蜜罐技术详解与案例分析

《蜜罐技术详解与案例分析》由会员分享，可在线阅读，更多相关《蜜罐技术详解与案例分析（9页珍藏版）》请在金锄头文库上搜索。

1、1.1.引言引言 随着人类社会生活对 Internet 需求的日益增长，网络安全逐渐成为 Internet 及各项网络服务和应用进一步发展的关键问题，特别是 1993 年以后 Internet 开始商用化，通过 Internet 进行的各种电子商务业务日益增多，加 之 Internet/Intranet 技术日趋成熟，很多组织和企业都建立了自己的内部网 络并将之与 Internet 联通。上述上电子商务应用和企业网络中的商业秘密均成 为攻击者的目标。据美国商业杂志信息周刊公布的一项调查报告称，黑客 攻击和病毒等安全问题在 2000 年造成了上万亿美元的经济损失，在全球范围内 每数秒钟就发生一起

2、网络攻击事件。2003 年夏天，对于运行着 Microsoft Windows 的成千上万台主机来说简直就是场噩梦！也给广大网民留下了悲伤的 回忆，这一些都归结于冲击波蠕虫的全世界范围的传播。 2.2.蜜罐技术的发展背景蜜罐技术的发展背景 网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。 网络安全防护涉及面很广，从技术层面上讲主要包括防火墙技术、入侵检测技从技术层面上讲主要包括防火墙技术、入侵检测技 术术, ,病毒防护技术病毒防护技术, ,数据加密和认证技术等数据加密和认证技术等。在这些安全技术中，大多数技术都 是在攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取

3、主 动的方式。顾名思义，就是用特有的特征吸引攻击者，同时对攻击者的各种攻 击行为进行分析并找到有效的对付办法。（在这里，可能要声明一下，刚才也 说了，“用特有的特征去吸引攻击者”，也许有人会认为你去吸引攻击者，这 是不是一种自找麻烦呢，但是，我想，如果攻击者不对你进行攻击的话，你又 怎么能吸引他呢？换一种说话，也许就叫诱敌深入了）。 3.3. 蜜罐的概念蜜罐的概念 在这里，我们首先就提出蜜罐的概念。美国 LSpizner 是一个著名的蜜 罐技术专家。他曾对蜜罐做了这样的一个定义：蜜罐是一种资源，它的价值是 被攻击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜 罐不会修补任何东西

4、，这样就为使用者提供了额外的、有价值的信息。蜜罐不 会直接提高计算机网络安全，但是它却是其他安全策略所不可替代的一种主动 防御技术。 具体的来讲，蜜罐系统最为重要的功能是对系统中所有操作和行为进行监具体的来讲，蜜罐系统最为重要的功能是对系统中所有操作和行为进行监 视和记录，可以网络安全专家通过精心的伪装，使得攻击者在进入到目标系统视和记录，可以网络安全专家通过精心的伪装，使得攻击者在进入到目标系统 后仍不知道自己所有的行为已经处于系统的监视下后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者，通常在 蜜罐系统上留下一些安全后门以吸引攻击者上钩，或者放置一些网络攻击者希 望得到的敏感信

5、息，当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击 者的聊天内容进行记录，管理员通过研究和分析这些记录，可以得到攻击者采 用的攻击工具、攻击手段、攻击目的和攻击水平等信息，还能对攻击者的活动 范围以及下一个攻击目标进行了解。同时在某种程度上，这些信息将会成为对 攻击者进行起诉的证据。不过，它仅仅是一个对其他系统和应用的仿真，可以 创建一个监禁环境将攻击者困在其中，还可以是一个标准的产品系统。无论使 用者如何建立和使用蜜罐，只有它受到攻击,它的作用才能发挥出来。 4.4.蜜罐的具体分类和体现的安全价值蜜罐的具体分类和体现的安全价值 自从计算机首次互连以来，研究人员和安全专家就一直使用着各种各

6、样的 蜜罐工具，根据不同的标准可以对蜜罐技术进行不同的分类，前面已经提到， 使用蜜罐技术是基于安全价值上的考虑。但是，可以肯定的就是，蜜罐技术并 不会替代其他安全工具，例如防火墙、系统侦听等。这里我也就安全方面的价 值来对蜜罐技术进行探讨。 根据设计的最终目的不同我们可以将蜜罐分为产品型蜜罐和研究型蜜罐两类。 产品型蜜罐一般运用于商业组织的网络中。它的目的是减轻组织将受到 的攻击的威胁，蜜罐加强了受保护组织的安全措施。他们所做的工作就是检测 并且对付恶意的攻击者。 这类蜜罐在防护中所做的贡献很少，蜜罐不会将那些试图攻击的入侵者拒之 门外，因为蜜罐设计的初衷就是妥协，所以它不会将入侵者拒绝在系统

7、之外， 实际上，蜜罐是希望有人闯入系统，从而进行各项记录和分析工作。 虽然蜜罐的防护功能很弱，但是它却具有很强的检测功能，对于许多组织而 言，想要从大量的系统日志中检测出可疑的行为是非常困难的。虽然，有入侵 检测系统（IDS）的存在，但是，IDS 发生的误报和漏报，让系统管理员疲于处 理各种警告和误报。而蜜罐的作用体现在误报率远远低于大部分 IDS 工具，也 务须当心特征数据库的更新和检测引擎的修改。因为蜜罐没有任何有效行为， 从原理上来讲，任何连接到蜜罐的连接都应该是侦听、扫描或者攻击的一种， 这样就可以极大的减低误报率和漏报率，从而简化检测的过程。从某种意义上 来讲，蜜罐已经成为一个越来越

8、复杂的安全检测工具了。 如果组织内的系统已经被入侵的话，那些发生事故的系统不能进行脱机工作， 这样的话，将导致系统所提供的所有产品服务都将被停止，同时，系统管理员 也不能进行合适的鉴定和分析，而蜜罐可以对入侵进行响应，它提供了一个具 有低数据污染的系统和牺牲系统可以随时进行脱机工作。此时，系统管理员将 可以对脱机的系统进行分析，并且把分析的结果和经验运用于以后的系统中。 研究型蜜罐专门以研究和获取攻击信息为目的而设计。这类蜜罐并没有 增强特定组织的安全性，恰恰相反，蜜罐要做的是让研究组织面对各类网络威 胁，并寻找能够对付这些威胁更好的方式，它们所要进行的工作就是收集恶意 攻击者的信息。它一般运

9、用于军队，安全研究组织。 根据蜜罐与攻击者之间进行的交互，可以分为 3 类：低交互蜜罐，中交互蜜 罐和高交互蜜罐，同时这也体现了蜜罐发展的 3 个过程。 低交互蜜罐最大的特点是模拟。蜜罐为攻击者展示的所有攻击弱点和攻击对 象都不是真正的产品系统，而是对各种系统及其提供的服务的模拟。由于它的 服务都是模拟的行为，所以蜜罐可以获得的信息非常有限，只能对攻击者进行 简单的应答，它是最安全的蜜罐类型。 中交互是对真正的操作系统的各种行为的模拟，它提供了更多的交互信息， 同时也可以从攻击者的行为中获得更多的信息。在这个模拟行为的系统中，蜜 罐可以看起来和一个真正的操作系统没有区别。它们是真正系统还要诱人

10、的攻 击目标。 高交互蜜罐具有一个真实的操作系统，它的优点体现在对攻击者提供真实的 系统，当攻击者获得 ROOT 权限后，受系统，数据真实性的迷惑，他的更多活动 和行为将被记录下来。缺点是被入侵的可能性很高，如果整个高蜜罐被入侵， 那么它就会成为攻击者下一步攻击的跳板。目前在国内外的主要蜜罐产品有 DTK，空系统，BOF，SPECTER，HOME-MADE 蜜罐， HONEYD，SMOKEDETECTOR，BIGEYE，LABREA TARPIT，NETFACADE，KFSENSOR，TINY 蜜罐，MANTRAP，HONEYNET 十四种。 5.5.蜜罐的配置模式蜜罐的配置模式 诱骗服务（d

11、eception service） 诱骗服务是指在特定的 IP 服务端口帧听并像应用服务程序那样对各种网络 请求进行应答的应用程序。DTK 就是这样的一个服务性产品。DTK 吸引攻击者的 诡计就是可执行性，但是它与攻击者进行交互的方式是模仿那些具有可攻击弱 点的系统进行的，所以可以产生的应答非常有限。在这个过程中对所有的行为 进行记录，同时提供较为合理的应答，并给闯入系统的攻击者带来系统并不安 全的错觉。例如，当我们将诱骗服务配置为 FTP 服务的模式。当攻击者连接到 TCP/21 端口的时候，就会收到一个由蜜罐发出的 FTP 的标识。如果攻击者认为 诱骗服务就是他要攻击的 FTP，他就会采用

12、攻击 FTP 服务的方式进入系统。这 样，系统管理员便可以记录攻击的细节。 弱化系统（weakened system） 只要在外部因特网上有一台计算机运行没有打上补丁的微软 Windows 或者 Red Hat Linux 即行。这样的特点是攻击者更加容易进入系统，系统可以收集 有效的攻击数据。因为黑客可能会设陷阱，以获取计算机的日志和审查功能， 需要运行其他额外记录系统，实现对日志记录的异地存储和备份。它的缺点是 “高维护低收益”。因为，获取已知的攻击行为是毫无意义的。 强化系统（hardened system） 强化系统同弱化系统一样，提供一个真实的环境。不过此时的系统已经武 装成看似足够

13、安全的。当攻击者闯入时，蜜罐就开始收集信息，它能在最短的 时间内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。 如果攻击者具有更高的技术，那么，他很可能取代管理员对系统的控制，从而 对其它系统进行攻击。 用户模式服务器（user mode server） 用户模式服务器实际上是一个用户进程，它运行在主机上，并且模拟成一 个真实的服务器。在真实主机中，每个应用程序都当作一个具有独立 IP 地址的 操作系统和服务的特定是实例。而用户模式服务器这样一个进程就嵌套在主机 操作系统的应用程序空间中，当 INTERNET 用户向用户模式服务器的 IP 地址发 送请求，主机将接受请求并且转发

14、到用户模式服务器上。（我们用这样一个图 形来表示一下他们之间的关系）：这种模式的成功与否取决于攻击者的进入程 度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。即使 蜜罐被攻陷，由于用户模式服务器是一个用户进程，那么 Administrator 只要关闭该进程就可以了。另外就是可以将 FIREWALL,IDS 集中于同一台服务器上。 当然，其局限性是不适用于所有的操作系统。 6.6.蜜罐的信息收集蜜罐的信息收集 当我们察觉到攻击者已经进入蜜罐的时候，接下来的任务就是数据的收集 了。数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统 的每个数据包，就能够对黑客的所作所

15、为一清二楚。蜜罐本身上面的日志文件蜜罐本身上面的日志文件 也是很好的数据来源。但日志文件很容易被攻击者删除，所以通常的办法就是也是很好的数据来源。但日志文件很容易被攻击者删除，所以通常的办法就是 让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。 （务必同时监控日志服务器（务必同时监控日志服务器。如果攻击者用新手法闯入了服务器，那么蜜罐无 疑会证明其价值。） 近年来，由于黑帽子群体越来越多地使用加密技术，数据收集任务的难度大 大增强。如今，他们接受了众多计算机安全专业人士的建议，改而采用 SSH 等 密码

16、协议，确保网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修 改目标计算机的操作系统，以便所有敲入的字符、传输的文件及其它信息都记 录到另一个监控系统的日志里面。因为攻击者可能会发现这类日志，蜜网计划 采用了一种隐蔽技术。譬如说，把敲入字符隐藏到 NetBIOS 广播数据包里面。 7.7.蜜罐的实际例子蜜罐的实际例子 下面我们以 Redhat linux 9.0 为平台，做一个简单的蜜罐陷阱的配置。 我们知道，黑客一旦获得 root 口令，就会以 root 身份登录，这一登录过程就 是黑客入侵的必经之路。其二，黑客也可能先以普通用户身份登录，然后用 su 命令转换成 root 身份，这又是一条必经之路。 我们讨论如何在以下情况下设置陷阱： (1)当黑客以 root 身份登录时； (2)当黑客用 su 命令转换成 root 身份时； (3)当黑客以 root 身份成功登录后一段时