蜜罐技術(shù)論文

1、蜜罐技術(shù)論文摘要：蜜罐(Honeypot)是一種在互聯(lián)網(wǎng)上運(yùn)行的計(jì)算機(jī)系統(tǒng)。它是專門為吸引并誘騙那些試圖非法闖入他 人計(jì)算機(jī)系統(tǒng)的人(如電腦黑客)而設(shè)計(jì)的，蜜罐系統(tǒng)是一個(gè)包含漏洞的誘騙系統(tǒng)，它通過模擬一個(gè)或多個(gè) 易受攻擊的主機(jī)，給攻擊者提供一個(gè)容易攻擊的目標(biāo)。由于蜜罐并沒有向外界提供真正有價(jià)值的服務(wù)，因 此所有對(duì)蜜罐嘗試都被視為可疑的。蜜罐的另一個(gè)用途是拖延攻擊者對(duì)真正目標(biāo)的攻擊，讓攻擊者在蜜罐 上浪費(fèi)時(shí)間。簡(jiǎn)單點(diǎn)一說：蜜罐就是誘捕攻擊者的一個(gè)陷阱。關(guān)鍵詞：設(shè)計(jì)蜜罐；蜜罐的分類；拓?fù)湮恢?；安全價(jià)值；信息收集一、設(shè)計(jì)蜜罐現(xiàn)在網(wǎng)絡(luò)安全面臨的一個(gè)大問題是缺乏對(duì)入侵者的了解。即誰正在攻擊、攻擊的目的是

2、什么、如何攻 擊以及何時(shí)進(jìn)行攻擊等，而蜜罐為安全專家們提供一個(gè)研究各種攻擊的平臺(tái)。它是采取主動(dòng)的方式，用定 制好的特征吸引和誘騙攻擊者，將攻擊從網(wǎng)絡(luò)中比較重要的機(jī)器上轉(zhuǎn)移開，同時(shí)在黑客攻擊蜜罐期間對(duì)其 行為和過程進(jìn)行深入的分析和研究，從而發(fā)現(xiàn)新型攻擊，檢索新型黑客工具，了解黑客和黑客團(tuán)體的背景、 目的、活動(dòng)規(guī)律等。蜜罐在編寫新的IDS特征庫、發(fā)現(xiàn)系統(tǒng)漏洞、分析分布式拒絕服務(wù)(DDOS)攻擊等方面是很有價(jià)值的。蜜 罐本身并不直接增強(qiáng)網(wǎng)絡(luò)的安全性，將蜜罐和現(xiàn)有的安全防衛(wèi)手段如入侵檢測(cè)系統(tǒng)(IDS)、防火墻 (Firewall)、殺毒軟件等結(jié)合使用，可以有效提高系統(tǒng)安全性。設(shè)置蜜罐并不難，只要在外部

3、因特網(wǎng)上有一臺(tái)計(jì)算機(jī)運(yùn)行沒有打上補(bǔ)丁的微軟Windows或者Red Hat Linux即行。因?yàn)楹诳涂赡軙?huì)設(shè)陷阱，以獲取計(jì)算機(jī)的日志和審查功能，你就要在計(jì)算機(jī)和因特網(wǎng)連接之間 安置一套網(wǎng)絡(luò)監(jiān)控系統(tǒng)，以便悄悄記錄下進(jìn)出計(jì)算機(jī)的所有流量。然后只要坐下來，等待攻擊者自投羅網(wǎng)。不過，設(shè)置蜜罐并不是說沒有風(fēng)險(xiǎn)。這是因?yàn)?，大部分安全遭到危及的系統(tǒng)會(huì)被黑客用來攻擊其它系 統(tǒng)。這就是下游責(zé)任(downstream liability)，由此引出了蜜網(wǎng)(honeynet)這一話題。蜜網(wǎng)是指另外采用了技術(shù)的蜜罐，從而以合理方式記錄下黑客的行動(dòng)，同時(shí)盡量減小或排除對(duì)因特網(wǎng) 上其它系統(tǒng)造成的風(fēng)險(xiǎn)。建立在反向防火墻后面

4、的蜜罐就是一個(gè)例子。防火墻的目的不是防止入站連接， 而是防止蜜罐建立出站連接。不過，雖然這種方法使蜜罐不會(huì)破壞其它系統(tǒng)，但同時(shí)很容易被黑客發(fā)現(xiàn)。二、蜜罐的分類根據(jù)蜜罐的交互程度，可以將蜜罐分為3類：蜜罐的交互程度(Level of Involvement)指攻擊者與蜜罐相互作用的程度。低交互蜜罐只是運(yùn)行于現(xiàn)有系統(tǒng)上的一個(gè)仿真服務(wù)，在特定的端口監(jiān)聽記錄所有進(jìn)入的數(shù)據(jù)包，提供少量的交互 功能，黑客只能在仿真服務(wù)預(yù)設(shè)的范圍內(nèi)動(dòng)作。低交互蜜罐上沒有真正的操作系統(tǒng)和服務(wù)，結(jié)構(gòu)簡(jiǎn)單， 部署容易，風(fēng)險(xiǎn)很低，所能收集的信息也是有限的。中交互蜜罐也不提供真實(shí)的操作系統(tǒng)，而是應(yīng)用腳本或小程序來模擬服務(wù)行為，提供的

5、功能主要取決于腳本。在 不同的端口進(jìn)行監(jiān)聽，通過更多和更復(fù)雜的互動(dòng)，讓攻擊者會(huì)產(chǎn)生是一個(gè)真正操作系統(tǒng)的錯(cuò)覺，能夠 收集更多數(shù)據(jù)。開發(fā)中交互蜜罐，要確保在模擬服務(wù)和漏洞時(shí)并不產(chǎn)生新的真實(shí)漏洞，而給黑客滲透 和攻擊真實(shí)系統(tǒng)的機(jī)會(huì)。高交互蜜罐由真實(shí)的操作系統(tǒng)來構(gòu)建，提供給黑客的是真實(shí)的系統(tǒng)和服務(wù)。給黑客提供一個(gè)真實(shí)的操作系統(tǒng)，可 以學(xué)習(xí)黑客運(yùn)行的全部動(dòng)作，獲得大量的有用信息，包括完全不了解的新的網(wǎng)絡(luò)攻擊方式。正因?yàn)楦?交互蜜罐提供了完全開放的系統(tǒng)給黑客，也就帶來了更高的風(fēng)險(xiǎn)，即黑客可能通過這個(gè)開放的系統(tǒng)去 攻擊其他的系統(tǒng)。三、蜜罐的拓?fù)湮恢妹酃薇旧碜鳛橐粋€(gè)標(biāo)準(zhǔn)服務(wù)器對(duì)周圍網(wǎng)絡(luò)環(huán)境并沒有什么特別需要。

6、理論上可以布置在網(wǎng)絡(luò)的任 何位置。但是不同的位置其作用和功能也是不盡相同。如果用于內(nèi)部或私有網(wǎng)絡(luò)，可以放置在任何一個(gè)公共數(shù)據(jù)流經(jīng)的節(jié)點(diǎn)。如用于互聯(lián)網(wǎng)的連接，蜜罐可 以位于防火墻前面，也可以是后面。 防火墻之前：如見圖1中蜜罐（1），蜜罐會(huì)吸引象端口掃描等大量的攻擊，而這些攻擊不會(huì)被 防火墻記錄也不讓內(nèi)部IDS系統(tǒng)產(chǎn)生警告，只會(huì)由蜜罐本身來記錄。因?yàn)槲挥诜阑饓χ?，可被視為外部網(wǎng)絡(luò)中的任何一臺(tái)普通的機(jī)器，不用調(diào)整防火墻及其它的資源的 配置，不會(huì)給內(nèi)部網(wǎng)增加新的風(fēng)險(xiǎn)，缺點(diǎn)是無法定位或捕捉到內(nèi)部攻擊者，防火墻限制外向交通，也 限制了蜜罐的對(duì)內(nèi)網(wǎng)信息收集。防火墻之后：如圖1中蜜罐（2），會(huì)給內(nèi)部網(wǎng)帶來

7、安全威脅，尤其是內(nèi)部網(wǎng)沒有附加的防火 墻來與蜜罐相隔離。蜜罐提供的服務(wù)，有些是互聯(lián)網(wǎng)的輸出服務(wù)，要求由防火墻把回饋轉(zhuǎn)給蜜罐不可 避免地調(diào)整防火墻規(guī)則，因此要謹(jǐn)慎設(shè)置，保證這些數(shù)據(jù)可以通過防火墻進(jìn)入蜜罐而不引入更多的風(fēng) 險(xiǎn)。優(yōu)點(diǎn)是既可以收集到已經(jīng)通過防火墻的有害數(shù)據(jù)，還可以探查內(nèi)部攻擊者。缺點(diǎn)是一旦蜜罐被外 部攻擊者攻陷就會(huì)危害整個(gè)內(nèi)網(wǎng)。還有一種方法，把蜜罐置于隔離區(qū)DMZ內(nèi)，如圖1中蜜罐（3）。隔離區(qū)只有需要的服務(wù)才被允許通 過防火墻，因此風(fēng)險(xiǎn)相對(duì)較低。DMZ內(nèi)的其它系統(tǒng)要安全地和蜜罐隔離。此方法增加了隔離區(qū)的負(fù)擔(dān)， 具體實(shí)施也比較困難。四、蜜罐的安全價(jià)值蜜罐是增強(qiáng)現(xiàn)有安全性的強(qiáng)大工具，是一種

8、了解黑客常用工具和攻擊策略的有效手段。根據(jù)P2DR 動(dòng)態(tài)安全模型，從防護(hù)、檢測(cè)和響應(yīng)三方面分析蜜罐的安全價(jià)值。防護(hù)蜜罐在防護(hù)中所做的貢獻(xiàn)很少，并不會(huì)將那些試圖攻擊的入侵者拒之門外。事實(shí)上蜜罐 設(shè)計(jì)的初衷就是妥協(xié)，希望有人闖入系統(tǒng)，從而進(jìn)行記錄和分析。有些學(xué)者認(rèn)為誘騙也是一種防護(hù)。因?yàn)檎T騙使攻擊者花費(fèi)大量的時(shí)間和資源對(duì)蜜罐進(jìn)行攻擊，從而防 止或減緩了對(duì)真正系統(tǒng)的攻擊。檢測(cè)蜜罐的防護(hù)功能很弱，卻有很強(qiáng)的檢測(cè)功能。因?yàn)槊酃薇旧頉]有任何生產(chǎn)行為，所有與 蜜罐的連接都可認(rèn)為是可疑行為而被紀(jì)錄。這就大大降低誤報(bào)率和漏報(bào)率，也簡(jiǎn)化了檢測(cè)的過程?，F(xiàn)在的網(wǎng)絡(luò)主要是使用入侵檢測(cè)系統(tǒng)IDS來檢測(cè)攻擊。面對(duì)大量正常通

9、信與可疑攻擊行為相混雜 的網(wǎng)絡(luò)，要從海量的網(wǎng)絡(luò)行為中檢測(cè)出攻擊是很困難的，有時(shí)并不能及時(shí)發(fā)現(xiàn)和處理真正的攻擊。高 誤報(bào)率使IDS失去有效的報(bào)警作用，蜜罐的誤報(bào)率遠(yuǎn)遠(yuǎn)低于大部分IDS工具。另外目前的IDS還不能夠有效地對(duì)新型攻擊方法進(jìn)行檢測(cè)，無論是基于異常的還是基于誤用的，都有 可能遺漏新型或未知的攻擊。蜜罐可以有效解決漏報(bào)問題，使用蜜罐的主要目的就是檢測(cè)新的攻擊。 響應(yīng) 蜜罐檢測(cè)到入侵后可以進(jìn)行響應(yīng)，包括模擬回應(yīng)來引誘黑客進(jìn)一步攻擊，發(fā)出報(bào)警通知 系統(tǒng)管理員，讓管理員適時(shí)的調(diào)整入侵檢測(cè)系統(tǒng)和防火墻配置，來加強(qiáng)真實(shí)系統(tǒng)的保護(hù)等。五、蜜罐的信息收集要進(jìn)行信息分析，首先要進(jìn)行信息收集，下面分析蜜罐的

10、數(shù)據(jù)捕獲和記錄機(jī)制。根據(jù)信息捕獲部 件的位置，可分為基于主機(jī)的信息收集和基于網(wǎng)絡(luò)的信息收集。基于主機(jī)的信息收集基于主機(jī)的信息收集有兩種方式，一是直接記錄進(jìn)出主機(jī)的數(shù)據(jù)流，二是以系統(tǒng)管理員身份嵌入 操作系統(tǒng)內(nèi)部來監(jiān)視蜜罐的狀態(tài)信息，即所謂“Peeking”機(jī)制。記錄數(shù)據(jù)流直接記錄數(shù)據(jù)流實(shí)現(xiàn)一般比較簡(jiǎn)單，主要問題是在哪里存儲(chǔ)這些數(shù)據(jù)。收集到的數(shù)據(jù)可以本地存放在密罐主機(jī)中，例如把日志文件用加密技術(shù)放在一個(gè)隱藏的分區(qū)中。本地 存儲(chǔ)的缺點(diǎn)是系統(tǒng)管理員不能及時(shí)研究這些數(shù)據(jù)，同時(shí)保留的日志空間可能用盡，系統(tǒng)就會(huì)降低交互 程度甚至變?yōu)椴皇鼙O(jiān)控。攻擊者也會(huì)了解日志區(qū)域并且試圖控制它，而使日志文件中的數(shù)據(jù)不再是可

11、 信數(shù)據(jù)。因此，將攻擊者的信息存放在一個(gè)安全的、遠(yuǎn)程的地方相對(duì)更合理。以通過串行設(shè)備、并行設(shè)備、 USB或Firewire技術(shù)和網(wǎng)絡(luò)接口將連續(xù)數(shù)據(jù)存儲(chǔ)到遠(yuǎn)程日志服務(wù)器，也可以使用專門的日志記錄硬件 設(shè)備。數(shù)據(jù)傳輸時(shí)采用加密措施。采用“Peeking”機(jī)制這種方式和操作系統(tǒng)密切相關(guān)，實(shí)現(xiàn)相對(duì)比較復(fù)雜。對(duì)于微軟系列操作系統(tǒng)來說，系統(tǒng)的源代碼是很難得到，對(duì)操作系統(tǒng)的更改很困難，無法以透明的方 式將數(shù)據(jù)收集結(jié)構(gòu)與系統(tǒng)內(nèi)核相結(jié)合，記錄功能必須與攻擊者可見的用戶空間代碼相結(jié)合。蜜罐管理 員一般只能察看運(yùn)行的進(jìn)程，檢查日志和應(yīng)用MD-5檢查系統(tǒng)文件的一致性。對(duì)于UNIX系列操作系統(tǒng)，幾乎所有的組件都可以以源

12、代碼形式得到，則為數(shù)據(jù)收集提供更多的 機(jī)會(huì)，可以在源代碼級(jí)上改寫記錄機(jī)制，再重新編譯加入蜜罐系統(tǒng)中。需要說明，盡管對(duì)于攻擊者來 說二進(jìn)制文件的改變是很難察覺，一個(gè)高級(jí)黑客還是可能通過如下的方法探測(cè)到：MD-5檢驗(yàn)和檢查：如果攻擊者有一個(gè)和蜜罐對(duì)比的參照系統(tǒng)，就會(huì)計(jì)算所有標(biāo)準(zhǔn)的系統(tǒng)二進(jìn) 制文件的MD-5校驗(yàn)和來測(cè)試蜜罐。庫的依賴性和進(jìn)程相關(guān)性檢查：即使攻擊者不知道原始的二進(jìn)制系統(tǒng)的確切結(jié)構(gòu)，仍然能應(yīng)用 特定程序觀察共享庫的依賴性和進(jìn)程的相關(guān)性。例如，在UNIX操作系統(tǒng)中，超級(jí)用戶能應(yīng)用truss 或strace命令來監(jiān)督任何進(jìn)程，當(dāng)一個(gè)象grep （用來文本搜索）的命令突然開始與系統(tǒng)日志記錄進(jìn)程

13、 通信，攻擊者就會(huì)警覺。庫的依賴性問題可以通過使用靜態(tài)聯(lián)接庫來解決。另外如果黑客攻陷一臺(tái)機(jī)器，一般會(huì)安裝所謂的后門工具包，這些文件會(huì)代替機(jī)器上原有的文件， 可能會(huì)使蜜罐收集數(shù)據(jù)能力降低或干脆失去。因此應(yīng)直接把數(shù)據(jù)收集直接融入U(xiǎn)NIX內(nèi)核，這樣攻擊 者很難探測(cè)到。修改UNIX內(nèi)核不象修改UNIX系統(tǒng)文件那么容易，而且不是所有的UNIX版本都有 源代碼形式的內(nèi)核。不過一旦源代碼可用，這是布置和隱藏?cái)?shù)據(jù)收集機(jī)制有效的方法。基于網(wǎng)絡(luò)的信息收集基于主機(jī)的信息收集定位于主機(jī)本身，這就很容易被探測(cè)并終止?；诰W(wǎng)絡(luò)的信息收集將收集機(jī)制設(shè)置在蜜罐之外，以一種不可見的方式運(yùn)行，很難被探測(cè)到，即使探測(cè)到也難被終止比

14、基于主機(jī)的 信息收集更為安全?？梢岳梅阑饓腿肭謾z測(cè)系統(tǒng)從網(wǎng)絡(luò)上來收集進(jìn)出蜜罐的信息。防火墻可以配置防火墻記錄所有的出入數(shù)據(jù)，供以后仔細(xì)地檢查。用標(biāo)準(zhǔn)文件格式來記錄，如Linux系統(tǒng)的 tcpdump兼容格式，可以有很多工具軟件來分析和解碼錄制的數(shù)據(jù)包。也可以配置防火墻針對(duì)進(jìn)出蜜 罐數(shù)據(jù)包觸發(fā)報(bào)警，這些警告可以被進(jìn)一步提煉而提交給更復(fù)雜的報(bào)警系統(tǒng)，來分析哪些服務(wù)己被攻 擊。例如，大部分利用漏洞的程序都會(huì)建立一個(gè)shell或打開某端口等待外來連接，防火墻可以記錄 那些試圖與后門和非常規(guī)端口建立連接的企圖并且對(duì)發(fā)起源的IP告警。防火墻也是數(shù)據(jù)統(tǒng)計(jì)的好地 方，進(jìn)出數(shù)據(jù)包可被計(jì)數(shù)，研究黑客攻擊時(shí)的網(wǎng)

15、絡(luò)流量是很有意義的。入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)NIDS在網(wǎng)絡(luò)中的放置方式使得它能夠?qū)W(wǎng)絡(luò)中所有機(jī)器進(jìn)行監(jiān)控?？梢杂?HIDS記錄進(jìn)出蜜罐的所有數(shù)據(jù)包，也可以配置NIDS只去捕獲我們感興趣的數(shù)據(jù)流。在基于主機(jī)的信息收集中，高明的入侵者會(huì)嘗試闖入遠(yuǎn)程的日志服務(wù)器試圖刪除他們的入侵記錄，而 這些嘗試也正是蜜罐想要了解和捕獲的信息。即使他們成功刪除了主機(jī)內(nèi)的日志，NIDS還是在網(wǎng)內(nèi) 靜靜地被動(dòng)捕獲著進(jìn)出蜜罐的所有數(shù)據(jù)包和入侵者的所有活動(dòng)，此時(shí)NIDS充當(dāng)了第二重的遠(yuǎn)程日志 系統(tǒng)，進(jìn)一步確保了網(wǎng)絡(luò)日志記錄的完整性。當(dāng)然，不論是基于誤用還是基于異常的NIDS都不會(huì)探測(cè)不到所有攻擊，對(duì)于新的攻擊方式，特

16、征庫里將不會(huì)有任何的特征，而只要攻擊沒有反常情況，基于異常的NIDS就不會(huì)觸發(fā)任何警告，例 如慢速掃描，因此要根據(jù)蜜罐的實(shí)際需要來調(diào)整IDS配置。始終實(shí)時(shí)觀察蜜罐費(fèi)用很高，因此將優(yōu)秀的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和蜜罐結(jié)合使用是很有用的。主動(dòng)的信息收集信息也是可以主動(dòng)獲得，使用第三方的機(jī)器或服務(wù)甚至直接針對(duì)攻擊者反探測(cè)，如Whois， Portscan等。這種方式很危險(xiǎn)，容易被攻擊者察覺并離開蜜罐，而且不是蜜罐所研究的主要范疇。降低蜜罐的風(fēng)險(xiǎn)首先，要根據(jù)實(shí)際需要選擇最低安全風(fēng)險(xiǎn)的蜜罐。事實(shí)上并不總是需要高交互蜜罐，如只想發(fā)現(xiàn) 公司內(nèi)部的攻擊者及誰探查了內(nèi)部網(wǎng)，中低交互的蜜罐就足夠了。如確實(shí)需要高交互蜜罐可

17、嘗試?yán)?帶防火墻的蜜網(wǎng)而不是單一的蜜罐。其次，要保證攻擊蜜罐所觸發(fā)的警告應(yīng)當(dāng)能夠立即發(fā)送給蜜罐管理員。如探測(cè)到對(duì)root權(quán)限的嘗 試攻擊就應(yīng)當(dāng)在記錄的同時(shí)告知管理員，以便采取行動(dòng)。要保證能隨時(shí)關(guān)閉蜜罐，作為最后的手段， 關(guān)閉掉失去控制的蜜罐，阻止了各種攻擊，也停止了信息收集。相對(duì)而言保護(hù)第三方比較困難，蜜罐要與全球的網(wǎng)絡(luò)交互作用才具有吸引力而返回一些有用的信息， 拒絕向外的網(wǎng)絡(luò)交通就不會(huì)引起攻擊者太大的興趣，而一個(gè)開放的蜜罐資源在黑客手里會(huì)成為有力的 攻擊跳板，要在二者之間找到平衡，可以設(shè)置防火墻對(duì)外向連接做必要的限定：在給定時(shí)間間隔只允許定量的IP數(shù)據(jù)包通過。 在給定時(shí)間間隔只允許定量的TCP SYN數(shù)據(jù)包。限定同時(shí)的TCP連接數(shù)量。 隨機(jī)地丟掉外向IP包。這樣既允許外向交通，又避免了蜜罐系統(tǒng)成為入侵者攻擊他人的跳板。如需要完全拒絕到某個(gè)端 口的外向交通也是可以的。另一個(gè)限制方法是布置基于包過濾器的IDS，丟棄與指定特征相符的包， 如使用Hogwash包過濾器。隨著網(wǎng)絡(luò)入侵類型的多樣化發(fā)展，蜜罐也必須進(jìn)行多樣化的演繹，否則它有一天將無法面對(duì)入侵者的 肆虐。這也對(duì)網(wǎng)絡(luò)管理員的技術(shù)能力有了更高的要求，因?yàn)槊酃抟灰贿@個(gè)活躍在安全領(lǐng)域的虛