蜜罐主機和欺騙網(wǎng)絡(luò)

蜜罐主機和欺騙網(wǎng)絡(luò)第1頁，共67頁，2023年，2月20日，星期四16.1蜜罐主機(Honeypot)

16.1.1蜜罐主機基礎(chǔ)術(shù)語“蜜罐主機”現(xiàn)在是隨處可見，不同的廠商都聲稱他們可以提供蜜罐主機類產(chǎn)品。但到底什么是蜜罐主機，一直沒有確切的定義。在此，我們把蜜罐主機定義為：蜜罐主機是一種資源，它被偽裝成一個實際目標(biāo)；蜜罐主機希望人們?nèi)ス艋蛉肭炙?；它的主要目的在于分散攻擊者的注意力和收集與攻擊和攻擊者有關(guān)的信息。第2頁，共67頁，2023年，2月20日，星期四

16.1.2蜜罐主機的價值正如前面所述，蜜罐主機不能直接解決任何網(wǎng)絡(luò)安全問題，甚至于會引來更多的入侵者來進攻自己的網(wǎng)絡(luò)。那么，蜜罐主機到底能給我們提供什么有用信息？我們又如何利用這些信息？有兩種類型的蜜罐主機：產(chǎn)品型(Production)蜜罐主機和研究型(Research)蜜罐主機。產(chǎn)品型蜜罐主機用于降低網(wǎng)絡(luò)的安全風(fēng)險；研究型蜜罐主機則用于收集盡可能多的信息。這些蜜罐主機不會為網(wǎng)絡(luò)增加任何安全價值，但它們確實可以幫助我們明確黑客社團以及他們的攻擊行為，以便更好地抵御安全威脅。第3頁，共67頁，2023年，2月20日，星期四蜜罐主機是專門用來被人入侵的一種資源。所有通過蜜罐主機的通信流量都被認(rèn)為是可疑的，因為在蜜罐主機上不會運行額外的、會產(chǎn)生其它通信流量的系統(tǒng)。通常，進出蜜罐主機的通信都是非授權(quán)的，因此蜜罐主機所收集的信息也是我們所感興趣的數(shù)據(jù)，而且這些信息不會摻雜有其它系統(tǒng)所產(chǎn)生的額外通信數(shù)據(jù)，因此分析起來相對容易一些。它所收集的數(shù)據(jù)的價值相對較高。第4頁，共67頁，2023年，2月20日，星期四但是如果一臺蜜罐主機沒有被攻擊，那么它就毫無意義。蜜罐主機通常位于網(wǎng)絡(luò)的某點(SinglePoint)，因此它被攻擊者發(fā)現(xiàn)的概率是很小的。蜜罐主機有可能增加額外的風(fēng)險：入侵者有可能被整個網(wǎng)絡(luò)所吸引或者蜜罐主機可能被攻陷。第5頁，共67頁，2023年，2月20日，星期四

16.1.3部分蜜罐主機產(chǎn)品比較這一節(jié)對部分可用的產(chǎn)品和解決辦法進行比較說明[2][3][4]。表16-1對幾種常用蜜罐主機的關(guān)鍵要素進行比較。第6頁，共67頁，2023年，2月20日，星期四表16-1蜜罐主機比較表主機關(guān)鍵要素ManTrapSpecterDTK交互程度高低中可擴展√—√開放源碼——√免費——√費用高低中支持日志文件√√√告警通知√√√配置難容易中GUI圖形界面√√—第7頁，共67頁，2023年，2月20日，星期四上述各個蜜罐主機有各自的強項。Specter最容易配置和運行，這得益于它的圖形化用戶界面。它的價值并不很高，因為它不是真正的操作系統(tǒng)一級的，當(dāng)然這也有助于降低安全風(fēng)險。

ManTrap和DTK這兩種蜜罐主機的構(gòu)造則是高度自定義的。它們的價值和風(fēng)險都相對較高，因此它們的日常維護費用也較高。ManTrap相對于DTK的優(yōu)勢在于其圖形化界面，因此配置、分析和管理起來相對容易一些。第8頁，共67頁，2023年，2月20日，星期四16.2連累等級(LevelofInvolvement)蜜罐主機的一個重要特性就是連累等級。連累等級是指攻擊者同蜜罐主機所在的操作系統(tǒng)的交互程度。第9頁，共67頁，2023年，2月20日，星期四16.2.1低連累蜜罐主機一臺典型的低連累蜜罐主機只提供某些偽裝的服務(wù)。一種最基本的實現(xiàn)形式可以是程序在某一個特定端口偵聽。例如，一條簡單的命令“netcat-1-p80>/1og/honeypot/port_80.log”，就可以偵聽80號端口(HTTP)，并記錄所有進入的通信到一個日志文件當(dāng)中。當(dāng)然這種方法無法實現(xiàn)復(fù)雜協(xié)議通信數(shù)據(jù)的捕獲。例如由于沒有對進入的請求進行應(yīng)答，所以僅僅依賴一個初始SMTP握手?jǐn)?shù)據(jù)包并不能獲得太多有用信息。第10頁，共67頁，2023年，2月20日，星期四圖16-1低連累蜜罐主機第11頁，共67頁，2023年，2月20日，星期四在一個低連累蜜罐主機上，由于攻擊者并不與實際的操作系統(tǒng)打交道，從而可以大大降低蜜罐主機所帶來的安全風(fēng)險。不過這種蜜罐也有其缺點，那就是蜜罐無法看到攻擊者同操作系統(tǒng)的交互過程。一個低連累蜜罐主機就如同一條單向連接，我們只能聽，無法提出問題。這是一種被動式蜜罐，如圖16-1所示。低連累蜜罐主機類似于一個被動的入侵檢測系統(tǒng)，它們不對通信流進行修改或者同攻擊者進行交互。如果進入的包匹配某種實現(xiàn)定義的模式，它們就會產(chǎn)生日志和告警信息。第12頁，共67頁，2023年，2月20日，星期四圖16-2中連累蜜罐主機同攻擊者進行交互第13頁，共67頁，2023年，2月20日，星期四

16.2.2中連累蜜罐主機中連累蜜罐主機(如圖16-2所示)提供更多接口同底層的操作系統(tǒng)進行交互，偽裝的后臺服務(wù)程序也要復(fù)雜一些，對其所提供的特定服務(wù)需要的知識也更多，同時風(fēng)險也在增加。隨著蜜罐主機復(fù)雜度的提升，攻擊者發(fā)現(xiàn)其中的安全漏洞的機會也在增加，攻擊者可以采取的攻擊技術(shù)也相應(yīng)更多。由于協(xié)議和服務(wù)眾多，開發(fā)中連累蜜罐主機要更復(fù)雜和花費更多時間。必須特別注意的是，所有開發(fā)的偽裝后臺服務(wù)程序必須足夠安全，不應(yīng)該存在出現(xiàn)在實際服務(wù)中的漏洞。第14頁，共67頁，2023年，2月20日，星期四

16.2.3高連累蜜罐主機高連累蜜罐主機如圖16-3所示，由于高連累蜜罐主機與底層操作系統(tǒng)的交互是“實實在在”的，所以隨著操作系統(tǒng)復(fù)雜性的提高，由蜜罐主機所帶來的安全風(fēng)險也不斷增高。同時，蜜罐主機所能夠收集到的信息越多，也就越容易吸引入侵者。黑客的目標(biāo)就是完全控制蜜罐主機，而高連累蜜罐主機也確實為黑客提供了這樣的工作環(huán)境。此時，整個系統(tǒng)已經(jīng)不能再被當(dāng)作是安全的，雖然，蜜罐主機通常運行在一個受限制的虛擬環(huán)境中(所謂的沙箱或者VMWare[5])，但入侵者總會有辦法突破這個軟件邊界。第15頁，共67頁，2023年，2月20日，星期四由于高連累蜜罐主機的高安全風(fēng)險，因而我們有必要對蜜罐一直進行監(jiān)視，否則蜜罐主機本身可能成為另一個安全漏洞。因此，蜜罐主機可以訪問的資源和范圍必須受到一定的限制，對于進出蜜罐主機的通信流必須進行過濾，以防止成為黑客發(fā)動其它攻擊的跳板。第16頁，共67頁，2023年，2月20日，星期四圖16-3高連累蜜罐主機第17頁，共67頁，2023年，2月20日，星期四由于高連累蜜罐主機給攻擊者提供的是完整的操作系統(tǒng)，攻擊者不僅可以同蜜罐主機交互，還可以同操作系統(tǒng)交互，因此它可以成功入侵系統(tǒng)的概率也就很大。當(dāng)然，我們從蜜罐主機獲得的信息也就越多。表16-2對不同連累等級蜜罐主機的優(yōu)缺點進行了比較。第18頁，共67頁，2023年，2月20日，星期四表16-2各連累等級蜜罐的優(yōu)缺點比較等級

低中高交互等級低中高真實操作系統(tǒng)——√安全風(fēng)險低中高信息收集按連接按請求全面希望被入侵——√運行所需知識低低高開發(fā)所需知識低高中高維護時間低低很高第19頁，共67頁，2023年，2月20日，星期四16.3蜜罐主機的布置蜜罐主機對于其運行環(huán)境并沒有太多限制，正如一臺標(biāo)準(zhǔn)服務(wù)器一樣，可以位于網(wǎng)絡(luò)的任何位置，但對于不同的擺放位置有其不同的優(yōu)缺點。第20頁，共67頁，2023年，2月20日，星期四根據(jù)所需要的服務(wù)，蜜罐主機既可以放置于互聯(lián)網(wǎng)中，也可以放置在內(nèi)聯(lián)網(wǎng)中。如果把密罐主機放置于內(nèi)聯(lián)網(wǎng)，那么對于檢測內(nèi)部網(wǎng)的攻擊者會有一定的幫助。但是必須注意的是，一旦蜜罐主機被突破，它就像一把尖刀直插你的心臟，因此要盡量降低其運行等級。第21頁，共67頁，2023年，2月20日，星期四如果你更加關(guān)心互聯(lián)網(wǎng)，那么蜜罐主機可以放置在另外的地方：①防火墻外面(Internet)②DMZ(非軍事區(qū))③防火墻后面(Intranet)

每種擺放方式都有各自的優(yōu)缺點。如果把蜜罐主機放在防火墻外面(見圖16-4中的位置(1))，那么對內(nèi)部網(wǎng)絡(luò)的安全風(fēng)險不會有任何影響。這樣就可以消除在防火墻后面出現(xiàn)一臺失陷主機的可能性。第22頁，共67頁，2023年，2月20日，星期四圖16-4蜜罐主機的布置第23頁，共67頁，2023年，2月20日，星期四蜜罐主機有可能吸引和產(chǎn)生大量的不可預(yù)期的通信量，如端口掃描或網(wǎng)絡(luò)攻擊所導(dǎo)致的通信流。如果把蜜罐主機放在防火墻外面，這些事件就不會被防火墻記錄或者導(dǎo)致內(nèi)部入侵檢測系統(tǒng)產(chǎn)生告警信息。對于防火墻或者入侵檢測系統(tǒng)，以及任何其它資源來說，最大的好處莫過于在防火墻外面運行的蜜罐主機不會影響它們，不會給它們帶來額外的安全威脅。缺點是外面的蜜罐主機無法定位內(nèi)部攻擊信息。第24頁，共67頁，2023年，2月20日，星期四特別是如果防火墻本身就限制內(nèi)部通信流直接通向互聯(lián)網(wǎng)的話，那么蜜罐主機基本上看不到內(nèi)部網(wǎng)的通信流。因此把蜜罐主機放在DMZ(見圖16-4中的位置(2))似乎是一種較好的解決方案，但這必須首先保證DMZ內(nèi)的其它服務(wù)器是安全的。大多數(shù)DMZ內(nèi)的服務(wù)器只提供所必需的服務(wù)，也就是防火墻只允許與這些服務(wù)相關(guān)的通信經(jīng)過，而蜜罐主機通常會偽裝盡可能多的服務(wù)，因此，如何處理好這個矛盾是放置在DMZ內(nèi)的密罐主機需要解決的關(guān)鍵問題所在。第25頁，共67頁，2023年，2月20日，星期四如果把蜜罐主機置于防火墻后面(見圖16-4中的位置(3))，那么就有可能給內(nèi)部網(wǎng)絡(luò)引入新的安全威脅，特別是在蜜罐主機和內(nèi)部網(wǎng)絡(luò)之間沒有額外的防火墻保護的情況下。正如前面所述的，蜜罐主機通常都提供大量的偽裝服務(wù)，因此不可避免地必須修改防火墻的過濾規(guī)則，對進出內(nèi)部網(wǎng)絡(luò)的通信流和蜜罐主機的通信流加以區(qū)別對待。否則，一旦蜜罐主機失陷，那么整個內(nèi)部網(wǎng)絡(luò)將完全暴露在攻擊者面前。從互聯(lián)網(wǎng)經(jīng)由防火墻到達(dá)蜜罐主機的通信流是暢通無阻的，因此對于內(nèi)部網(wǎng)中的蜜罐主機的安全性要求相對較高，特別是對高連累型蜜罐主機。第26頁，共67頁，2023年，2月20日，星期四最好的辦法就是讓蜜罐主機運行在自己的DMZ內(nèi)，同其它網(wǎng)絡(luò)的連接都用防火墻隔離，防火墻可以根據(jù)需要建立同互聯(lián)網(wǎng)或內(nèi)聯(lián)網(wǎng)的連接。這種布置可以很好地解決對蜜罐主機的嚴(yán)格控制以及靈活的運行環(huán)境的矛盾，從而實現(xiàn)最高安全。第27頁，共67頁，2023年，2月20日，星期四16.4欺騙網(wǎng)絡(luò)(Honeynet)通常情況下，蜜罐主機會模擬某些常見的漏洞、其它操作系統(tǒng)或者是在某個系統(tǒng)上做了設(shè)置使其成為一臺“牢籠”(Cage)主機。在物理上，蜜罐主機是單臺主機，要控制外出的通信流通常是不太可能的，它需要借助于防火墻等設(shè)備才能對通信流進行限制。第28頁，共67頁，2023年，2月20日，星期四這樣便慢慢演化出一種更為復(fù)雜的欺騙網(wǎng)絡(luò)環(huán)境，被稱為欺騙網(wǎng)絡(luò)(Honeynet)。一個典型的欺騙網(wǎng)絡(luò)包含多臺蜜罐主機以及防火墻(或網(wǎng)橋式防火墻)來限制和記錄網(wǎng)絡(luò)通信流，通常還會包含入侵檢測系統(tǒng)，用以察看潛在的攻擊，解碼其中的網(wǎng)絡(luò)通信信息。圖16-5給出了不同的蜜罐主機和欺騙網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖。第29頁，共67頁，2023年，2月20日，星期四圖16-5不同的蜜罐主機和欺騙網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)第30頁，共67頁，2023年，2月20日，星期四欺騙網(wǎng)絡(luò)與傳統(tǒng)意義上的蜜罐主機有兩個最大的不同點：

(1)一個欺騙網(wǎng)絡(luò)是一個網(wǎng)絡(luò)系統(tǒng)，而并非某臺單一主機。這一網(wǎng)絡(luò)系統(tǒng)是隱藏在防火墻后面的，所有進出的數(shù)據(jù)都被監(jiān)視、截獲及控制。這些被截獲的數(shù)據(jù)可以用于分析黑客團體使用的工具、方法及動機。在這個欺騙網(wǎng)絡(luò)中，可以使用各種不同的操作系統(tǒng)及設(shè)備，如Solaris,Linux,WindowsNT,CiscoSwitch等等。這樣建立的網(wǎng)絡(luò)環(huán)境看上去會更加真實可信。第31頁，共67頁，2023年，2月20日，星期四同時，可在不同的系統(tǒng)平臺上運行不同的服務(wù)，比如Linux的DNSServer，WindowsNT的Webserver或者一個Solaris的FTPServer。我們可以學(xué)習(xí)不同的工具以及不同的策略——或許某些入侵者僅僅把目標(biāo)鎖定在幾個特定的系統(tǒng)漏洞上，而這種多樣化的系統(tǒng)配置，就更能準(zhǔn)確地勾勒出黑客團體的趨勢和特征。第32頁，共67頁，2023年，2月20日，星期四

(2)在欺騙網(wǎng)絡(luò)中的所有系統(tǒng)都是標(biāo)準(zhǔn)的機器，上面運行的都是真實完整的操作系統(tǒng)及應(yīng)用程序——就像在互聯(lián)網(wǎng)上找到的系統(tǒng)一樣。它們不需要被刻意地模擬某種環(huán)境或者故意地使系統(tǒng)不安全。在欺騙網(wǎng)絡(luò)里面找到的存在安全風(fēng)險和漏洞的系統(tǒng)，與大多數(shù)互聯(lián)網(wǎng)上的公司組織內(nèi)的系統(tǒng)毫無區(qū)別，因而可以簡單地把自己的產(chǎn)品放到欺騙網(wǎng)絡(luò)中。第33頁，共67頁，2023年，2月20日，星期四通過在蜜罐主機之前設(shè)置防火墻，我們就可以控制進入和流出蜜罐主機的通信流，大大降低因為蜜罐主機所帶來的額外安全風(fēng)險，而且網(wǎng)絡(luò)信息流的審計也變得相對容易。對所有蜜罐主機的審計可以通過集中管理方式來實現(xiàn)，所捕獲的數(shù)據(jù)也沒有必要存放在各個蜜罐主機內(nèi)，這樣可確保這些數(shù)據(jù)的安全。第34頁，共67頁，2023年，2月20日，星期四欺騙網(wǎng)絡(luò)的目的是對入侵者群體進行研究，因而就必須能夠跟蹤他們的舉動。這就需要建立一個透明的環(huán)境，以使我們能夠?qū)ζ垓_網(wǎng)絡(luò)里發(fā)生的任何事都有清楚的了解。傳統(tǒng)的方法是對網(wǎng)絡(luò)流量進行監(jiān)控，但這里存在一個最大的問題：過大的數(shù)據(jù)量會使安全工程師疲于奔命。安全工程師必須從大量的數(shù)據(jù)中判斷哪些是正常的流量，哪些是惡意的活動。一些如入侵檢測系統(tǒng)和基于主機的檢測及日志分析的工具、技術(shù)等會在很大程度上給我們帶來幫助，但是數(shù)據(jù)過載、信息被破壞、未知的活動、偽造的日志等等都會為分析、檢查帶來困難。第35頁，共67頁，2023年，2月20日，星期四欺騙網(wǎng)絡(luò)對此采用了最簡單的解決方式。我們的目的是研究系統(tǒng)被侵害的一些相關(guān)事件，而不是分析網(wǎng)絡(luò)流量，因此可以假設(shè)認(rèn)為，從外界對欺騙網(wǎng)絡(luò)的訪問，除去正常訪問外，其它可能是一些掃描、探測及攻擊的行為，而從系統(tǒng)內(nèi)部對外界發(fā)起的連接，一般情況下，表明系統(tǒng)已被侵害了，入侵者正在利用它進行一些活動。這就使我們的分析活動相對簡單化了。第36頁，共67頁，2023年，2月20日，星期四要成功地建立一個欺騙網(wǎng)絡(luò)，需要解決兩個問題：信息控制及信息捕獲。信息控制代表了一種規(guī)則，你必須能夠確定你的信息包能夠發(fā)送到什么地方。其目的是，當(dāng)欺騙網(wǎng)絡(luò)里的蜜罐主機被入侵后，它不會被用來攻擊欺騙網(wǎng)絡(luò)以外的機器。信息捕獲則是要抓到入侵者群體的所有流量，從他們的擊鍵到他們發(fā)送的信息包。只有這樣，我們才能進一步分析他們使用的工具、策略及目的。第37頁，共67頁，2023年，2月20日，星期四

16.4.1信息控制如上面所講，信息控制是對入侵者的活動進行限制。在我們與入侵者進行智力上的較量時，總會冒一定的風(fēng)險，但必須盡可能地降低這些風(fēng)險。我們必須確保當(dāng)系統(tǒng)失陷時，蜜罐主機不會對欺騙網(wǎng)絡(luò)以外的系統(tǒng)產(chǎn)生任何危害。這里的最大挑戰(zhàn)在于，我們對信息流的控制不能讓入侵者引起懷疑。在入侵者突破系統(tǒng)之后，他們最需要的就是網(wǎng)絡(luò)連接，以便從網(wǎng)絡(luò)上下載他們的工具包、打開IRC連接等等，因而我們必須給他們做這些事情的權(quán)利——這正是我們所想要分析的東西。第38頁，共67頁，2023年，2月20日，星期四因此，千萬不要禁止任何往外發(fā)的包——入侵者對此往往是非常敏感的。所以我們需要做的是，允許他們做大部分的“合法”事情，但是對攻擊其它系統(tǒng)的“需求”，比如發(fā)起拒絕服務(wù)攻擊、對外部進行掃描以及利用程序攻擊他人的行為，則一概禁止。欺騙網(wǎng)絡(luò)應(yīng)當(dāng)能夠截獲進出網(wǎng)絡(luò)的所有連接，因此，我們在欺騙網(wǎng)絡(luò)前端放置一個防火墻，所有的信息包都必須通過防火墻。第39頁，共67頁，2023年，2月20日，星期四防火墻能夠?qū)W(wǎng)絡(luò)中所有蜜罐主機往外發(fā)的每一個連接進行跟蹤，當(dāng)某蜜罐主機外發(fā)信息的數(shù)量達(dá)到我們預(yù)先設(shè)定的上限時，防火墻便會阻塞那些信息包。在保證機器不被濫用的前提下，應(yīng)允許入侵者做盡可能多的他們想做的事。一般情況下，設(shè)定外發(fā)連接數(shù)為5～10是比較合適的，不會引起入侵者的懷疑。這樣做就避免了蜜罐主機成為入侵者的掃描、探測及攻擊他人的系統(tǒng)。第40頁，共67頁，2023年，2月20日，星期四另外，在防火墻與欺騙網(wǎng)絡(luò)之間還可放置一個路由器。之所以放置它，有下面兩個原因：

(1)路由器隱藏了防火墻。這種布局更像一個真實的網(wǎng)絡(luò)環(huán)境，沒人會注意到在路由器的外面還有一臺防火墻。

(2)路由器可以作為第二層訪問控制設(shè)備，是防火墻的一個很好補充，可以確保蜜罐主機不會被用來攻擊欺騙網(wǎng)絡(luò)之外的機器。防火墻與路由器的配合使用可以在技術(shù)上十分完善地對外出的信息包進行過濾，也可以最大程度地讓入侵者們做他們想做的事情而不致產(chǎn)生懷疑。第41頁，共67頁，2023年，2月20日，星期四

16.4.2信息捕獲數(shù)據(jù)捕獲能夠獲得所有入侵者的行動記錄，這些記錄最終將幫助我們分析他們所使用的工具、策略以及攻擊的目的。我們的目的是在入侵者不發(fā)現(xiàn)的情況下，捕獲盡可能多的數(shù)據(jù)信息。另外，捕獲到的數(shù)據(jù)不能放在蜜罐主機上，否則很可能會被入侵者發(fā)現(xiàn)，從而令其得知該系統(tǒng)是一個陷阱平臺。而這時，放置其上的數(shù)據(jù)可能會丟失或被銷毀，因此需要把數(shù)據(jù)放在遠(yuǎn)程安全的主機上。第42頁，共67頁，2023年，2月20日，星期四因而，不能僅僅依靠單一的方法，而應(yīng)采取多層的保護來使數(shù)據(jù)盡可能的完整和安全。信息捕獲技術(shù)可分為基于主機的信息捕獲技術(shù)和基于網(wǎng)絡(luò)的信息捕獲技術(shù)。

1．基于主機的信息捕獲信息捕獲工具可以分為兩類：(a)產(chǎn)生信息流的工具(例如攻擊者在蜜罐主機上的所有按鍵記錄)；(b)可以幫助管理員獲得系統(tǒng)信息或者蜜罐主機處于特定狀態(tài)的信息的工具(例如當(dāng)前CPU的使用率或者進程列表)。第43頁，共67頁，2023年，2月20日，星期四當(dāng)使用第一種工具時，最大的問題在于在什么地方存儲這些數(shù)據(jù)，特別是沒有采用虛擬環(huán)境時更加突出。一種可能是保存在蜜罐主機上，例如某個隱藏分區(qū)內(nèi)。缺點是這些數(shù)據(jù)沒法被管理員實時處理，除非實現(xiàn)某種查看機制，允許遠(yuǎn)程獲得這些被記錄的數(shù)據(jù)。另外一個問題在于有限的本地存儲空間，導(dǎo)致無法采用冗長的、詳盡的記錄方式。入侵者對此也是心知肚明，他會想盡辦法來操縱這個區(qū)域，不管是刪除或者修改，還是緩存溢出，最終都將導(dǎo)致記錄數(shù)據(jù)不可信。圖16-6是不同信息記錄方法的示意圖。第44頁，共67頁，2023年，2月20日，星期四因此有關(guān)入侵的數(shù)據(jù)最好保存在安全的遠(yuǎn)程(意味著入侵者無法訪問到)主機內(nèi)，這種方式的可信度相對要高些。當(dāng)然，如果入侵者知道記錄機制，那么入侵者就有可能偽造日志數(shù)據(jù)(或索性讓日志進程停止工作)，但是只要數(shù)據(jù)離開蜜罐主機，就無法刪除事件信息。第45頁，共67頁，2023年，2月20日，星期四圖16-6不同的信息記錄方法第46頁，共67頁，2023年，2月20日，星期四

1)Windows系統(tǒng)有人或許認(rèn)為由于Windows系統(tǒng)存在大量的攻擊方法，因此把它作為蜜罐主機是比較理想的，但事實上并非如此。Windows系統(tǒng)本身的系統(tǒng)結(jié)構(gòu)使得它作為數(shù)據(jù)捕獲設(shè)備相對很難(至少對基于主機的是這樣)。第47頁，共67頁，2023年，2月20日，星期四直到今天，Windows操作系統(tǒng)的源代碼仍未公開，因此要對操作系統(tǒng)進行修改是很難的事情，且任何日志功能的增加都是在用戶空間完成的，無法做到透明的實現(xiàn)，因此入侵者很容易發(fā)現(xiàn)蜜罐主機。把數(shù)據(jù)捕獲機制作為可裝載模塊或許是一種比較好的解決辦法。對于Windows系統(tǒng)的管理員來說，它能做的無非是記錄運行的進程列表，周期性地檢查事件日志和檢查系統(tǒng)文件的完整性(用MD-5算法[6])。第48頁，共67頁，2023年，2月20日，星期四

2)UNIX類系統(tǒng)

UNIX類操作系統(tǒng)可以為我們提供更多的數(shù)據(jù)捕獲機制。幾乎所有的系統(tǒng)部件都可以得到其源代碼，從而可以修改這些源代碼，把捕獲機制集成到這些部件當(dāng)中。但這也不是沒有任何問題的。這些經(jīng)過修改的源代碼被編譯后生成的可執(zhí)行程序雖然很難被檢查出來，但并不是沒有可能。對于高明的入侵者來說，還是能區(qū)分出來原版與補丁(Patched)后的版本之間的差異：第49頁，共67頁，2023年，2月20日，星期四●MD-5校驗和(MD-5Checksums)：如果入侵者擁有一個參考系統(tǒng)，那么他就可以拿它與蜜罐主機進行比較，從而發(fā)現(xiàn)其中的不同之處。例如入侵者可以對所有的標(biāo)準(zhǔn)系統(tǒng)文件計算其MD-5校驗和?！駧煲蕾囆詸z查(LibraryDependencyChecks)：即使入侵者不知道原始系統(tǒng)文件的確切結(jié)構(gòu)，它也可以使用UNIX的“l(fā)dd”命令來檢查一些奇異的共享庫依賴性。例如，如果UNIX二進制程序“grep”(用于文本搜索)依賴某一個函數(shù)來同syslog后臺服務(wù)程序通信，那么入侵者就會產(chǎn)生懷疑。一種可能的解決辦法是使用靜態(tài)鏈接庫。第50頁，共67頁，2023年，2月20日，星期四●進程捆綁(TrussingProcesses)：在UNIX操作系統(tǒng)中，超級用戶可以用“truss”或“strace”命令查看任何進程，特別是該進程所使用的系統(tǒng)調(diào)用。如果一個二進制程序，例如“grep”，突然開始同另外的進程(例如syslog后臺程序)進行通信，那么入侵者就會知道被攻擊的系統(tǒng)有問題。第51頁，共67頁，2023年，2月20日，星期四大多數(shù)的入侵者都會在被入侵的主機上安裝所謂的工具箱(Rootkits)。這些工具箱包含了預(yù)編譯好的系統(tǒng)程序，它們可以直接被拷貝到被入侵的主機上執(zhí)行。因此，你原來在蜜罐主機上所做的系統(tǒng)修改就可能失效。解決辦法之一就是對所有的系統(tǒng)程序進行補丁，這樣總有一些系統(tǒng)程序會被保留下來；另外一種辦法就是修改系統(tǒng)內(nèi)核，直接在內(nèi)核里集成數(shù)據(jù)捕獲能力。第52頁，共67頁，2023年，2月20日，星期四目前，很多的UNIX系統(tǒng)使用模塊化內(nèi)核，這樣用戶就可以在運行時向內(nèi)核增加新的功能。這或許會給入侵者提供機會，增加某些特殊的對抗措施到內(nèi)核當(dāng)中，例如隱藏所安裝的所有文件或進程。

2．基于網(wǎng)絡(luò)的信息捕獲基于主機的信息捕獲通常都位于蜜罐主機內(nèi)，因此也就更容易被檢測和失效，而基于網(wǎng)絡(luò)的信息捕獲則是不可見的，這些工具只是分析網(wǎng)絡(luò)流量，而不是修改它們。相應(yīng)地，其安全性就更高；被檢測到的概率也就更小。第53頁，共67頁，2023年，2月20日，星期四圖16-7欺騙網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)第54頁，共67頁，2023年，2月20日，星期四第一重數(shù)據(jù)捕獲是防火墻。我們可以對防火墻進行配置來控制防火墻捕獲我們想要的數(shù)據(jù)。例如防火墻可以記錄所有的進入及外出欺騙網(wǎng)絡(luò)的連接。我們不僅可以設(shè)定防火墻記錄下所有的連接企圖，而且還可以及時地發(fā)出警告信息。比如說，某人嘗試Telnet到欺騙網(wǎng)絡(luò)中的某臺主機上，防火墻就會記錄并且報警。這對跟蹤端口掃描非常有效。另外，它還可以記錄對后門及一些非常規(guī)端口的連接企圖。多數(shù)的漏洞利用程序都會建立一個Shell或者打開某個端口等待外來的連接，而防火墻可以輕易地判斷出對這些端口的連接企圖并且報警。第55頁，共67頁，2023年，2月20日，星期四同樣地，網(wǎng)絡(luò)內(nèi)部的蜜罐主機往外發(fā)起的連接，一樣會被記錄在案。當(dāng)然，這些警告多數(shù)說明了有人對你的系統(tǒng)感興趣，并且已經(jīng)侵入你的系統(tǒng)中。你可以通過一些如發(fā)送E-mail或者發(fā)送BP機短信等方法來對系統(tǒng)管理員進行告警提示。同樣，我們還可以在防火墻上執(zhí)行某些統(tǒng)計處理。第56頁，共67頁，2023年，2月20日，星期四第二重數(shù)據(jù)捕獲是入侵檢測系統(tǒng)。它有兩個作用，首先也是最重要的就是它可以捕獲系統(tǒng)中的所有舉動；其次就是對網(wǎng)絡(luò)中的信息流量進行監(jiān)控、分析和記錄。注意欺騙網(wǎng)絡(luò)的拓?fù)鋱D，其中的IDS在網(wǎng)絡(luò)中的放置方式可以確保所有的主機都能監(jiān)控到。IDS的第一個作用是能夠抓出所有入侵者在網(wǎng)上的舉動并記錄下來。另外，它還能在發(fā)現(xiàn)一些可疑舉動的時候發(fā)出警報。多數(shù)的IDS都有一個入侵特征庫，當(dāng)網(wǎng)絡(luò)傳輸?shù)男畔械奶卣髯执c該庫中某一特定項目符合的時候，它就會發(fā)出告警的消息。第57頁，共67頁，2023年，2月20日，星期四

3．主動信息捕獲蜜罐主機的信息捕獲大多是被動的，所收集的信息來自網(wǎng)絡(luò)信息流或者機器本身的比特和字節(jié)，但信息捕獲也可以是主動的。通過查詢特定服務(wù)或者機器，有可能獲得有關(guān)一個人，一個IP地址或者一次攻擊的更多信息。不過這種信息查詢嘗試也有可能引起入侵者的注意。常見的、可利用的服務(wù)有：whois、網(wǎng)絡(luò)通信指紋、端口掃描和finger和其中的某些方法可能被入侵者檢測到，所要冒的風(fēng)險相對較大。第58頁，共67頁，2023年，2月20日，星期四

16.4.3欺騙網(wǎng)絡(luò)維護及其風(fēng)險欺騙網(wǎng)絡(luò)并不是一個裝好后就可以忘卻的解決方案，它需要持續(xù)的維護及關(guān)注，才能發(fā)揮最大的作用——這樣才能在第一時間發(fā)現(xiàn)并對一些安全事件作出及時的反應(yīng)。通過實時地觀察入侵者的舉動，可以提升數(shù)據(jù)捕獲及分析的能力。同樣地，為了捕獲到新的、有價值的數(shù)據(jù)，可能需要經(jīng)常對可疑的網(wǎng)絡(luò)事件進行深度分析。這需要很長的時間及熟練的分析能力。舉例說，一個入侵者在你的欺騙網(wǎng)絡(luò)上花了30分鐘進行攻擊，但你卻必須花費30～40小時來分析它。第59頁，共67頁，2023年，2月20日，星期四同樣，你還必須維持這個欺騙網(wǎng)絡(luò)的正常運行，任何的誤操作都可能導(dǎo)致一些致命的錯誤，可能會令欺騙網(wǎng)絡(luò)無法正確運行。比如說，“報警”進程丟掉了，磁盤空間滿了，IDS的特征字串不夠新，系統(tǒng)配置文件可能出現(xiàn)損壞，日志文件需要查看，需要對防火墻進行補丁升級工作等等。這里說的只是整個欺騙網(wǎng)絡(luò)的一部分，還有很多工作需要做。第60頁，共67頁，2023年，2月20日，星期四在真正實現(xiàn)欺騙網(wǎng)絡(luò)的時候，還可能有一些比較棘手的問題，比如，為了讓入侵者群體能夠入侵，就得把機器接入網(wǎng)絡(luò)，這時我們就暴露于互聯(lián)網(wǎng)上了。最終，入侵者們會成為你機器上的root，此時，你必須確保自己的機器及帶寬不會成為進攻他人的工具，而且，很重要的是，當(dāng)我們使用這一工具的時候，總有可能犯下各種錯誤——最終導(dǎo)致的結(jié)果將是很嚴(yán)重的，所以必須用多種方法來降低風(fēng)險。第61頁，共67頁，2023年，2月20日，星期四入侵者們很有可能通過各種方式手段