蜜罐技術(shù)講解

蜜罐技術(shù)背景描述針對目前網(wǎng)絡嚴重的安全威脅，網(wǎng)絡安全人員和管理員卻仍然對黑客社團所知甚少。當網(wǎng)絡被攻陷破壞后，甚至還不知道幕后黑手是誰。對他們使用了哪些工具、以何種方式達成攻擊目標，以及為什么進行攻擊更是一無所知?！爸褐?，百戰(zhàn)不殆”，安全防護工作者，無論是安全研究人員、安全產(chǎn)品研發(fā)人員、安全管理人員和安全響應服務人員，都需要首先對黑客社團有深入的了解，包括他們所掌握的攻擊技術(shù)、技巧和戰(zhàn)術(shù)、甚至心理和習慣等。只有在充分了解對手的前提下，安全技術(shù)人員和網(wǎng)絡管理員才能更有效地維護互聯(lián)網(wǎng)安全。而蜜罐和蜜網(wǎng)技術(shù)為捕獲黑客的攻擊行為，并深入分析黑客提供了基礎。工作原理1.蜜罐蜜罐(Honeypot)是一種在互聯(lián)網(wǎng)上運行的計算機系統(tǒng)，它是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統(tǒng)的人而設計的。蜜罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng)，它通過模擬一個或多個易受攻擊的主機，給攻擊者提供一個容易攻擊的目標。蜜罐的另一個用途是拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。此外，蜜罐也可以為追蹤攻擊者提供有力的線索，為起訴攻擊者搜集有力的證據(jù)。簡單地說，蜜罐就是誘捕攻擊者的一個陷阱。一些專門用于欺騙黑客的開源工具，如FredCohen所開發(fā)的DTK(欺騙工具包)、NielsProvos開發(fā)的Honeyd等，同時也出現(xiàn)了像KFSensor、Specter等一些商業(yè)蜜罐產(chǎn)品。這一階段的蜜罐可以稱為是虛擬蜜罐，即開發(fā)的這些蜜罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡服務，并對黑客的攻擊行為做出回應，從而欺騙黑客。虛擬蜜罐工具的出現(xiàn)也使得部署蜜罐也變得比較方便。但是由于虛擬蜜罐工具存在著交互程度低，較容易被黑客識別等問題，從2000年之后，安全研究人員更傾向于使用真實的主機、操作系統(tǒng)和應用程序搭建蜜罐，但與之前不同的是，融入了更強大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制的工具，并且將蜜罐納入到一個完整的蜜網(wǎng)體系中，使得研究人員能夠更方便地追蹤侵入到蜜網(wǎng)中的黑客并對他們的攻擊行為進行分析。蜜罐可以按照其部署目的分為產(chǎn)品型蜜罐和研究型蜜罐兩類。產(chǎn)品型蜜罐的目的在于為一個組織的網(wǎng)絡提供安全保護，包括檢測攻擊、防止攻擊造成破壞及幫助管理員對攻擊做出及時正確的響應等功能。一般產(chǎn)品型蜜罐較容易部署，而且不需要管理員投入大量的工作。較具代表性的產(chǎn)品型蜜罐包括DTK、honeyd等開源工具和KFSensor、ManTraq等一系列的商業(yè)產(chǎn)品。研究型蜜罐則是專門用于對黑客攻擊的捕獲和分析，通過部署研究型蜜罐，對黑客攻擊進行追蹤和分析，能夠捕獲黑客的鍵擊記錄，了解到黑客所使用的攻擊工具及攻擊方法，甚至能夠監(jiān)聽到黑客之間的交談，從而掌握他們的心理狀態(tài)等信息。研究型蜜罐需要研究人員投入大量的時間和精力進行攻擊監(jiān)視和分析工作，具有代表性的工具是“蜜網(wǎng)項目組”所推出的第二代蜜網(wǎng)技術(shù)。蜜罐技術(shù)的優(yōu)點：收集數(shù)據(jù)的保真度，由于蜜罐不提供任何實際的作用，因此其收集到的數(shù)據(jù)很少，同時收集到的數(shù)據(jù)很大可能就是由于黑客攻擊造成的，蜜罐不依賴于任何復雜的檢測技術(shù)等，因此減少了漏報率和誤報率。

使用蜜罐技術(shù)能夠收集到新的攻擊工具和攻擊方法，而不像目前的大部分入侵檢測系統(tǒng)只能根據(jù)特征匹配的方法檢測到已知的攻擊。蜜罐技術(shù)不需要強大的資源支持，可以使用一些低成本的設備構(gòu)建蜜罐，不需要大量的資金投入。相對入侵檢測等其他技術(shù)，蜜罐技術(shù)比較簡單，使得網(wǎng)絡管理人員能夠比較容易地掌握黑客攻擊的一些知識。蜜罐技術(shù)的缺陷：需要較多的時間和精力投入。蜜罐技術(shù)只能對針對蜜罐的攻擊行為進行監(jiān)視和分析，其視圖較為有限，不像入侵檢測系統(tǒng)能夠通過旁路偵聽等技術(shù)對整個網(wǎng)絡進行監(jiān)控。蜜罐技術(shù)不能直接防護有漏洞的信息系統(tǒng)。部署蜜罐會帶來一定的安全風險。部署蜜罐所帶來的安全風險主要有蜜罐可能被黑客識別和黑客把蜜罐作為跳板從而對第三方發(fā)起攻擊。2.蜜網(wǎng)蜜網(wǎng)是在蜜罐技術(shù)上逐步發(fā)展起來的一個新的概念，又可成為誘捕網(wǎng)絡。其主要目的是收集黑客的攻擊信息，但與傳統(tǒng)蜜罐技術(shù)的差異在于，蜜網(wǎng)構(gòu)成了一個黑客誘捕網(wǎng)絡體系架構(gòu)，在這個架構(gòu)中，我們可以包含一個或多個蜜罐，同時保證了網(wǎng)絡的高度可控性，以及提供多種工具以方便對攻擊信息的采集和分析。一個蜜網(wǎng)是由許多用來與攻擊者進行交互的蜜罐組成的網(wǎng)絡，其中的這些靶子（蜜網(wǎng)內(nèi)的蜜罐）可以是你想提供的任何類型的系統(tǒng)，服務或是信息。此外，虛擬蜜網(wǎng)通過應用虛擬操作系統(tǒng)軟件(如VMWare和UserModeLinux等)使得我們可以在單一的主機上實現(xiàn)整個蜜網(wǎng)的體系架構(gòu)。虛擬蜜網(wǎng)的引入使得架設蜜網(wǎng)的代價大幅降低，也較容易部署和管理,蜜網(wǎng)有著三大核心需求：（1）數(shù)據(jù)控制；（2）數(shù)據(jù)捕獲；（3）數(shù)據(jù)分析。通過數(shù)據(jù)控制能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡的安全，以減輕蜜網(wǎng)架設的風險；數(shù)據(jù)捕獲技術(shù)能夠檢測并審計黑客攻擊的所有行為數(shù)據(jù)；而數(shù)據(jù)分析技術(shù)則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動、使用工具及其意圖。以下結(jié)合“蜜網(wǎng)項目組”及其推出的第二代蜜網(wǎng)技術(shù)方案對蜜網(wǎng)的核心需求進行分析。第二代蜜網(wǎng)方案的整體架構(gòu)如下圖16-1-1所示，其中最為關(guān)鍵的部件為稱為HoneyWall的蜜網(wǎng)網(wǎng)關(guān)，包括三個網(wǎng)絡接口，eth0接入外網(wǎng)，eth1連接蜜網(wǎng),而eth2作為一個秘密通道，連接到一個監(jiān)控網(wǎng)絡。HoneyWall是一個對黑客不可見的鏈路層橋接設備，作為蜜網(wǎng)與其他網(wǎng)絡的唯一連接點，所有流入流出蜜網(wǎng)的網(wǎng)絡流量都將通過HoneyWall，并受其控制和審計，對黑客而言，HoneyWall是完全不可見的，因此黑客不會識別出其所攻擊的網(wǎng)絡是一個蜜網(wǎng)。HoneyWall實現(xiàn)了蜜網(wǎng)的第一大核心需求－數(shù)據(jù)控制，如下圖16-1-2所示，HoneyWall對流入的網(wǎng)絡包不進行任何限制，使得黑客能攻入蜜網(wǎng)，但對黑客使用蜜網(wǎng)對外發(fā)起的跳板攻擊進行嚴格控制，控制的方法包括攻擊包抑制和對外連接數(shù)限制兩種手段。圖14-1-1圖14-1-2攻擊包抑制主要針對使用少量連接即能奏效的已知攻擊(如權(quán)限提升攻擊等)，在HoneyWall中使用網(wǎng)絡入侵防御系統(tǒng)(NIPS)作為攻擊包抑制器，檢測出從蜜網(wǎng)向外發(fā)出的含有的攻擊特征的攻擊數(shù)據(jù)包，發(fā)出報警信息并對攻擊數(shù)據(jù)包加以拋棄或修改，使其不能對第三方網(wǎng)絡構(gòu)成危害。而對外連接數(shù)限制則主要針對網(wǎng)絡探測和拒絕服務攻擊。HoneyWall通過在IPTables防火墻中設置規(guī)則，當黑客發(fā)起的連接數(shù)超過預先設置的閾值，則IPTables將其記錄到日志，并阻斷其后繼連接，從而避免蜜網(wǎng)中被攻陷的蜜罐作為黑客的跳板對第三方網(wǎng)絡進行探測或拒絕服務攻擊。圖16-1-3給出了HoneyWall中實現(xiàn)的數(shù)據(jù)控制機制(即攻擊包抑制和對外連接數(shù)限制)的具體工作流程。Swatch監(jiān)視工具將snort_inline和IPTables產(chǎn)生的報警日志通過Email等方式通知管理員。HoneyWall中實現(xiàn)的數(shù)據(jù)捕獲機制的具體工作流程，黑客攻擊數(shù)據(jù)包從eth0流入后,通過IPTables防火墻，根據(jù)防火墻規(guī)則,將對流入的連接活動進行記錄，由于我們無需對流入的攻擊進行過濾，因此可以直接跳過snort_inline，但在eth1流出的時候,由一個作為網(wǎng)絡監(jiān)聽器使用的snort記錄全部的網(wǎng)絡流量，以供后繼的攻擊分析所使用。在蜜網(wǎng)中的各個蜜罐上，通過安裝Sebek的客戶端，能夠?qū)诳驮诿酃奚系幕顒舆M行記錄，并通過對黑客隱蔽的通道將收集到的鍵擊記錄等信息傳送到位于HoneyWall的Sebek服務器。管理員可以通過eth2隱蔽通道對HoneyWall中收集到的數(shù)據(jù)進行分析，從而學習到黑客所發(fā)動的攻擊方法。圖14-1-33.常見的網(wǎng)絡誘騙工具及產(chǎn)品DTKDTK對大多數(shù)自動攻擊工具是適用的，但很容易被一個真正的攻擊者區(qū)分出來。Honeyd。Honeyd是一個很酷很小巧的用于創(chuàng)建虛擬的網(wǎng)絡上的主機的后臺程序，這些虛擬主機可以配置使得它們提供任意的服務，利用個性處理可以使得這些主機顯示為在某個特定版本的操作系統(tǒng)上運行。Honeyd能讓一臺主機在一個模擬的局域網(wǎng)環(huán)境中配有多個地址(曾測試過的最多可以達到65536個)，外界的主機可以對虛似的主機進行ping、traceroute等網(wǎng)絡操作，虛擬主機上任何類型的服務都可以依照一個簡單的配置文件進行模擬，。Honeyd可以通過提供威脅檢測與評估機制來提高計算機系統(tǒng)的安全性，也可以通過將真實系統(tǒng)隱藏在虛擬系統(tǒng)中來阻止外來的攻擊者。因為Honeyd只能進行網(wǎng)絡級的模擬，不能提供真實的交互環(huán)境，能獲取的有價值的攻擊者的信息比較有限，所以Honeyd所模擬的蜜罐系統(tǒng)常常是作為真實應用的網(wǎng)絡中轉(zhuǎn)移攻擊者目標的設施，或者是與其他高交互的蜜罐系統(tǒng)一起