《蜜罐诱骗的基础知识讲解》由会员分享,可在线阅读,更多相关《蜜罐诱骗的基础知识讲解(12页珍藏版)》请在金锄头文库上搜索。
1、本文格式为Word版,下载可任意编辑蜜罐诱骗的基础知识讲解 蜜罐诱骗的根基学识讲解 1.引言 随着人类社会生活对Internet需求的日益增长,网络安好逐步成为Internet及各项网络服务和应用进一步进展的关键问题,更加是1993年以后Internet开头商用化,通过Internet举行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,好多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业机要均成为攻击者的目标。据美国商业杂志信息周刊公布的一项调查报告称,黑客攻击和病毒等安好问题在2000年造成了上万亿美元的经济损
2、失,在全球范围内每数秒钟就发生一起网络攻击事情。2022年夏天,对于运行着Microsoft Windows的成千上万台主机来说简直就是场噩梦!也给宏大网民留下了凄怆的回忆,这一些都归结于冲击波蠕虫的全世界范围的传播。 2.蜜罐技术的进展背景 网络与信息安好技术的核心问题是对计算机系统和网络举行有效的防护。网络安好防护涉及面很广,从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安好技术中,大多数技术都是在攻击者对网络举行攻击时对系统举行被动的防护。而蜜罐技术可以采取主动的方式。顾名思义,就是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为举行分析并找
3、到有效的对付手段。(在这里,可能要声明一下,方才也说了,“用特有的特征去吸引攻击者”,可能有人会认为你去吸引攻击者,这是不是一种自找麻烦呢,但是,我想,假设攻击者不对你举行攻击的话,你又怎么能吸引他呢?换一种说话,可能就叫诱敌深入了)。 3. 蜜罐的概念 在这里,我们首先就提出蜜罐的概念。美国 LSpizner是一个出名的蜜罐技术专家。他曾对蜜罐做了这样的一个定义:蜜罐是一种资源,它的价值是被攻击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至结果被攻陷的,蜜罐不会修补任何东西,这样就为使用者供给了额外的、有价值的信息。蜜罐不会直接提高计算机网络安好,但是它却是其他安好策略所不成替代的一种主动防
4、卫技术。 概括的来讲,蜜罐系统最为重要的功能是对系统中全体操作和行为举行监视和记录,可以网络安好专家通过用心的伪装,使得攻击者在进入到目标系统后仍不知道自己全体的行为已经处于系统的监视下。为了吸引攻击者,通常在蜜罐系统上留下一些安好后门以吸引攻击者上钩,或者放置一些网络攻击者梦想得到的敏感信息,当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的闲聊内容举行记录,管理员通过研究和分析这些记录,可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水对等信息,还能对攻击者的活动范围以及下一个攻击目标举行了解。同时在某种程度上,这些信息将会成为对攻击者举行起诉的证据。不过,它仅仅是一个对其他系统
5、和应用的仿真,可以创造一个监禁环境将攻击者困在其中,还可以是一个标准的产品系统。无论使用者如何建立和使用蜜罐,只有它受到攻击,它的作用才能发挥出来。 4.蜜罐的概括分类和表达的安好价值 自从计算机首次互连以来,研究人员和安好专家就一向使用着各种各样的蜜罐工具,根据不同的标准可以对蜜罐技术举行不同的分类,前面已经提到,使用蜜罐技术是基于安好价值上的考虑。但是,可以断定的就是,蜜罐技术并不会替代其他安好工具,列如防火墙、系统侦听等。这里我也就安好方面的价值来对蜜 罐技术举行探讨。 根据设计的最终目的不同我们可以将蜜罐分为产品型蜜罐和研究型蜜罐两类。 产品型蜜罐一般运用于商业组织的网络中。它的目的是
6、减轻受组织将受到的攻击的要挟,蜜罐加强了受养护组织的安好措施。他们所做的工作就是检测并且对付恶意的攻击者。 这类蜜罐在防护中所做的付出很少,蜜罐不会将那些试图攻击的入侵者拒之门外,由于蜜罐设计的初衷就是妥协,所以它不会将入侵者拒绝在系统之外,实际上,蜜罐是梦想有人闯入系统,从而举行各项记录和分析工作。 虽然蜜罐的防护功能很弱,但是它却具有很强的检测功能,对于大量组织而言,想要从大量的系统日志中检测出可疑的行为是分外困难的。虽然,有入侵检测系统(IDS)的存在,但是,IDS发生的误报和漏报,让系统管理员疲于处理各种警告和误报。而蜜罐的作用表达在误报率远远低于大片面IDS工具,也务须留心特征数据库
7、的更新和检测引擎的修改。由于蜜罐没有任何有效行为,从原理上来讲,任何连接到蜜罐的连接都理应是侦听、扫描或者攻击的一种,这样就可以极大的减低误报率和漏报率,从而简化检测的过程。从某种意义上来讲,蜜罐已经成为一个越来越繁杂的安好检测工具了。 假设组织内的系统已经被入侵的话,那些发生事故的系统不能举行脱机工作,这样的话,将导致系统所供给的全体产品服务都将被中断,同时,系统管理员也不能举行适合的鉴定和分析,而蜜罐可以对入侵举行响应,它供给了一个具有低数据污染的系统和牺牲系统可以随时举行脱机工作。此时,系统管理员将可以对脱机的系统举行分析,并且把分析的结果和阅历运用于以后的系统中。 研究型蜜罐特意以研究
8、和获取攻击信息为目的而设计。这类蜜罐并没有巩固特定组织的安好性,恰恰相反,蜜罐要做的是让研究组织面队各类网络要挟,并探索能够对付这些要挟更好的方式,它们所要举行的工作就是收集恶意攻击者的信息。它一般运用于军队,安好研究组织。 根据蜜罐与攻击者之间举行的交互,可以分为3类:低交互蜜罐,中交互蜜罐和高交互蜜罐,同时这也表达了蜜罐进展的3个过程。 低交互蜜罐最大的特点是模拟。蜜罐为攻击者表示的全体攻击弱点和攻击对象都不是真正的产品系统,而是对各种系统及其供给的服务的模拟。由于它的服务都是模拟的行为,所以蜜罐可以获得的信息分外有限,只能对攻击者举行简朴的应答,它是最安好的蜜罐类型。 中交互是对真正的操
9、作系统的各种行为的模拟,它供给了更多的交互信息,同时也可以从攻击者的行为中获得更多的信息。在这个模拟行为的系统中,蜜罐可以看起来和一个真正的操作系统没有识别。它们是真正系统还要迷人的攻击目标。 高交互蜜罐具有一个真实的操作系统,它的优点表达在对攻击者供给真实的系统,当攻击者获得ROOT权限后,受系统,数据真实性的迷惑,他的更多活动和行为将被记录下来。缺点是被入侵的可能性很高,假设整个高蜜罐被入侵,那么它就会成为攻击者下一步攻击的跳板。目前在国内外的主要蜜罐产品有DTK,空系统,BOF,SPECTER,HOME-MADE蜜罐,HONEYD,SMOKEDETECTOR,BIGEYE,LABREA
10、TARPIT,NETFACADE,KFSENSOR,TINY蜜罐,MANTRAP,HONEYNET十四种。 5.蜜罐的配置模式 诱骗服务(deception service) 诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络苦求举行应答的应用程序。DTK就是这样的一个服务性产品。DTK吸引攻击者的狡计就是可执行性,但是它与攻击者举行交互的方式是模仿那些具有可攻击弱点的系统举行的,所以可以产生的应答分外有限。在这个过程中对全体的行为举行记录,同时供给较为合理的应答,并给闯入系统的攻击者带来系统并担心全的错觉。例如,当我们将诱骗服务配置为FTP服务的模式。当攻击者连接到TCP/2
11、1端口的时候,就会收到一个由蜜罐发出的FTP的标识。假设攻击者认为诱骗服务就是他要攻击的FTP,他就会采用攻击FTP服务的方式进入系统。这样,系统管理员便可以记录攻击的细节。 弱化系统(weakened system) 只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。这样的特点是攻击者更加轻易进入系统,系统可以收集有效的攻击数据。由于黑客可能会设陷阱,以获取计算机的日志和审查功能,需要运行其他额外记录系统,实现对日志记录的异地存储和备份。它的缺点是“高维护低收益”。由于,获取已知的攻击行为是毫无意义的。 强化系统(hardened syst
12、em) 强化系统同弱化系统一样,供给一个真实的环境。不过此时的系统已经武装成看似足够安好的。当攻击者闯入时,蜜罐就开头收集信息,它能在最短的时间内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。假设攻击者具有更高的技术,那么,他很可能取代管理员对系统的操纵,从而对其它系统举行攻击。 用户模式服务器(user mode server) 用户模式服务器实际上是一个用户进程,它运行在主机上,并且模拟成一个真实的服务器。在真实主机中,每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定是实例。而用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中,当INTERNET用户
13、向用户模式服务器的IP地址发送苦求,主机将采纳苦求并且转发到用户模式服务器上。(我们用这样一个图形来表示一下他们之间的关系):这种模式的告成与否取决于攻击者的进入程度和受骗程度。它的优点表达在系统管理员对用户主机有十足的操纵权。即使蜜罐被攻陷,由于用户模式服务器是一个用户进程,那么Administrator只要关闭该进程就可以了。另外就是可以将FIREWALL,IDS集中于同一台服务器上。当然,其局限性是不适用于全体的操作系统。 6.蜜罐的信息收集 当我们觉察到攻击者已经进入蜜罐的时候,接下来的任务就是数据的收集了。数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包,
14、就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很轻易被攻击者删除,所以通常的手段就是让蜜罐向在同一网络上但防卫机制较完善的远程系统日志服务器发送日志备份。(务必同时监控日志服务器。假设攻击者用新手法闯入了服务器,那么蜜罐无疑会证明其价值。) 近年来,由于黑帽子群体越来越多地使用加密技术,数据收集任务的难度大大巩固。如今,他们采纳了众多计算机安好专业人士的建议,改而采用SSH等密码协议,确保网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修改目标计算机的操作系统,以便全体敲入的字符、传输的文件及其它信息都记录到另一个监控系统的日志里面。由于攻击者可能会察
15、觉这类日志,蜜网筹划采用了一种隐秘技术。譬如说,把敲入字符暗藏到NetBIOS播送数据包里面。 7.蜜罐的实际例子 下面我们以Redhat linux 9.0为平台,做一个简朴的蜜罐陷阱的配置。 我们知道,黑客一旦获得root口令,就会以root身份登录,这一登录过程就是黑客入侵的必经之路。其二,黑客也可能先以普遍用户身份登录,然后用su命令转换成root身份,这又是一条必经之路。 我们议论如何在以下处境下设置陷阱: (1)当黑客以root身份登录时; (2)当黑客用su命令转换成root身份时; (3)当黑客以root身份告成登录后一段时间内; 第一种处境的陷阱设置 一般处境下,只要用户输入的用户名和口令正确,就能顺遂进入系统。假设我们在进入系统时设置了陷阱,并使黑客对此防不胜防,就会大大提高入侵的难度系数。例如,当黑客已
