务 虚拟机蜜罐 : 模拟的硬件(VMWare)/真实的OS、应用、服务,网络攻防技术,蜜罐技术如何实施诱骗?,部署陷阱 , 诱骗攻击者(Honey)
9、安全漏洞针对扫描式攻击 散播陷阱信息引诱攻击者(Google Hacking Honeypot, HoneyEmail) 重定向技术(Honey farm) 主动出击: 利用爬虫技术客户端蜜罐(HoneyClawer 恶意网站监测),网络攻防技术,蜜罐技术诱骗之后,欺骗环境的核心功能需求 数据控制 数据捕获 数据分析 欺骗环境的配置管理,网络攻防技术,蜜罐技术实例(Honeyd ),Honeyd 是一种针对UNIX系统设计、开源、低交互的Honeypot,用于对可疑活动的检测、捕获和预警。,网络攻防技术,Honeyd,支持同时模拟多个IP地址主机 经过测试,最多同时支持65535个IP地址 支
10、持模拟任意的网络拓扑结构 通过服务模拟脚本可以模拟任意TCP/UDP网络服务 IIS, Telnet, pop3 支持ICMP 对ping和traceroutes做出响应 通过代理机制支持对真实主机、网络服务的整合,网络攻防技术,Honeyd与其虚拟的系统之间的关系,网络攻防技术,Honeyd体系结构,网络攻防技术,Honeyd体系结构,路由模块 中央数据包分发器 将输入的数据包分发到相应的协议处理器 协议处理器 Service模拟脚本 个性化引擎 配置数据库 存储网络协议栈的个性化特征,网络攻防技术,Honeyd功能,接收网络流量 模拟蜜罐系统 仅模拟网络协议栈层次,而不涉及操作系统各个层面
11、 可以模拟任意的网络拓扑 Honeyd宿主主机的安全性 限制只能在网络层面与蜜罐进行交互 捕获网络连接和攻击企图 日志功能,网络攻防技术,路由拓扑实现,Honeyd支持创建任意的网络拓扑结构 对路由树的模拟 配置一个路由进入点 可配置链路时延和丢包率 模拟任意的路由路径 扩展 将物理主机融合入模拟的网络拓扑 通过 GREGRE隧道模式支持分布式部署,网络攻防技术,个性化引擎,不同的操作系统有不同的网络协议栈行为 攻击者通常会运行指纹识别工具,如Xprobe和Nmap获得目标系统的进一步信息 个性化引擎使得虚拟蜜罐看起来像真实的目标,为什么需要个性化引擎?,网络攻防技术,个性化引擎,每个由 Ho
12、neyd产生的包都通过个性化引擎 引入操作系统特定的指纹,让Nmap/Xprobe进行识别 使用Nmap指纹库作为TCP/UDP连接的参考 使用Xprobe指纹库作为ICMP包的参考,网络攻防技术,日志功能,Honeyd的日志功能 Honeyd对任何协议创建网络连接日志,报告试图发起的、或完整的网络连接 在网络协议模拟实现中可以进行相关信息收集,网络攻防技术,蜜罐网络Honeynet,蜜网技术 实质上是一种研究型、高交互型的蜜罐技术 一个体系框架 包括一个或多个蜜罐 多层次的数据控制机制高度可控 全面的数据捕获机制 辅助研究人员对攻击数据进行深入分析,网络攻防技术,虚拟蜜网,在一台机器上部署蜜
13、网的解决方案 VMware & User Mode Linux 优势 减少部署成本 更容易管理 劣势 虚拟机的指纹虚拟硬件的配置信息,网络攻防技术,蜜网项目组,非赢利性研究机构 目标 To learn the tools, tactics, and motives of the blackhat community and share these lessons learned 历史 1999 非正式的邮件列表 June 2000 演变为蜜网项目组 Jan. 2002 发起蜜网研究联盟 Dec. 2002 10个活跃的联盟成员 创始人及主席 Lance Spitzner (Sun Micros
14、ystems),网络攻防技术,蜜网技术的发展历程,I: 1999-2001 Gen I 蜜网技术: 概念验证 II: 2001-2003 Gen II 蜜网技术: 初步成熟的蜜网技术方案 III: 2003-2004 HoneyWall Eeyore : 可引导的CDROM,集成数据控制和数据捕获工具 IV: 2004-2005 对分布式的蜜网捕获的数据进行收集和关联的集中式系统kanga V: 2005- Gen 3 蜜网技术 数据捕获机制的改进argus、sebek 3.0.x Data Analysis Framework Walleye New HoneyWall CDROM Roo
15、Ed Balas, Indiana University,网络攻防技术,蜜网的体系结构,网络攻防技术,蜜网技术核心需求,数据控制机制 防止蜜网被黑客/恶意软件利用攻击第三方 数据捕获机制 获取黑客攻击/恶意软件活动的行为数据 网络行为数据网络连接、网络流 系统行为数据进程、命令、打开文件、发起连接 数据分析机制 理解捕获的黑客攻击/恶意软件活动的行为,网络攻防技术,Gen I 蜜网,第一代蜜网技术是一个简单地使用防火墙、入侵检测系统和日志/报警服务器构建的受控环境,使用路由器转发会消耗数据包的TTL 值(路由跳数),因此对攻击者来是可见的,容易被攻击者所察觉。,网络攻防技术,Gen I 蜜网体系结构,网络攻防技术,Gen II蜜网,Gen II蜜网体系结构中最关键的部件是称为HoneyWall 的蜜网网关,包括三个网络接口,eth0 接入外网,eth1 连接蜜网,而eth2 作为一个秘密通道,连接到一个监控网络。,网络攻防技术,Gen II蜜网体系结构,网络攻防技术,Gen III 蜜网,加强了辅助分析功能,协助安全研究人员更好地对所捕获的攻击数据进行深入分析并尽量减少工作量。 发布了一个基于Web 界面的非常友好的数据辅助分析工具Walleye,这使得蜜网技术更加完整。,网络攻防技术,Gen III 蜜网,网络攻防技术,
