網(wǎng)絡(luò)安全ch6(2)網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全

張磊華東師范大學(xué)軟件學(xué)院第6章網(wǎng)絡(luò)防御技術(shù)VPN入侵檢測(cè)防火墻網(wǎng)絡(luò)防御技術(shù)概述IDS主要內(nèi)容入侵檢測(cè)技術(shù)概述入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)IDS存在問(wèn)題IDS發(fā)展方向SnortIDS與蜜罐技術(shù)一、入侵檢測(cè)技術(shù)概述IDS:IntrusionDetectionSystem對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)主要功能監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象實(shí)時(shí)報(bào)警主動(dòng)響應(yīng)為什么需要IDS入侵檢測(cè)系統(tǒng)是防火墻之后的第二道防線假如防火墻是一幢大樓的門(mén)衛(wèi)，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破粗粒度檢測(cè)不是所有的威脅來(lái)自防火墻外部入侵很容易入侵教程隨處可見(jiàn)各種工具唾手可得只有防火墻的網(wǎng)絡(luò)：被動(dòng)防御；無(wú)法防御內(nèi)部攻擊。擁有IDS和防火墻的網(wǎng)絡(luò)：防火墻：被動(dòng)防御；IDS：主動(dòng)檢測(cè)可以防御內(nèi)部攻擊。為什么需要IDS（續(xù)）入侵檢測(cè)的任務(wù)檢測(cè)來(lái)自?xún)?nèi)部的攻擊事件和越權(quán)訪問(wèn)80％以上的攻擊事件來(lái)自于內(nèi)部的攻擊防火墻只能防外，難于防內(nèi)入侵檢測(cè)系統(tǒng)作為防火墻系統(tǒng)的一個(gè)有效的補(bǔ)充入侵檢測(cè)系統(tǒng)可以有效的防范防火墻開(kāi)放的服務(wù)入侵入侵檢測(cè)的任務(wù)（續(xù)）檢測(cè)其它安全工具沒(méi)有發(fā)現(xiàn)的網(wǎng)絡(luò)工具事件。提供有效的審計(jì)信息，詳細(xì)記錄黑客的入侵過(guò)程，從而幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性。在一些大型的網(wǎng)絡(luò)中，管理員沒(méi)有時(shí)間跟蹤系統(tǒng)漏洞并且安裝相應(yīng)的系統(tǒng)補(bǔ)丁程序。對(duì)于一些存在安全漏洞的服務(wù)、協(xié)議和軟件，用戶(hù)有時(shí)候不得不使用。入侵檢測(cè)的任務(wù)（續(xù)）入侵檢測(cè)的起源1980年，JamesAnderson最早提出入侵檢測(cè)概念1987年，D．E．Denning首次給出了一個(gè)入侵檢測(cè)的抽象模型，并將入侵檢測(cè)作為一種新的安全防御措施提出。1988年，Morris蠕蟲(chóng)事件直接刺激了IDS的研究1988年，創(chuàng)建了基于主機(jī)的系統(tǒng),有IDES，Haystack等1989年，提出基于網(wǎng)絡(luò)的IDS系統(tǒng),有NSM，NADIR，DIDS等入侵檢測(cè)的起源（續(xù)）90年代，不斷有新的思想提出，如將人工智能、神經(jīng)網(wǎng)絡(luò)、模糊理論、證據(jù)理論、分布計(jì)算技術(shù)等引入IDS系統(tǒng)2000年2月，對(duì)Yahoo！、Amazon、CNN等大型網(wǎng)站的DDOS攻擊引發(fā)了對(duì)IDS系統(tǒng)的新一輪研究熱潮2001年～今，RedCode、求職信等新型病毒的不斷出現(xiàn)，進(jìn)一步促進(jìn)了IDS的發(fā)展。按檢測(cè)對(duì)象區(qū)分：主機(jī)入侵檢測(cè)（HostbasedIDS)網(wǎng)絡(luò)入侵檢測(cè)（NetworkbasedIDS）分布式的入侵檢測(cè)系統(tǒng)這種入侵檢測(cè)系統(tǒng)一般為分布式結(jié)構(gòu)，由多個(gè)部件組成在關(guān)鍵主機(jī)上采用主機(jī)入侵檢測(cè)，在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)上采用網(wǎng)絡(luò)入侵檢測(cè)，同時(shí)分析來(lái)自主機(jī)系統(tǒng)的審計(jì)日志和來(lái)自網(wǎng)絡(luò)的數(shù)據(jù)流，判斷被保護(hù)系統(tǒng)是否受到攻擊入侵檢測(cè)技術(shù)分類(lèi)主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）安裝于被保護(hù)的主機(jī)中主要分析主機(jī)內(nèi)部活動(dòng)：系統(tǒng)調(diào)用端口調(diào)用系統(tǒng)日志安全審計(jì)應(yīng)用日志發(fā)現(xiàn)主機(jī)出現(xiàn)可疑行為，HIDS采取措施占用一定的系統(tǒng)資源InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartners主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）（續(xù)）HackerHost-basedIDSHost-basedIDSInternet基于主機(jī)入侵檢測(cè)系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1客戶(hù)端網(wǎng)絡(luò)服務(wù)器2X檢測(cè)內(nèi)容：

系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志HIDSXHIDS主機(jī)入侵檢測(cè)系統(tǒng)優(yōu)缺點(diǎn)優(yōu)點(diǎn)對(duì)分析“可能的攻擊行為”非常有用審計(jì)內(nèi)容全面，得到的信息詳盡誤報(bào)率低適用于加密環(huán)境缺點(diǎn)必須安裝在要保護(hù)的設(shè)備上，出現(xiàn)額外的安全風(fēng)險(xiǎn)依賴(lài)服務(wù)器固有的日志與監(jiān)視能力部署代價(jià)大，易出現(xiàn)盲點(diǎn)不能監(jiān)控網(wǎng)絡(luò)上的情況網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)安裝在被保護(hù)的網(wǎng)段中混雜模式監(jiān)聽(tīng)分析網(wǎng)段中所有的數(shù)據(jù)包實(shí)時(shí)檢測(cè)和響應(yīng)操作系統(tǒng)無(wú)關(guān)性不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)載發(fā)現(xiàn)問(wèn)題可以切斷網(wǎng)絡(luò)目前IDS大多數(shù)是NIDSInternetNIDS基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶(hù)端網(wǎng)絡(luò)服務(wù)器2X檢測(cè)內(nèi)容：

包頭信息+有效數(shù)據(jù)部分網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（續(xù)）優(yōu)點(diǎn)檢測(cè)范圍廣不需要改變服務(wù)器的配置不影響業(yè)務(wù)系統(tǒng)的性能部署風(fēng)險(xiǎn)小具有專(zhuān)門(mén)設(shè)備缺點(diǎn)不能檢測(cè)不同網(wǎng)段的網(wǎng)絡(luò)包很難檢測(cè)復(fù)雜的需要大量計(jì)算的攻擊難以處理加密的會(huì)話二、IDS體系結(jié)構(gòu)標(biāo)準(zhǔn)CIDF(公共入侵檢測(cè)框架）（美國(guó)國(guó)防部提出）事件產(chǎn)生器（Eventgenerators）事件分析器（Eventanalyzers）事件數(shù)據(jù)庫(kù)（Eventdatabases）響應(yīng)單元（Responseunits）

IDS體系結(jié)構(gòu)標(biāo)準(zhǔn)（續(xù)）事件產(chǎn)生器事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。

事件分析器事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。

響應(yīng)單元響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),甚至發(fā)動(dòng)對(duì)攻擊者的反擊，也可以只是簡(jiǎn)單的報(bào)警。

事件數(shù)據(jù)庫(kù)事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱(chēng)，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。

三、IDS存在的問(wèn)題1）布局問(wèn)題IDS布局位置決定安全檢測(cè)程度IDS的布局問(wèn)題FirewallRouterSwitch-1Switch-2ServersNetworkIDSServerInternet1234①檢測(cè)所有通信，可由Fw阻斷②檢測(cè)所有通信，但已無(wú)法阻斷③檢測(cè)交換機(jī)1的通信④檢測(cè)網(wǎng)段2所有通信IDS的布局問(wèn)題（續(xù)）檢測(cè)器部署位置放在邊界防火墻之外放在邊界防火墻之內(nèi)防火墻內(nèi)外都裝有入侵檢測(cè)器將入侵檢測(cè)器安裝在其它關(guān)鍵位置IDS的布局問(wèn)題（續(xù)）入侵檢測(cè)引擎放在防火墻之外在這種情況下，入侵檢測(cè)系統(tǒng)能接收到防火墻外網(wǎng)口的所有信息，管理員可以清楚地看到所有來(lái)自Internet的攻擊當(dāng)與防火墻聯(lián)動(dòng)時(shí)，防火墻可以動(dòng)態(tài)阻斷發(fā)生攻擊的連接。IDS的布局問(wèn)題（續(xù)）入侵檢測(cè)引擎放在防火墻之內(nèi)在這種情況下，穿透防火墻的攻擊與來(lái)自于局域網(wǎng)內(nèi)部的攻擊都可以被入侵檢測(cè)系統(tǒng)監(jiān)聽(tīng)到管理員可以清楚地看到哪些攻擊真正對(duì)自己的網(wǎng)絡(luò)構(gòu)成了威脅。IDS的布局問(wèn)題（續(xù)）防火墻內(nèi)外都裝有入侵檢測(cè)器在這種情況下，可以檢測(cè)來(lái)自?xún)?nèi)部和外部的所有攻擊管理員可以清楚地看出是否有攻擊穿透防火墻，對(duì)自己網(wǎng)絡(luò)所面對(duì)的安全威脅了如指掌。IDS的布局問(wèn)題（續(xù)）檢測(cè)器放在其它關(guān)鍵位置:主要的網(wǎng)絡(luò)中樞監(jiān)控大量的網(wǎng)絡(luò)數(shù)據(jù)，可提高檢測(cè)黑客攻擊的可能性可通過(guò)授權(quán)用戶(hù)的權(quán)利周界來(lái)發(fā)現(xiàn)未授權(quán)用戶(hù)的行為IDS的布局問(wèn)題（續(xù)）檢測(cè)器放在其它關(guān)鍵位置:安全級(jí)別高的子網(wǎng)對(duì)非常重要的系統(tǒng)和資源的入侵檢測(cè)IDS的布局問(wèn)題（續(xù)）檢測(cè)器放置于其它關(guān)鍵位置:防火墻的DMZ區(qū)域可以查看受保護(hù)區(qū)域主機(jī)被攻擊狀態(tài)可以看出防火墻系統(tǒng)的策略是否合理可以看出DMZ區(qū)域被黑客攻擊的重點(diǎn)三、IDS存在的問(wèn)題2）檢測(cè)問(wèn)題信息獲取的局限（網(wǎng)絡(luò)、網(wǎng)段和主機(jī)）檢測(cè)算法、模型、加速算法、規(guī)則（特征）庫(kù)智能檢測(cè)和確認(rèn)問(wèn)題多協(xié)議和多類(lèi)型檢測(cè)檢測(cè)系統(tǒng)與操作系統(tǒng)的接口問(wèn)題三、IDS存在的問(wèn)題3）分析問(wèn)題由于網(wǎng)段信號(hào)分流，帶寬增加，功能會(huì)下降極增的網(wǎng)絡(luò)流量導(dǎo)致檢測(cè)分析難度加大由于網(wǎng)絡(luò)隨時(shí)擴(kuò)展，無(wú)法觀測(cè)到所有通信數(shù)據(jù)之特征各異智能化不夠，無(wú)法理解壓縮、加密數(shù)據(jù)包容易出現(xiàn)漏報(bào)、誤報(bào)和錯(cuò)報(bào)高速網(wǎng)絡(luò)使數(shù)據(jù)的實(shí)時(shí)分析更加困難四、IDS發(fā)展方向研究方向解決誤報(bào)和漏報(bào)IDS發(fā)展方向（續(xù)）DOS攻擊日漸升級(jí)；DDoS現(xiàn)在成為“黑客的終極武器”；解決方法：負(fù)載均衡雙機(jī)熱備份服務(wù)器RandomDrop、帶寬限制防護(hù)算法、IDS與防火墻聯(lián)動(dòng)但始終會(huì)出現(xiàn)資源耗盡、丟失合法訪問(wèn)的時(shí)候IDS發(fā)展方向（續(xù)）新概念-IPS（入侵防御系統(tǒng)）特點(diǎn)：檢測(cè)并阻止入侵流量進(jìn)入網(wǎng)絡(luò)入侵分析算法采用協(xié)議分析技術(shù)，提高報(bào)警的準(zhǔn)確率和性能將IDS與抵抗DOS結(jié)合IPS系統(tǒng)IPS的提出將IDS與防火墻等的功能集中在一起，形成一種新的產(chǎn)品：入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS），有時(shí)又稱(chēng)入侵檢測(cè)和防御系統(tǒng)（IntrusionDetectionandPrevention，IDP）

IDS在以下方面存在著不足：

①較高的誤警率；②系統(tǒng)的管理和維護(hù)比較難；③當(dāng)IDS遭受拒絕服務(wù)攻擊時(shí)，它的失效開(kāi)放機(jī)制使得黑客可以實(shí)施攻擊而不被發(fā)現(xiàn)IPS系統(tǒng)（續(xù)）IPS概述IPS提供了主動(dòng)防護(hù)，它會(huì)預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而對(duì)于IDS來(lái)說(shuō)，它是在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。它的部署情況如下圖所示： IPS采用串接的工作方式，通常部署在防火墻之后，對(duì)通過(guò)防火墻的數(shù)據(jù)包進(jìn)行進(jìn)一步檢查過(guò)濾。

IPS系統(tǒng)（續(xù)）IPS的使用IPS作為一種新技術(shù)仍然存在著很多不足：它的串聯(lián)工作方式會(huì)影響網(wǎng)絡(luò)性能和可靠性。對(duì)于IPS采用失效開(kāi)放還是失效關(guān)閉存在爭(zhēng)議：如果IPS停止運(yùn)轉(zhuǎn)后線路仍暢通，則相當(dāng)于沒(méi)有任何防御效果。如果停止運(yùn)轉(zhuǎn)后網(wǎng)絡(luò)斷開(kāi)，企業(yè)網(wǎng)絡(luò)就與外部網(wǎng)路完全切斷，相當(dāng)于IPS自己產(chǎn)生了拒絕服務(wù)攻擊。同IDS一樣，IPS在檢測(cè)效果、報(bào)警處理機(jī)制、特征庫(kù)優(yōu)化等方面還有待提高。

因此，在實(shí)際應(yīng)用中，通常是將IPS、IDS和防火墻配合起來(lái)使用。千兆IDS的實(shí)現(xiàn)負(fù)載均衡技術(shù)負(fù)載均衡設(shè)備＋多臺(tái)100M入侵檢測(cè)設(shè)備典型產(chǎn)品如ISS的realsecure協(xié)議分析技術(shù)＋優(yōu)化算法＋高配置硬件五、SnortSnort是MartinRoesch等人開(kāi)發(fā)的一種開(kāi)放源碼的入侵檢測(cè)系統(tǒng)。MartinRoesch把snort定位為一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)。它具有實(shí)時(shí)數(shù)據(jù)流量分析和IP數(shù)據(jù)包日志分析的能力，具有跨平臺(tái)特征，能夠進(jìn)行協(xié)議分析和對(duì)內(nèi)容的搜索/匹配。它能夠檢測(cè)不同的攻擊行為，如緩沖區(qū)溢出、端口掃描、DoS攻擊等，并進(jìn)行實(shí)時(shí)報(bào)警Snort（續(xù)）snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、入侵檢測(cè)系統(tǒng)。做嗅探器時(shí)，它只讀取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，然后顯示在控制臺(tái)上。作數(shù)據(jù)包記錄器時(shí)，它可以將數(shù)據(jù)包記錄到硬盤(pán)上，已備分析之用。入侵檢測(cè)模式功能強(qiáng)大，可通過(guò)配置實(shí)現(xiàn)，但稍顯復(fù)雜，snort可以根據(jù)用戶(hù)事先定義的一些規(guī)則分析網(wǎng)絡(luò)數(shù)據(jù)流，并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作使用控制臺(tái)查看檢測(cè)結(jié)果打開(kāi):50080/acid/acid_main.php網(wǎng)頁(yè)，啟動(dòng)snort并打開(kāi)acid檢測(cè)控制臺(tái)主界面使用控制臺(tái)查看檢測(cè)結(jié)果（續(xù)）使用控制臺(tái)查看檢測(cè)結(jié)果（續(xù)）點(diǎn)擊右側(cè)圖示中TCP后的數(shù)字“80%”，將顯示所有檢測(cè)到的TCP協(xié)議日志詳細(xì)情況，如下圖所示。TCP協(xié)議日志網(wǎng)頁(yè)中的選項(xiàng)依次為：流量類(lèi)型、時(shí)間戳、源地址、目標(biāo)地址以及協(xié)議。由于snort主機(jī)所在的內(nèi)網(wǎng)為，可以看出，日志中只記錄了外網(wǎng)IP對(duì)內(nèi)網(wǎng)的連接（即目標(biāo)地址均為內(nèi)網(wǎng)）使用控制臺(tái)查看檢測(cè)結(jié)果（續(xù)）使用控制臺(tái)查看檢測(cè)結(jié)果（續(xù)）選擇控制條中的“home”返回控制臺(tái)主界面，在主界面的下部有流量分析及歸類(lèi)選項(xiàng)，如下圖。acid檢測(cè)控制臺(tái)主界面:使用控制臺(tái)查看檢測(cè)結(jié)果（續(xù)）使用控制臺(tái)查看檢測(cè)結(jié)果（續(xù)）選擇“l(fā)ast24hours:alertsunique”，可以看到24小時(shí)內(nèi)特殊流量的分類(lèi)記錄和分析，如下圖所示?？梢钥吹?，表中詳細(xì)記錄了各類(lèi)型流量的種類(lèi)、在總?cè)罩局兴嫉谋壤?、出現(xiàn)該類(lèi)流量的起始和終止時(shí)間等詳細(xì)分析（在控制臺(tái)主界面中還有其他功能選項(xiàng)，請(qǐng)自己練習(xí)使用）使用控制臺(tái)查看檢測(cè)結(jié)果（續(xù)）六、蜜罐主機(jī)和欺騙網(wǎng)絡(luò)網(wǎng)絡(luò)誘騙技術(shù)的核心是蜜罐（HoneyPot）。蜜罐（HoneyPot）技術(shù)模擬存在漏洞的系統(tǒng)，為攻擊者提供攻擊目標(biāo)。其目標(biāo)是尋找一種有效的方法來(lái)影響入侵者，使得入侵者將技術(shù)、精力集中到蜜罐而不是其他真正有價(jià)值的正常系統(tǒng)和資源中。蜜罐技術(shù)還能做到一旦入侵企圖被檢測(cè)到時(shí)，迅速地將其切換。蜜罐主機(jī)和欺騙網(wǎng)絡(luò)（續(xù)）蜜罐主機(jī)(Honeypot)連累等級(jí)(LevelofInvolvement)蜜罐主機(jī)的布置DefnetHoneyPot欺騙網(wǎng)絡(luò)(Honeynet)

1、蜜罐主機(jī)(Honeypot)術(shù)語(yǔ)“蜜罐主機(jī)”現(xiàn)在是隨處可見(jiàn)，不同的廠商都聲稱(chēng)他們可以提供蜜罐主機(jī)類(lèi)產(chǎn)品。但到底什么是蜜罐主機(jī)，一直沒(méi)有確切的定義。在此，我們把蜜罐主機(jī)定義為：蜜罐主機(jī)是一種資源，它被偽裝成一個(gè)實(shí)際目標(biāo)；蜜罐主機(jī)希望人們?nèi)ス艋蛉肭炙?；它的主要目的在于分散攻擊者的注意力和收集與攻擊和攻擊者有關(guān)的信息。蜜罐主機(jī)的價(jià)值蜜罐主機(jī)不能直接解決任何網(wǎng)絡(luò)安全問(wèn)題，甚至于會(huì)引來(lái)更多的入侵者來(lái)進(jìn)攻自己的網(wǎng)絡(luò)。那么，蜜罐主機(jī)到底能給我們提供什么有用信息？我們又如何利用這些信息？有兩種類(lèi)型的蜜罐主機(jī)：產(chǎn)品型(Production)蜜罐主機(jī)和研究型(Research)蜜罐主機(jī)。產(chǎn)品型蜜罐主機(jī)用于降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)；研究型蜜罐主機(jī)則用于收集盡可能多的信息。這些蜜罐主機(jī)不會(huì)為網(wǎng)絡(luò)增加任何安全價(jià)值，但它們確實(shí)可以幫助我們明確黑客社團(tuán)以及他們的攻擊行為，以便更好地抵御安全威脅。蜜罐主機(jī)(Honeypot)（續(xù)）蜜罐主機(jī)是專(zhuān)門(mén)用來(lái)被人入侵的一種資源。所有通過(guò)蜜罐主機(jī)的通信流量都被認(rèn)為是可疑的因?yàn)樵诿酃拗鳈C(jī)上不會(huì)運(yùn)行額外的、會(huì)產(chǎn)生其它通信流量的系統(tǒng)。通常，進(jìn)出蜜罐主機(jī)的通信都是非授權(quán)的因此蜜罐主機(jī)所收集的信息也是我們所感興趣的數(shù)據(jù)而且這些信息不會(huì)摻雜有其它系統(tǒng)所產(chǎn)生的額外通信數(shù)據(jù)，因此分析起來(lái)相對(duì)容易一些。它所收集的數(shù)據(jù)的價(jià)值相對(duì)較高。蜜罐主機(jī)(Honeypot)（續(xù)）但是如果一臺(tái)蜜罐主機(jī)沒(méi)有被攻擊，那么它就毫無(wú)意義。蜜罐主機(jī)通常位于網(wǎng)絡(luò)的某點(diǎn)(SinglePoint)，因此它被攻擊者發(fā)現(xiàn)的概率是很小的。蜜罐主機(jī)有可能增加額外的風(fēng)險(xiǎn)：入侵者有可能被整個(gè)網(wǎng)絡(luò)所吸引或者蜜罐主機(jī)可能被攻陷。蜜罐主機(jī)(Honeypot)（續(xù)）2、連累等級(jí)(LevelofInvolvement)蜜罐主機(jī)的一個(gè)重要特性就是連累等級(jí)。連累等級(jí)是指攻擊者同蜜罐主機(jī)所在的操作系統(tǒng)的交互程度。低連累蜜罐主機(jī)低連累蜜罐主機(jī)低連累蜜罐主機(jī)一臺(tái)典型的低連累蜜罐主機(jī)只提供某些偽裝的服務(wù)。低連累蜜罐主機(jī)（續(xù)）在一個(gè)低連累蜜罐主機(jī)上，由于攻擊者并不與實(shí)際的操作系統(tǒng)打交道，從而可以大大降低蜜罐主機(jī)所帶來(lái)的安全風(fēng)險(xiǎn)。不過(guò)這種蜜罐也有其缺點(diǎn)，那就是蜜罐無(wú)法看到攻擊者同操作系統(tǒng)的交互過(guò)程。一個(gè)低連累蜜罐主機(jī)就如同一條單向連接，我們只能聽(tīng)，無(wú)法提出問(wèn)題。這是一種被動(dòng)式蜜罐。低連累蜜罐主機(jī)類(lèi)似于一個(gè)被動(dòng)的入侵檢測(cè)系統(tǒng)，它們不對(duì)通信流進(jìn)行修改或者同攻擊者進(jìn)行交互。如果進(jìn)入的包匹配某種實(shí)現(xiàn)定義的模式，它們就會(huì)產(chǎn)生日志和告警信息。低連累蜜罐主機(jī)（續(xù)）中連累蜜罐主機(jī)同攻擊者進(jìn)行交互中連累蜜罐主機(jī)中連累蜜罐主機(jī)提供更多接口同底層的操作系統(tǒng)進(jìn)行交互，偽裝的后臺(tái)服務(wù)程序也要復(fù)雜一些，對(duì)其所提供的特定服務(wù)需要的知識(shí)也更多，同時(shí)風(fēng)險(xiǎn)也在增加。隨著蜜罐主機(jī)復(fù)雜度的提升，攻擊者發(fā)現(xiàn)其中的安全漏洞的機(jī)會(huì)也在增加，攻擊者可以采取的攻擊技術(shù)也相應(yīng)更多。由于協(xié)議和服務(wù)眾多，開(kāi)發(fā)中連累蜜罐主機(jī)要更復(fù)雜和花費(fèi)更多時(shí)間。必須特別注意的是，所有開(kāi)發(fā)的偽裝后臺(tái)服務(wù)程序必須足夠安全，不應(yīng)該存在出現(xiàn)在實(shí)際服務(wù)中的漏洞。中連累蜜罐主機(jī)（續(xù)）高連累蜜罐主機(jī)高連累蜜罐主機(jī)高連累蜜罐主機(jī)，由于高連累蜜罐主機(jī)與底層操作系統(tǒng)的交互是“實(shí)實(shí)在在”的，所以隨著操作系統(tǒng)復(fù)雜性的提高，由蜜罐主機(jī)所帶來(lái)的安全風(fēng)險(xiǎn)也不斷增高。同時(shí)，蜜罐主機(jī)所能夠收集到的信息越多，也就越容易吸引入侵者。控制蜜罐主機(jī)，而高連累蜜罐主機(jī)也確實(shí)為黑客提供了這樣的工作環(huán)境。此時(shí)，整個(gè)系統(tǒng)已經(jīng)不能再被當(dāng)作是安全的，雖然，蜜罐主機(jī)通常運(yùn)行在一個(gè)受限制的虛擬環(huán)境中(所謂的沙箱或者VMWare)，但入侵者總會(huì)有辦法突破這個(gè)軟件邊界。

高連累蜜罐主機(jī)（續(xù)）由于高連累蜜罐主機(jī)的高安全風(fēng)險(xiǎn)，因而我們有必要對(duì)蜜罐一直進(jìn)行監(jiān)視，否則蜜罐主機(jī)本身可能成為另一個(gè)安全漏洞。因此，蜜罐主機(jī)可以訪問(wèn)的資源和范圍必須受到一定的限制，對(duì)于進(jìn)出蜜罐主機(jī)的通信流必須進(jìn)行過(guò)濾，以防止成為黑客發(fā)動(dòng)其它攻擊的跳板。高連累蜜罐主機(jī)（續(xù)）由于高連累蜜罐主機(jī)給攻擊者提供的是完整的操作系統(tǒng)，攻擊者不僅可以同蜜罐主機(jī)交互，還可以同操作系統(tǒng)交互，因此它可以成功入侵系統(tǒng)的概率也就很大。當(dāng)然，我們從蜜罐主機(jī)獲得的信息也就越多。高連累蜜罐主機(jī)（續(xù)）各連累等級(jí)蜜罐的優(yōu)缺點(diǎn)比較等級(jí)

低中高交互等級(jí)低中高真實(shí)操作系統(tǒng)——√安全風(fēng)險(xiǎn)低中高信息收集按連接按請(qǐng)求全面希望被入侵——√運(yùn)行所需知識(shí)低低高開(kāi)發(fā)所需知識(shí)低高中高維護(hù)時(shí)間低低很高3、蜜罐主機(jī)的布置蜜罐主機(jī)對(duì)于其運(yùn)行環(huán)境并沒(méi)有太多限制，正如一臺(tái)標(biāo)準(zhǔn)服務(wù)器一樣，可以位于網(wǎng)絡(luò)的任何位置，但對(duì)于不同的擺放位置有其不同的優(yōu)缺點(diǎn)。根據(jù)所需要的服務(wù)，蜜罐主機(jī)既可以放置于互聯(lián)網(wǎng)中，也可以放置在內(nèi)聯(lián)網(wǎng)中。如果把密罐主機(jī)放置于內(nèi)聯(lián)網(wǎng)，那么對(duì)于檢測(cè)內(nèi)部網(wǎng)的攻擊者會(huì)有一定的幫助。但是必須注意的是，一旦蜜罐主機(jī)被突破，它就像一把尖刀直插你的心臟，因此要盡量降低其運(yùn)行等級(jí)。據(jù)統(tǒng)計(jì),80%的攻擊來(lái)自組織內(nèi)部,因此此位置的蜜罐對(duì)于捕獲來(lái)自?xún)?nèi)部的掃描和攻擊作用最大.可以部署低交互度蜜罐用于檢測(cè),高交互度蜜罐用于響應(yīng);目前大多數(shù)蜜罐部署的常用位置.蜜罐主機(jī)的布置（續(xù)）如果你更加關(guān)心互聯(lián)網(wǎng)，那么蜜罐主機(jī)可以放置在另外的地方：①防火墻外面(Internet)②DMZ(非軍事區(qū))③防火墻后面(Intranet)每種擺放方式都有各自的優(yōu)缺點(diǎn)。蜜罐主機(jī)的布置（續(xù)）蜜罐主機(jī)的布置蜜罐主機(jī)的布置（續(xù)）蜜罐主機(jī)放在防火墻外面蜜罐1部署在組織的防火墻之外,目標(biāo)是研究每天有多少針對(duì)組織的攻擊企圖。如果把蜜罐主機(jī)放在防火墻外面，那么對(duì)內(nèi)部網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)不會(huì)有任何影響。這樣就可以消除在防火墻后面出現(xiàn)一臺(tái)失陷主機(jī)的可能性。此位置適于部署低連累蜜罐，能夠檢測(cè)對(duì)系統(tǒng)漏洞的所有攻擊行為。蜜罐1容易被攻擊者識(shí)別,被攻破的風(fēng)險(xiǎn)很大,而且有時(shí)檢測(cè)的數(shù)據(jù)量大使用戶(hù)難于處理。不推薦使用的部署位置.蜜罐主機(jī)有可能吸引和產(chǎn)生大量的不可預(yù)期的通信量，如端口掃描或網(wǎng)絡(luò)攻擊所導(dǎo)致的通信流。如果把蜜罐主機(jī)放在防火墻外面，這些事件就不會(huì)被防火墻記錄或者導(dǎo)致內(nèi)部入侵檢測(cè)系統(tǒng)產(chǎn)生告警信息。對(duì)于防火墻或者入侵檢測(cè)系統(tǒng)，以及任何其它資源來(lái)說(shuō)，最大的好處莫過(guò)于在防火墻外面運(yùn)行的蜜罐主機(jī)不會(huì)影響它們，不會(huì)給它們帶來(lái)額外的安全威脅。缺點(diǎn)是外面的蜜罐主機(jī)無(wú)法定位內(nèi)部攻擊信息。特別是如果防火墻本身就限制內(nèi)部通信流直接通向互聯(lián)網(wǎng)的話，那么蜜罐主機(jī)基本上看不到內(nèi)部網(wǎng)的通信流。蜜罐主機(jī)放在防火墻外面（續(xù)）蜜罐主機(jī)放在DMZ目標(biāo)是檢測(cè)或者響應(yīng)高風(fēng)險(xiǎn)網(wǎng)絡(luò)上的攻擊或者未授權(quán)活動(dòng).蜜罐2隱藏于DMZ區(qū)域的各種服務(wù)器之中,將其工作狀態(tài)類(lèi)似于網(wǎng)絡(luò)內(nèi)的其他系統(tǒng)(如Web服務(wù)器),當(dāng)攻擊者順序掃描和攻擊各服務(wù)器時(shí),蜜罐2可以檢測(cè)到攻擊行為,并通過(guò)與攻擊者的交互響應(yīng)取證其攻擊行為;當(dāng)攻擊者隨機(jī)選取服務(wù)器進(jìn)行攻擊時(shí),蜜罐2有被避開(kāi)的可能性。蜜罐2不易被攻擊者發(fā)現(xiàn),因此只要有出入蜜罐2的活動(dòng)流量均可判定為可疑的未授權(quán)行為,從而可以捕獲到高價(jià)值的非法活動(dòng).在此位置可以部署低連累蜜罐用于檢測(cè),高連累蜜罐用于響應(yīng),是目前大多數(shù)蜜罐部署的常用位置把蜜罐主機(jī)放在DMZ似乎是一種較好的解決方案，但這必須首先保證DMZ內(nèi)的其它服務(wù)器是安全的。大多數(shù)DMZ內(nèi)的服務(wù)器只提供所必需的服務(wù)，也就是防火墻只允許與這些服務(wù)相關(guān)的通信經(jīng)過(guò)，而蜜罐主機(jī)通常會(huì)偽裝盡可能多的服務(wù)，因此，如何處理好這個(gè)矛盾是放置在DMZ內(nèi)的密罐主機(jī)需要解決的關(guān)鍵問(wèn)題所在。蜜罐主機(jī)放在DMZ（續(xù)）目標(biāo)是檢測(cè)和響應(yīng)突破安全防線后的攻擊行為,阻止攻擊行為的蔓延。如果把蜜罐主機(jī)置于防火墻后面，那么就有可能給內(nèi)部網(wǎng)絡(luò)引入新的安全威脅，特別是在蜜罐主機(jī)和內(nèi)部網(wǎng)絡(luò)之間沒(méi)有額外的防火墻保護(hù)的情況下。正如前面所述的，蜜罐主機(jī)通常都提供大量的偽裝服務(wù)，因此不可避免地必須修改防火墻的過(guò)濾規(guī)則，對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的通信流和蜜罐主機(jī)的通信流加以區(qū)別對(duì)待。否則，一旦蜜罐主機(jī)失陷，那么整個(gè)內(nèi)部網(wǎng)絡(luò)將完全暴露在攻擊者面前。從互聯(lián)網(wǎng)經(jīng)由防火墻到達(dá)蜜罐主機(jī)的通信流是暢通無(wú)阻的，因此對(duì)于內(nèi)部網(wǎng)中的蜜罐主機(jī)的安全性要求相對(duì)較高，特別是對(duì)高連累型蜜罐主機(jī)。該位置適于部署高連累蜜罐,因?yàn)橥ㄟ^(guò)防火墻可以很好地進(jìn)行數(shù)據(jù)控制蜜罐主機(jī)置于防火墻后面4、DefnetHoneyPot“DefnetHoneyPot”是一個(gè)著名的“蜜罐”虛擬系統(tǒng)，它會(huì)虛擬一臺(tái)有“缺陷”的電腦，等著惡意攻擊者上鉤。這種通過(guò)DefnetHoneyPot虛擬出來(lái)的系統(tǒng)和真正的系統(tǒng)看起來(lái)沒(méi)有什么兩樣，但它是為惡意攻擊者布置的陷阱。只不過(guò)，這個(gè)陷阱只能套住惡意攻擊者，看看他都執(zhí)行了哪些命令，進(jìn)行了哪些操作，使用了哪些惡意攻擊工具。通過(guò)陷阱的記錄，可以了解攻擊者的習(xí)慣，掌握足夠的攻擊證據(jù)，甚至反擊攻擊者。模擬環(huán)境虛擬機(jī)AIP:0(蜜罐系統(tǒng))虛擬機(jī)BIP:(攻擊主機(jī))設(shè)置虛擬系統(tǒng)虛擬一個(gè)FTPServer服務(wù)TelnetServer的設(shè)置幕后監(jiān)視幕后監(jiān)視（續(xù)）

例如，蜜罐中顯示信息如下：

(9:20:52)TheIP()triedinvasionbytelnet(CONNECTION)

(9:21:31)TheIP()triedinvasionbytelnet(USERadministrator)

(9:21:53)TheIP()triedinvasionbytelnet(PASSWORD)

(9:22:21)TheIP()triedinvasionbytelnet(USERadmin)

(9:22:42)TheIP()triedinvasionbytelnet(PASSWORD)

(9:23:08)TheIP()triedinvasionbytelnet(USERroot)

(9:23:29)TheIP()triedinvasionbytelnet(PASSWORD)

Theinvasordisconnectedfromthetelnetserver

幕后監(jiān)視（續(xù)）(9:23:58)TheIP()triedinvasionbytelnet(CONNECTION)

(9:24:22)TheIP()triedinvasionbytelnet(USERroot)

(9:24:44)TheIP()triedinvasionbytelnet(PASSWORDroot)

(9:25:08)TheIP()triedinvasionbytelnet(dir)

(9:25:41)TheIP()triedinvasionbytelnet(cdfiles)

(9:26:20)TheIP()triedinvasionbytelnet(netuser)

(9:26:49)TheIP()triedinvasionbytelnet(netuser)

(9:27:38)TheIP()triedinvasionbytelnet(netuserasp$test168/add)

(9:28:32)TheIP()triedinvasionbytelnet(netu)

(9:29:12)TheIP()triedinvasionbytelnet(netlocalgroupadministratorsasp$/add)

(9:29:36)TheIP()triedinvasionbytelnet(exit)幕后監(jiān)視（續(xù)）從信息中，我們可以看到攻擊者Telnet到服務(wù)器分別用administrator、admin、root空密碼進(jìn)行探視均告失敗，然后再次連接用root用戶(hù)和root密碼進(jìn)入系統(tǒng)。接下來(lái)用dir命令查看了目錄，創(chuàng)建了一個(gè)用戶(hù)