淺談陷阱系統(tǒng)分析與實(shí)現(xiàn)

1、淺談陷阱系統(tǒng)分析與實(shí)現(xiàn)摘要：文章介紹了目前網(wǎng)絡(luò)安全的現(xiàn)狀和有關(guān)技術(shù)，重點(diǎn)分析了陷阱技術(shù)，并提出了一種陷阱系統(tǒng)在網(wǎng)絡(luò)中的部署方案，討論了此種結(jié)構(gòu)的優(yōu)點(diǎn)及其中防火墻、路由器與入侵檢測(cè)系統(tǒng)發(fā)揮的重要作用。 關(guān)鍵詞：防火墻；入侵檢測(cè)；陷阱系統(tǒng) 計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)為人們提供了各種方便和機(jī)會(huì)，然而網(wǎng)絡(luò)帶來(lái)便利的同時(shí)也帶來(lái)了各種各樣的問(wèn)題，特別是網(wǎng)絡(luò)安全問(wèn)題，與人們的生活和工作息息相關(guān)。目前網(wǎng)絡(luò)安全主要技術(shù)包括：防火墻、入侵檢測(cè)、加密技術(shù)、漏洞掃描等，但是這些防御措施都是在已發(fā)現(xiàn)的各種攻擊方式的基礎(chǔ)上去推測(cè)和防御黑客的攻擊，都是被動(dòng)的；但是，由于黑客采用的技術(shù)不斷更新變化，我們的應(yīng)對(duì)措施總是滯后于各種攻擊模式

2、，這種情況對(duì)于網(wǎng)絡(luò)安全是非常不利的。因此，人們又開始研究一種新型的與傳統(tǒng)安全思想完全不同的網(wǎng)絡(luò)安全技術(shù)陷阱。不同于原有的網(wǎng)絡(luò)安全策略，陷阱技術(shù)是通過(guò)模擬真實(shí)網(wǎng)絡(luò)，吸引黑客主動(dòng)攻擊，從而學(xué)習(xí)了解入侵者的思路、目的和工具1。通過(guò)這種方式，可以更好地理解網(wǎng)絡(luò)所遇到的威脅，在學(xué)習(xí)如何防御這些威脅時(shí)也有了更好的依據(jù)。 1陷阱技術(shù) 陷阱技術(shù)是一種記錄黑客攻擊過(guò)程的技術(shù)，它使用各種監(jiān)控技術(shù)來(lái)捕獲攻擊者的行為，其實(shí)是用來(lái)欺騙攻擊者，使他們進(jìn)入受控環(huán)境中，并在此過(guò)程中生成對(duì)于當(dāng)前攻擊行為、工具、技術(shù)的數(shù)據(jù)，把攻擊者引入到并不重要的虛擬環(huán)境中，降低黑客攻擊重要系統(tǒng)的可能性，從而減少對(duì)重要系統(tǒng)和網(wǎng)絡(luò)的威脅。陷阱系統(tǒng)

3、是通過(guò)陷阱技術(shù)實(shí)現(xiàn)的一種主機(jī)或網(wǎng)絡(luò)，是預(yù)設(shè)的環(huán)境，它使用相應(yīng)的技術(shù)手段把黑客等侵入系統(tǒng)的一切信息記錄下來(lái)，包括攻擊的過(guò)程、使用工具等，可以保護(hù)主機(jī)的正常運(yùn)行，更為重要的是，它可以混淆黑客等入侵者的攻擊目標(biāo)，從而保護(hù)關(guān)鍵主機(jī)。陷阱系統(tǒng)收集的信息可以追蹤和查找入侵者的資料；可以作為培訓(xùn)教案提高安全人員防范黑客攻擊的能力，還可以作為證據(jù)起訴入侵者。陷阱系統(tǒng)實(shí)質(zhì)上是模擬真實(shí)系統(tǒng)或網(wǎng)絡(luò)，但一般不包含有價(jià)值的數(shù)據(jù)和信息，但在攻擊者看來(lái)要有吸引力，迷惑攻擊者，同時(shí)不能威脅到重要系統(tǒng)和數(shù)據(jù)的安全。當(dāng)前，實(shí)現(xiàn)陷阱的技術(shù)主要有兩大類：蜜罐技術(shù)（Honeypot）和蜜網(wǎng)系統(tǒng)（HoneynetSystem）。 1.1

4、蜜罐技術(shù) 蜜罐實(shí)際上是一種網(wǎng)絡(luò)資源，它存在的價(jià)值就在于被探測(cè)和被攻擊2。所以Honeypot會(huì)模擬不同系統(tǒng)或一些常見的漏洞，在某個(gè)系統(tǒng)上做相應(yīng)設(shè)置使其誘騙入侵者的攻擊，比如Honeyd，BOF和Specter等。蜜罐系統(tǒng)的目的是通過(guò)額外開銷浪費(fèi)攻擊者的精力和時(shí)間，以減少關(guān)鍵系統(tǒng)被攻擊的風(fēng)險(xiǎn)，還可以通過(guò)記錄攻擊者的攻擊方法和路徑，為提高重要系統(tǒng)的安全策略提供依據(jù)。一般來(lái)說(shuō)，Honeypot應(yīng)通過(guò)路由器或防火墻放置在靠近正常服務(wù)區(qū)的地方以吸引入侵者的注意，這里正常服務(wù)區(qū)指的是提供服務(wù)和存放重要數(shù)據(jù)的系統(tǒng)或服務(wù)器。這時(shí)在路由器或防火墻中需要使用端口重定向功能隱藏真正的目標(biāo)IP，使入侵者感覺是在訪問(wèn)服

5、務(wù)區(qū)。另外一種方法是把Honeypot布置在提供服務(wù)的系統(tǒng)與系統(tǒng)之間。這種方式更適合于來(lái)自網(wǎng)絡(luò)外部的隨機(jī)攻擊，這是因?yàn)榇蟛糠智闆r下外部人員很難知曉內(nèi)部網(wǎng)絡(luò)分布的詳細(xì)情況，發(fā)動(dòng)的攻擊也就帶有一定的隨機(jī)性。當(dāng)入侵者以全網(wǎng)掃描的方式尋找脆弱主機(jī)時(shí)，就有極大的可能找到Honeypot，因?yàn)槠浔旧砭捅辉O(shè)計(jì)為具有一些常見漏洞，以吸引黑客的注意，這樣就能大大降低正常系統(tǒng)被攻擊的風(fēng)險(xiǎn)3。 1.2蜜網(wǎng)工程 現(xiàn)在有一些安全組織和科研人員正轉(zhuǎn)向研究蜜網(wǎng)工程，蜜網(wǎng)與傳統(tǒng)的Honeypot不同，其不但用來(lái)對(duì)入侵者的行為進(jìn)行誘騙或報(bào)警，更重要的是它是一個(gè)學(xué)習(xí)工具，又稱為研究型蜜網(wǎng)。與Honeypot相比較，Honeyne

6、t有所不同，其是一個(gè)網(wǎng)絡(luò)系統(tǒng)而不是某臺(tái)單一主機(jī)。一般來(lái)說(shuō)，Honeynet是隱藏在防火墻后面的，因?yàn)榉阑饓Φ倪^(guò)濾功能，使得所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都要通過(guò)防火墻的捕獲及控制。當(dāng)獲得這些數(shù)據(jù)后，就可以采用相應(yīng)的方法加以研究，從而得出入侵者所使用的方法、工具和動(dòng)機(jī)。在Honeynet中，可使用多種不同的操作系統(tǒng)及設(shè)備，比如LinuxWindowsServer，Unix等；還可以在不同的平臺(tái)上運(yùn)行不同的服務(wù)，如WindowsServer的DNS，DHCP，Webserver，F(xiàn)TP等，這樣可以使建立的網(wǎng)絡(luò)系統(tǒng)看上去更真實(shí)，可以更多地學(xué)習(xí)入侵者所使用的不同工具及策略，揭示出他們的一些習(xí)慣和特性。建立Hone

7、ynet的目的是人為地建立一種環(huán)境，在這個(gè)環(huán)境中，入侵者所用的工具以及他們的行為都可以被監(jiān)控和捕捉。要達(dá)到這個(gè)要求，信息操控和信息捕獲是蜜網(wǎng)的設(shè)計(jì)者要解決的兩個(gè)問(wèn)題。信息操控代表著一種約束規(guī)則，即我們必須要確定系統(tǒng)信息包的發(fā)送地址，這樣才能保證在Honeynet里的Honeypot主機(jī)被入侵后，該主機(jī)不會(huì)被用來(lái)攻擊在蜜網(wǎng)以外的系統(tǒng)或主機(jī)，也就是說(shuō)，所有進(jìn)出Honeynet的數(shù)據(jù)流都必須被控制而不會(huì)被入侵者有所察覺。信息捕獲則是要通過(guò)不同方法獲取進(jìn)出Honeynet的所有信息并記錄入侵者的各種行為，通過(guò)捕獲的數(shù)據(jù)可以分析了解黑客使用的工具、策略及方法，從而防患于未然。另外，對(duì)于那些在分布式環(huán)境中

8、有多個(gè)Honeynet系統(tǒng)的研究機(jī)構(gòu)或公司來(lái)說(shuō)，還有第3件事要做，那就是信息收集。在完成信息捕獲的任務(wù)后，有必要把各個(gè)不同蜜網(wǎng)所收集到的信息集中起來(lái)，進(jìn)行匯總分析，這樣能夠更好地研究黑客，加快安全技術(shù)的發(fā)展。 2系統(tǒng)部署 在建立Honeynet的過(guò)程中，需要綜合應(yīng)用各種知識(shí)、技術(shù)及設(shè)備，如防火墻、路由器、入侵檢測(cè)系統(tǒng)等。如果是一個(gè)比較大型的網(wǎng)絡(luò)，則可以專門設(shè)置一個(gè)完整的陷阱區(qū)域，將陷阱系統(tǒng)布置在該區(qū)域中。通過(guò)這樣的布局，不但可以方便陷阱系統(tǒng)的管理，同時(shí)還可以有效防止因大規(guī)模的入侵者攻擊而影響正常系統(tǒng)。陷阱系統(tǒng)看起來(lái)就像正常系統(tǒng)一樣，其所提供的服務(wù)，包括主機(jī)、系統(tǒng)軟硬件的配置都與正常系統(tǒng)類似，最

9、大的區(qū)別只是數(shù)據(jù)信息的真?zhèn)尾煌?。在正常服?wù)區(qū)中，還可同時(shí)安裝提供正常服務(wù)的系統(tǒng)和蜜罐主機(jī)，這樣不但可以提高陷阱成功的可能性，還可以在一定程度上減少防火墻以及IDS系統(tǒng)不能識(shí)別的攻擊包對(duì)正常服務(wù)區(qū)域進(jìn)行攻擊的危險(xiǎn)。本文提出的一種Honeynet在網(wǎng)絡(luò)中的部署方案如圖1所示，從中可以看出：防火墻、路由器、入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）各自發(fā)揮著不可替代的重要作用。 2.1防火墻的作用 將防火墻放置在Honeynet的前端，最大的好處是所有的信息包都要經(jīng)過(guò)防火墻才能進(jìn)入系統(tǒng)。當(dāng)防火墻發(fā)現(xiàn)攻擊行為時(shí)，對(duì)于一般的掃描數(shù)據(jù)包，是直接將這些數(shù)據(jù)包轉(zhuǎn)發(fā)到陷阱區(qū)，而不是

10、丟棄這些包；如果是一些破壞性較強(qiáng)的攻擊包，如廣播攻擊、Dos攻擊等，就一定要將其阻擋在外。除此之外，該防火墻還要具有追蹤功能，對(duì)于所有從Honeypot機(jī)器往外信息包進(jìn)行跟蹤，當(dāng)數(shù)量超過(guò)一定值時(shí)，防火墻將會(huì)把這些信息包阻塞，禁止發(fā)送；只是阻擋而不是直接將包都丟棄的目的是為了不引起入侵者的懷疑，同時(shí)也可以避免攻擊者利用Honeypot主機(jī)對(duì)內(nèi)部系統(tǒng)進(jìn)行探測(cè)和攻擊。 2.2路由器的作用 在防火墻與Honeynet之間放置的路由器，有兩個(gè)作用：首先，路由器的存在隱藏了防火墻，當(dāng)Honeypot被攻擊時(shí)，入侵者從這里察看往外的路由，會(huì)感覺更像一個(gè)真實(shí)的網(wǎng)絡(luò)環(huán)境而不是蜜罐環(huán)境；除了這點(diǎn)以外，路由器還限制

11、網(wǎng)絡(luò)訪問(wèn)，作為防火墻的功能的擴(kuò)充，做到層層保護(hù)，目的是確保Honeypot不會(huì)被用來(lái)攻擊真實(shí)服務(wù)器或其他系統(tǒng)。這里有一點(diǎn)要注意，陷阱系統(tǒng)畢竟是為了吸引黑客攻擊而開發(fā)，為了在不被黑客發(fā)現(xiàn)的情況下得到盡可能多的數(shù)據(jù)信息，有可能需要對(duì)系統(tǒng)進(jìn)行一些必要的修改，盡管這種修改是非常必要的，但是為了不引起入侵者的懷疑，修改要盡可能的少。除此之外，捕獲到的數(shù)據(jù)也要有安全的存放地點(diǎn)，不能存放在Honeypot主機(jī)上，因?yàn)檫@樣做非常不安全，極有可能會(huì)被黑客注意到，從而發(fā)現(xiàn)該系統(tǒng)是一個(gè)陷阱系統(tǒng)。為避免此種情況發(fā)生，我們需要把數(shù)據(jù)放在遠(yuǎn)程安全的主機(jī)上。 2.3IDS的作用 IDS主要工作就是對(duì)網(wǎng)絡(luò)中的信息流量進(jìn)行監(jiān)控

12、分析和記錄，IDS可以捕獲系統(tǒng)中的幾乎所有舉動(dòng)，在本設(shè)計(jì)中，IDS的放置方式使得所有機(jī)器都可以被監(jiān)控到。IDS會(huì)把信息包中的特征字符串與自身的入侵檢測(cè)特征庫(kù)中的某一項(xiàng)進(jìn)行比較驗(yàn)證，如果相同或相似，它就會(huì)發(fā)出警告消息。IDS還可有效地保護(hù)日志文件。因?yàn)閷?duì)于較高“水平”的黑客來(lái)說(shuō)，在入侵系統(tǒng)后，一般都會(huì)刪除或修改日志文件，因此有必要對(duì)日志文件進(jìn)行備份，除了在本機(jī)上保存日志文件之外，還應(yīng)該發(fā)一份到遠(yuǎn)程日志服務(wù)器上。即便入侵者還想要登錄遠(yuǎn)程服務(wù)器，他們也不能對(duì)日志產(chǎn)生太大影響，因?yàn)檫@時(shí)IDS會(huì)繼續(xù)捕獲Honeynet的信息包，檢測(cè)出入侵者的活動(dòng)，并寫入遠(yuǎn)程日志系統(tǒng)，保證了日志的完整性。從另一方面來(lái)說(shuō)，

13、陷阱技術(shù)的發(fā)展也將促進(jìn)IDS技術(shù)的發(fā)展，通過(guò)陷阱系統(tǒng)獲取黑客的最新入侵方法，可以幫助我們更好地設(shè)計(jì)IDS的特征數(shù)據(jù)庫(kù)，從而提高IDS系統(tǒng)的檢測(cè)效率。從這一點(diǎn)來(lái)說(shuō)，IDS的發(fā)展與陷阱技術(shù)的發(fā)展是相輔相成的。 3結(jié)語(yǔ) 傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如防火墻和入侵檢測(cè)系統(tǒng)等是應(yīng)用技術(shù)手段將攻擊者趕走，而隱蔽的陷阱則可以收集攻擊者的攻擊信息和各種數(shù)據(jù)包，通過(guò)分析其可能的攻擊目標(biāo)和攻擊方式，從而達(dá)到保護(hù)攻擊目標(biāo)的作用，降低正常系統(tǒng)被攻破的危險(xiǎn)，是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域加強(qiáng)應(yīng)用研究的重要方向，對(duì)于下階段進(jìn)一步研究動(dòng)態(tài)蜜罐技術(shù)的廣泛應(yīng)用有積極意義4。它克服了傳統(tǒng)安全技術(shù)的預(yù)防能力不夠的弱點(diǎn)，除進(jìn)行入侵監(jiān)測(cè)外，更重要的是可以用來(lái)學(xué)習(xí)了解入侵者的思路、行為和目的，使人們?cè)谂c入侵者的斗爭(zhēng)中獲取主