《蜜罐技术详解与案例分析》由会员分享,可在线阅读,更多相关《蜜罐技术详解与案例分析(9页珍藏版)》请在金锄头文库上搜索。
1、1. 引言随着人类社会生活对 Internet 需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后 Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之 Internet/Intranet 技术日趋成熟,很多组织和企业都建立了自己的内部网络并 将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻 击者的目标。据美国商业杂志信息周刊公布的一项调查报告称,黑客攻击和 病毒等安全问题在2000年造成了上万亿美元的经济损失,在全球范围内每数秒 钟就发生一起网络攻击事件。 2003 年夏天
2、,对于运行着 Microsoft Windows 的 成千上万台主机来说简直就是场噩梦!也给广大网民留下了悲伤的回忆,这一些 都归结于冲击波蠕虫的全世界范围的传播。2. 蜜罐技术的发展背景网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网 络安全防护涉及面很广,从技术层面上讲主要包括防火墙技术、入侵检测技术, 病毒防护技术,数据加密和认证技术等。在这些安全技术中,大多数技术都是在 攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方 式。顾名思义,就是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进 行分析并找到有效的对付办法。(在这里,可能要声明一下,刚
3、才也说了,“用 特有的特征去吸引攻击者”,也许有人会认为你去吸引攻击者,这是不是一种自 找麻烦呢,但是,我想,如果攻击者不对你进行攻击的话,你又怎么能吸引他呢? 换一种说话,也许就叫诱敌深入了)。3. 蜜罐的概念在这里,我们首先就提出蜜罐的概念。美国L. Spizner是一个著名的蜜罐 技术专家。他曾对蜜罐做了这样的一个定义:蜜罐是一种资源,它的价值是被攻 击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会 修补任何东西,这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提 高计算机网络安全,但是它却是其他安全策略所不可替代的一种主动防御技术。具体的来讲,蜜罐系统最为重
4、要的功能是对系统中所有操作和行为进行监 视和记录,可以网络安全专家通过精心的伪装,使得攻击者在进入到目标系统 后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者,通常在蜜 罐系统上留下一些安全后门以吸引攻击者上钩,或者放置一些网络攻击者希望得 到的敏感信息,当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊 天内容进行记录,管理员通过研究和分析这些记录,可以得到攻击者采用的攻击 工具、攻击手段、攻击目的和攻击水平等信息,还能对攻击者的活动范围以及下 一个攻击目标进行了解。同时在某种程度上,这些信息将会成为对攻击者进行起 诉的证据。不过,它仅仅是一个对其他系统和应用的仿真,可以创
5、建一个监禁环 境将攻击者困在其中,还可以是一个标准的产品系统。无论使用者如何建立和使 用蜜罐,只有它受到攻击,它的作用才能发挥出来。4. 蜜罐的具体分类和体现的安全价值自从计算机首次互连以来,研究人员和安全专家就一直使用着各种各样的蜜 罐工具,根据不同的标准可以对蜜罐技术进行不同的分类,前面已经提到,使用 蜜罐技术是基于安全价值上的考虑。但是,可以肯定的就是,蜜罐技术并不会替 代其他安全工具,例如防火墙、系统侦听等。这里我也就安全方面的价值来对蜜 罐技术进行探讨。 根据设计的最终目的不同我们可以将蜜罐分为产品型蜜罐和研究型蜜罐两 类。 产品型蜜罐一般运用于商业组织的网络中。它的目的是减轻组织将
6、受到 的攻击的威胁,蜜罐加强了受保护组织的安全措施。他们所做的工作就是检测并 且对付恶意的攻击者。这类蜜罐在防护中所做的贡献很少,蜜罐不会将那些试图攻击的入侵者拒之门 外,因为蜜罐设计的初衷就是妥协,所以它不会将入侵者拒绝在系统之外,实际 上,蜜罐是希望有人闯入系统,从而进行各项记录和分析工作。虽然蜜罐的防护功能很弱,但是它却具有很强的检测功能,对于许多组织而言, 想要从大量的系统日志中检测出可疑的行为是非常困难的。虽然,有入侵检测系 统(IDS)的存在,但是,IDS发生的误报和漏报,让系统管理员疲于处理各种 警告和误报。而蜜罐的作用体现在误报率远远低于大部分IDS工具,也务须当心 特征数据库
7、的更新和检测引擎的修改。因为蜜罐没有任何有效行为,从原理上来 讲,任何连接到蜜罐的连接都应该是侦听、扫描或者攻击的一种,这样就可以极 大的减低误报率和漏报率,从而简化检测的过程。从某种意义上来讲,蜜罐已经 成为一个越来越复杂的安全检测工具了。如果组织内的系统已经被入侵的话,那些发生事故的系统不能进行脱机工作, 这样的话,将导致系统所提供的所有产品服务都将被停止,同时,系统管理员也 不能进行合适的鉴定和分析,而蜜罐可以对入侵进行响应,它提供了一个具有低 数据污染的系统和牺牲系统可以随时进行脱机工作。此时,系统管理员将可以对 脱机的系统进行分析,并且把分析的结果和经验运用于以后的系统中。 研究型蜜
8、罐专门以研究和获取攻击信息为目的而设计。这类蜜罐并没有 增强特定组织的安全性,恰恰相反,蜜罐要做的是让研究组织面对各类网络威胁, 并寻找能够对付这些威胁更好的方式,它们所要进行的工作就是收集恶意攻击者 的信息。它一般运用于军队,安全研究组织。 根据蜜罐与攻击者之间进行的交互,可以分为 3类:低交互蜜罐,中交互蜜 罐和高交互蜜罐,同时这也体现了蜜罐发展的 3 个过程。 低交互蜜罐最大的特点是模拟。蜜罐为攻击者展示的所有攻击弱点和攻击对 象都不是真正的产品系统,而是对各种系统及其提供的服务的模拟。由于它的服 务都是模拟的行为,所以蜜罐可以获得的信息非常有限,只能对攻击者进行简单 的应答,它是最安全
9、的蜜罐类型。 中交互是对真正的操作系统的各种行为的模拟,它提供了更多的交互信息, 同时也可以从攻击者的行为中获得更多的信息。在这个模拟行为的系统中,蜜罐 可以看起来和一个真正的操作系统没有区别。它们是真正系统还要诱人的攻击目 标。 高交互蜜罐具有一个真实的操作系统,它的优点体现在对攻击者提供真实的系 统,当攻击者获得ROOT权限后,受系统,数据真实性的迷惑,他的更多活动和 行为将被记录下来。缺点是被入侵的可能性很高,如果整个高蜜罐被入侵,那么 它就会成为攻击者下一步攻击的跳板。目前在国内外的主要蜜罐产品有DTK,空 系统,BOF,SPECTER,HOME-MADE 蜜罐,HONEYD, SMO
10、KEDETECTOR,BIGEYE,LABREA TARPIT,NETFACADE,KFSENSOR,TINY 蜜罐,MANTRAP, HONEYNET 十四种。5. 蜜罐的配置模式 诱骗服务(deception service)诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络 请求进行应答的应用程序。DTK就是这样的一个服务性产品。DTK吸引攻击者的 诡计就是可执行性,但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点 的系统进行的,所以可以产生的应答非常有限。在这个过程中对所有的行为进行 记录,同时提供较为合理的应答,并给闯入系统的攻击者带来系统并不安全的错 觉。例如,
11、当我们将诱骗服务配置为FTP服务的模式。当攻击者连接到TCP/21 端口的时候,就会收到一个由蜜罐发出的FTP的标识。如果攻击者认为诱骗服务 就是他要攻击的FTP,他就会采用攻击FTP服务的方式进入系统。这样,系统管 理员便可以记录攻击的细节。 弱化系统(weakened system)只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者 Red Hat Linux即行。这样的特点是攻击者更加容易进入系统,系统可以收集有 效的攻击数据。因为黑客可能会设陷阱,以获取计算机的日志和审查功能,需要 运行其他额外记录系统,实现对日志记录的异地存储和备份。它的缺点是“高维 护低收益”。
12、因为,获取已知的攻击行为是毫无意义的。 强化系统(hardened system)强化系统同弱化系统一样,提供一个真实的环境。不过此时的系统已经武装 成看似足够安全的。当攻击者闯入时,蜜罐就开始收集信息,它能在最短的时间 内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。如果攻 击者具有更高的技术,那么,他很可能取代管理员对系统的控制,从而对其它系 统进行攻击。 用户模式服务器(user mode server)用户模式服务器实际上是一个用户进程,它运行在主机上,并且模拟成一个 真实的服务器。在真实主机中,每个应用程序都当作一个具有独立IP地址的操 作系统和服务的特定是实例。而用
13、户模式服务器这样一个进程就嵌套在主机操作 系统的应用程序空间中,当INTERNET用户向用户模式服务器的IP地址发送请求, 主机将接受请求并且转发到用户模式服务器上。(我们用这样一个图形来表示一 下他们之间的关系):这种模式的成功与否取决于攻击者的进入程度和受骗程度。 它的优点体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被攻陷,由于 用户模式服务器是一个用户进程,那么Administrator只要关闭该进程就可以 了。另外就是可以将FIREWALL,IDS集中于同一台服务器上。当然,其局限性是 不适用于所有的操作系统。6. 蜜罐的信息收集当我们察觉到攻击者已经进入蜜罐的时候,接下来的任务
14、就是数据的收集 了。数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的 每个数据包,就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是 很好的数据来源。但日志文件很容易被攻击者删除,所以通常的办法就是让蜜 罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。(务 必同时监控日志服务器。如果攻击者用新手法闯入了服务器,那么蜜罐无疑会证 明其价值。)近年来,由于黑帽子群体越来越多地使用加密技术,数据收集任务的难度大 大增强。如今,他们接受了众多计算机安全专业人士的建议,改而采用SSH等密 码协议,确保网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修改目
15、标计算机的操作系统,以便所有敲入的字符、传输的文件及其它信息都记录到另 一个监控系统的日志里面。因为攻击者可能会发现这类日志,蜜网计划采用了一 种隐蔽技术。譬如说,把敲入字符隐藏到Net BIOS广播数据包里面。7. 蜜罐的实际例子下面我们以 Redhat linux 9.0 为平台,做一个简单的蜜罐陷阱的配置。我们知道,黑客一旦获得root 口令,就会以root身份登录,这一登录过程就是 黑客入侵的必经之路。其二,黑客也可能先以普通用户身份登录,然后用su命 令转换成 root 身份,这又是一条必经之路。我们讨论如何在以下情况下设置陷阱:(1) 当黑客以 root 身份登录时;(2) 当黑客
16、用 su 命令转换成 root 身份时;(3) 当黑客以 root 身份成功登录后一段时间内;第一种情况的陷阱设置一般情况下,只要用户输入的用户名和口令正确,就能顺利进入系统。如果我们 在进入系统时设置了陷阱,并使黑客对此防不胜防,就会大大提高入侵的难度系 数。例如,当黑客已获取正确的root 口令,并以root身份登录时,我们在此设 置一个迷魂阵,提示它,你输入的口令错误,并让它重输用户名和口令。而其实, 这些提示都是虚假的,只要在某处输入一个密码就可通过。黑客因此就掉入这个 陷阱,不断地输入 root 用户名和口令,却不断地得到口令错误的提示,从而使 它怀疑所获口令的正确性,放弃入侵的企图。给超级用户也就是root用户设置陷阱,并不会给系统带来太多的麻烦,因为, 拥有root 口令的人数不会太多,为了系统的安全,稍微增加一点复杂性也是值 得的。这种陷阱的设置时很方便的,我们只要在root用
