下载文档原格式
蜜罐技术详解与案例分析蜜罐技术是一种用于检测和诱捕黑客攻击的安全防御工具。
它通过模拟漏洞和易受攻击的目标来吸引攻击者,并记录他们的行为。
本文将详细介绍蜜罐技术的原理、分类以及几个成功的案例分析。
一、蜜罐技术的原理蜜罐技术的核心原理是通过创建一个看似真实的系统或网络,来吸引和诱捕黑客攻击。
蜜罐可以是一个虚拟机、一个虚拟网络或一个物理设备,在这个系统中,存在着一些看似易受攻击的漏洞或是敏感信息。
当攻击者企图入侵或攻击这些漏洞时,蜜罐会记录下他们的攻击行为和手段,并提供有关攻击者的详细信息。
二、蜜罐技术的分类蜜罐可以分为以下几种不同类型:1. 高交互蜜罐:这种蜜罐模拟了一个完整的系统,攻击者可以与之进行实时互动,这包括使用真实的漏洞和服务。
高交互蜜罐提供了最真实的攻击场景,并能够获取最多的攻击者信息,但它也存在一定的风险和安全隐患。
2. 低交互蜜罐:这种蜜罐只模拟了一部分的系统服务或功能,它减少了与攻击者的互动,因此相对较安全。
低交互蜜罐可以快速部署和更新,但信息收集相对较少。
3. 客户端蜜罐:这种类型的蜜罐主要用于追踪和识别客户端攻击,例如恶意软件的传播、垃圾邮件的发送等。
客户端蜜罐可以帮助安全团队及时发现客户端攻击行为,并采取相应的措施。
4. 网络蜜罐:这种蜜罐放置在网络中,用于监测网络攻击和入侵。
它可以模拟各种网络服务和协议,以吸引攻击者对网络进行攻击。
5. 物理蜜罐:这种类型的蜜罐是一台真实的物理设备,通常用于保护企业的关键系统和数据。
物理蜜罐可以监测并记录与其交互的攻击者的行为,从而提高企业的安全性。
三、蜜罐技术的案例分析以下是几个成功的蜜罐技术案例分析:1. Honeynet计划Honeynet计划是一个非营利性的组织,致力于通过蜜罐技术、漏洞研究和威胁情报分享来提高网络安全。
他们搭建了一系列全球分布的蜜罐网络,成功地识别了许多高级攻击行为,并提供了有关黑客活动的详细报告。
2. CanSecWest PWN2OWN比赛PWN2OWN是一项安全比赛活动,鼓励研究人员发现和报告操作系统和网络浏览器的安全漏洞。
云蜜罐案例:Honeypot作为蜜罐引诱黑客攻击背景云蜜罐是一种安全工具,用于诱捕黑客入侵,收集攻击信息,分析攻击行为,并保护真实系统的安全。
它可以模拟真实系统的弱点,吸引黑客攻击,从而捕获攻击者的行为和技术。
蜜罐可以分为高交互蜜罐和低交互蜜罐。
高交互蜜罐是一个完整的仿真系统,提供完整的操作系统和应用程序服务。
低交互蜜罐则只提供有限的服务和功能,更多地用于收集攻击信息。
云蜜罐的优势在于可以在云平台上部署,通过云服务商提供的强大计算和存储能力,能够处理大量的攻击流量,并分析和提取有价值的信息。
案例:云蜜罐诱捕Web应用程序攻击背景某电商公司拥有一个大型的Web应用程序,用于处理用户的购物请求和交易。
随着公司的发展,对Web应用程序的安全性越来越关注。
为了提高安全性,他们决定在云平台上部署一个云蜜罐,诱捕黑客攻击,收集攻击信息,并改进Web应用程序的防御措施。
过程1.部署云蜜罐:电商公司选择了一家云服务商,部署了一个高交互蜜罐作为Web应用程序的“假象”。
他们在云平台上创建了一个虚拟机实例,安装了操作系统和Web服务器,并配置了一些常见的Web漏洞和弱点。
2.监控攻击流量:云蜜罐开始模拟真实Web应用程序的运行,并开启监听模式,监控所有进入蜜罐的网络流量。
同时,他们使用网络安全设备(如防火墙、入侵检测系统)对蜜罐进行了保护,以防止攻击流量对真实系统造成影响。
3.吸引黑客攻击:为了吸引黑客攻击,电商公司在互联网上发布了一些看似有价值的信息,如数据库备份文件、管理员账号等。
这些信息被黑客发现后,他们将尝试利用这些信息来攻击系统。
4.分析攻击行为:当黑客攻击云蜜罐时,蜜罐会记录攻击的详细信息,包括攻击的来源IP、攻击的目标URL、使用的攻击工具和技术等。
这些信息被发送到日志服务器进行分析。
5.改进Web应用程序的防御:通过分析攻击行为和使用的攻击技术,电商公司可以了解到自己的Web应用程序存在哪些漏洞和弱点,并及时采取措施进行修复和加固,提高Web应用程序的安全性。
默安蜜罐参数默安蜜罐(Mocking Honey Pot)是一种用于网络安全防御的工具,它模拟了真实的系统和服务,并吸引了黑客攻击以便收集攻击者的信息。
在这篇文章中,我们将介绍默安蜜罐的参数设置,以帮助读者更好地了解如何配置和利用这一工具。
首先,默安蜜罐的IP地址是设置蜜罐运行的网络地址,可以是真实的IP地址也可以是虚拟的。
这个地址将成为攻击者与蜜罐进行交互的入口。
在选择IP地址时,需要确保与真实系统的地址不冲突,以免对真实网络产生干扰。
其次,默安蜜罐的端口设置是指选择哪些端口用于模拟真实服务。
可以选择常见的端口,如HTTP的80端口、FTP的21端口等,也可以选择一些不太常见的端口,以吸引更多类型的攻击。
端口设置的选择应该基于实际需求,并考虑到与真实系统的区别。
另外,默安蜜罐的日志设置是非常重要的。
通过对攻击流量的监测和记录,可以分析攻击者的行为并及时采取相应的防御措施。
日志设置应该包括攻击者的IP地址、攻击的时间和类型、攻击的目标等信息。
同时,为了防止日志文件过大,应该定期清理和备份。
此外,默安蜜罐的蜜罐服务设置是指选择哪些服务用于吸引攻击者。
这些服务可以包括Web服务器、邮件服务器、数据库服务器等。
通过模拟这些服务的运行,可以吸引更多类型的攻击,从而收集更多有关攻击者的信息。
最后,默安蜜罐的蜜罐系统设置是指选择合适的操作系统和版本。
这些设置应该与真实系统相似,以便更好地模拟和欺骗攻击者。
同时,需要定期更新和维护蜜罐系统,以防止已知的漏洞和攻击。
综上所述,默安蜜罐的参数设置对于有效地使用和利用这一工具至关重要。
合理的IP地址、端口设置、日志设置、蜜罐服务设置以及蜜罐系统设置可以增加攻击者的误导和迷惑,提高网络的安全性。
在配置和使用默安蜜罐时,我们应该遵循正确的设置原则,并不断学习和更新,以应对不断变化的网络威胁。
实验23 “蜜罐”配置实验1.实验目的通过安装和配置“蜜罐”,了解“蜜罐”的原理,及其配置使用方法。
2.实验原理2.1 “蜜罐”技术的起源入侵检测系统能够对网络和系统的活动情况进行监视,及时发现并报告异常现象。
但是,入侵检测系统在使用中存在着难以检测新类型黑客攻击方法,可能漏报和误报的问题。
蜜罐使这些问题有望得到进一步的解决,通过观察和记录黑客在蜜罐上的活动,人们可以了解黑客的动向、黑客使用的攻击方法等有用信息。
如果将蜜罐采集的信息与IDS 采集的信息联系起来,则有可能减少IDS 的漏报和误报,并能用于进一步改进IDS 的设计,增强IDS 的检测能力。
“蜜罐”的思想最早是由Clifford Stoll 于1988 年5 月提出。
该作者在跟踪黑客的过程中,利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵,这就是蜜罐的基本构想,但他并没有提供一个专门让黑客攻击的系统。
蜜罐正式出现是Bill Cheswick 提到采用服务仿真和漏洞仿真技术来吸引黑客。
服务仿真技术是蜜罐作为应用层程序打开一些常用服务端口监听,仿效实际服务器软件的行为响应黑客请求。
例如,提示访问者输入用户名和口令,从而吸引黑客进行登录尝试。
所谓漏洞仿真是指返回黑客的响应信息会使黑客认为该服务器上存在某种漏洞,从而引诱黑客继续攻击。
2.2 蜜罐技术的优点Honeypot是一个相对新的安全技术,其价值就在被检测、攻击,以致攻击者的行为能够被发现、分析和研究。
它的概念很简单:Honeypot没有任何产品性目的,没有授权任何人对它访问,所以任何对Honeypot的访问都有可能是检测、扫描甚至是攻击。
Honeypot的检测价值在于它的工作方式。
正如前文所提到的,由于Honeypot没有任何产品性功能,没有任何授权的合法访问,所以在任何时间来自任何地方对Honeypot的任何访问都有可能是非法的可疑行为。
Honeypot 的工作方式同NIDS 等其他的传统检测技术正好相反,NIDS不能解决的问题,Honeypot却能轻易解决。
中国信通院FT-S04-006-1《蜜罐类产品检测方法》2021年初,为推动先进网络安全技术实践与创新,更好满足基础电信和互联网、金融、能源等行业用户实际业务需求,在网络安全能力建设过程中提供产品选型依据,中国信息通信研究院邀请国内优秀威胁诱捕(蜜罐)类产品供应商从多个维度参与技术能力评测。
微步在线HFish 各方面能力表现优秀,成功通过FT-S04-006-01《蜜罐类产品检验方法》的检验,具备服务伪装、欺骗防御、风险分析和展示等基本能力,获得蜜罐类产品能力检验证书。
作为微步在线旗下一款免费威胁诱捕与诱骗系统,HFish 承载了全新的架构理念和实现方案,通过安全可靠的中低交互蜜罐增加了企业在失陷感知和威胁情报领域的能力。
上线一年时间内,HFish 就在Github 上获得了 2.6K 个star,在Gitee 上成为安全类目TOP5 的GVP 项目。
对于企业用户更关心的用户场景上,HFish 侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个方面出发,能够为用户提供更高的可用性与可拓展性。
具体而言包括以下四大典型场景:HFish典型场景1:办公网内部失陷主机横向移动感知HFish 可针对日常工作场景下的真实攻击进行反制,固化证据,建立攻击者档案,保留进一步诉至法律的权利。
而在攻防演练场景中,HFish 也可对红队队员反制,精准监控红队动向和手段。
简而言之,通过HFish 进行溯源反制,可辅助防守方转守为攻,彻底改变攻防态势。
HFish典型场景4:内部人员风险对于重研发、重数据资产的企业,信息风险往往不只来源于外部,内部人员的商业间谍行为,同样非常危险。
该场景下,HFish 可布置内网蜜罐,精准感知内部人员账号暴力破解的违规行为,通过在内网文档服务器放置蜜饵文档,也可感知内部用户违规数据下载、访问及爬取行为,而通过精心配置VPN 与邮件服务器蜜罐,则能有效感知已失陷账号密码情况。
目前,HFish 深度支持多场景下的威胁捕捉,支持自定义企业私有蜜罐,具有安全可信、一键部署、跨平台跨架构支持、企业微信/钉钉/飞书通知等多项优势特性,可以有效帮助企业降低运维成本,提升运营效率。
蜜罐技术简介1.蜜罐的概念蜜罐(Honeypot)首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990)里,蜜网项目组给出的定义是:没有业务上的用途,因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷,主要用以监视、检测和分析攻击。
它用真实的或虚拟的系统模拟一个或多个易受攻击的主机,给入侵者提供一个容易攻击的目标,从而发现攻击者采用的手段。
2.蜜罐的价值⏹捕获、发现新的攻击手段及战术方法;⏹目的性强,捕获的数据价值高;⏹误报率、漏报率小;⏹建立安全事件行为特征库;⏹相对入侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。
3.蜜罐的核心技术蜜罐的核心技术一般包括数据捕获技术,数据控制技术以及数据分析技术,其中数据捕获和数据分析技术与网络分析技术类似。
数据捕获技术:数据捕获就是在入侵者无察觉的情况下,完整地记录所有进入蜜罐系统的连接行为及其活动。
捕获到的数据日志是数据分析的主要来源,通过对捕获到的日志的分析,发现入侵者的攻击方法、攻击目的、攻击技术和所使用的攻击工具。
一般来说收集蜜罐系统日志有两种方式:基于主机的信息收集方式和基于网络的信息收集方式。
数据分析技术:数据分析就是把蜜罐系统所捕获到的数据记录进行分析处理,提取入侵规则。
从中分析是否有新的入侵特征。
数据分析包括网络协议分析、网络行为分析和攻击特征分析等。
对入侵数据的分析主要是找出所收集的数据哪些具有攻击行为特征,哪些是正常数据流。
分析的主要目的有两个:一个是分析攻击者在蜜罐系统中的活动、扫描击键行为、非法访问系统所使用工具、攻击目的何在以及提取攻击特征;另一个是对攻击者的行为建立数据统计模型,看其是否具有攻击特征,若有则发出预警,保护其它正常网络,避免受到相同攻击。
4.常用的蜜罐系统4.1Honeyd一款优秀的虚拟蜜罐系统,提供强大易用的功能。
⏹可以模拟任意TCP/UDP网络服务,如IIS, Telnet, pop3…;⏹支持同时模拟多个IP地址主机;⏹最多同时支持65535个IP地址;⏹支持ICMP,对ping和traceroute做出响应;⏹通过代理和重定向支持对实际主机、网络服务的整合;⏹提供UI用户界面;⏹Honeyd与NIDS结合使用,能捕获更多更全面的攻击信息通过部署Honeyd可以对黑客攻击进行捕获和分析,达到以下效果:⏹了解黑客在干什么⏹了解黑客的攻击方法⏹捕获他们的键击记录⏹捕获他们的攻击工具⏹监控他们的会话4.2DTKDTK(DeceptionToolkit) 由FredChoen用Perl语言编写的一组源代码公开的脚本程序,采用服务仿真技术,是最早出现的一种欺骗系统,它可以在几分钟内部署一系列的陷阱,以显著提高攻击代价,同时降低防御成本,欺骗自动攻击程序,使其无效。
1.引言随着人类社会生活对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,很多组织和企业都建立了自己的内部网络并将之与Internet联通。
上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。
据美国商业杂志《信息周刊》公布的一项调查报告称,黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失,在全球范围内每数秒钟就发生一起网络攻击事件。
2003年夏天,对于运行着Microsoft Windows的成千上万台主机来说简直就是场噩梦!也给广大网民留下了悲伤的回忆,这一些都归结于冲击波蠕虫的全世界范围的传播。
2.蜜罐技术的发展背景网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。
网络安全防护涉及面很广,从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。
在这些安全技术中,大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。
而蜜罐技术可以采取主动的方式。
顾名思义,就是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。
(在这里,可能要声明一下,刚才也说了,“用特有的特征去吸引攻击者”,也许有人会认为你去吸引攻击者,这是不是一种自找麻烦呢,但是,我想,如果攻击者不对你进行攻击的话,你又怎么能吸引他呢?换一种说话,也许就叫诱敌深入了)。
3. 蜜罐的概念在这里,我们首先就提出蜜罐的概念。
美国 L.Spizner是一个著名的蜜罐技术专家。
他曾对蜜罐做了这样的一个定义:蜜罐是一种资源,它的价值是被攻击或攻陷。
这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。
基于蜜罐网络的邮件捕获系统摘要:关键词1 介绍网络钓鱼是伴随着网络技术的发展而产生的,根据中国反网络钓鱼联盟的2011年4月报告,4月份联盟处理钓鱼网站数量达2635,2 相关工作2.1 蜜罐系统蜜罐系统就是一种用于捕捉探测,攻击和漏洞扫描行为的安全工具,其本身是一个包含漏洞的系统,其工作的条件在于认定每一个试图主动与其连接的行为都是可疑的,甚至是恶意的。
蜜罐技术的创始人Lance Spitzner对蜜罐进行了如下定义:蜜罐是一种资源,其价值在于被攻击。
传统的安全工具入侵检测同样也可以通过分析数据来侦测入侵行为,但蜜罐可以捕获到实质的数据,并对数据进行分析。
基于蜜罐系统与攻击者之间的信息资源的交互程度,可以将蜜罐分为高交互式与低交互式两种。
高交互式的蜜罐系统中,攻击者会与真实的操作系统,服务和程序进行通信。
当此类蜜罐被攻击者攻击后,就会获得攻击者的行为特征,攻击所使用的工具信息等资源。
配置高交互式的蜜罐时,其安全性要格外注意,因为如果被攻击者发现的话,就可能借此系统来攻击其他的网络。
此类蜜罐主要作用如下:学习攻击者的攻击行为,了解攻击工具的具体使用和攻击所利用的系统漏洞。
低交互式的蜜罐系统只能提供一些简单的服务,系统中安装的工具都只是用于模拟操作系统与服务的,所以当攻击者与蜜罐进行实质性通信时会断开连接,所以相对来说其安全性更高,但捕获的信息有限。
此类蜜罐主要作用如下:识别端口扫描,攻击特征提取,攻击趋势分析与恶意程序收集。
本文将使用低交互式的蜜罐系统来模拟smtp服务来获取邮件。
2.2 垃圾邮件所使用漏洞在大多数国家里,制造、传播垃圾邮件的行为都是不合法的,所以很多垃圾邮件制造商都会想着隐藏自己的行为。
图一给出了垃圾邮件制造商隐藏自己踪迹的常用方法。
中继转发Smtp协议就是简单邮件传输协议,与25端口和tcp协议联系在一起,主要用于可靠的并有效的进行邮件传输。
在smtp协议中具有中继转发服务,即通过别人的邮件服务器将邮件递送到目的地址,一般来说,中继转发服务针对的对象都是有选择的并通过认证了的用户。
然而一些具有安全漏洞的smtp服务器都会无限制的开放中继转发服务,这种服务器就有可能被垃圾邮件制造商发现并进行滥用。
开放代理代理服务器是介于客户端与服务器之间的另一台服务器,其用于获取某种特定的服务,允许多于一台的主机共用一个IP地址连接互联网,代理就像是一个中间人,与其他客户端进行连接。
而一个有安全漏洞的代理服务器允许任意一个IP地址连接任意一个IP地址或端口,这种代理服务器称之为开放代理。
垃圾邮件制造商会持续的扫描开放的代理,一旦定位了就会使这些代理服务器与垃圾邮件服务器连接,然后使用代理与其他正常的邮件服务器连接,通过发送特定的smtp指令就可以发送垃圾邮件了。
3 蜜罐系统Honeyd是一款强大的开源虚拟蜜罐软件,属于一种低交互式的蜜罐系统,可运行在UNIX和windows系统中。
可以在虚拟的网络环境中模拟多个地址,虚拟蜜罐主机可以根据具体的配置文件模拟多种网络服务,外部的主机可以对虚拟蜜罐主机进行常规的ping、tracert 等操作,回应数据包时,honeyd的个性化引擎使回应包与被配置的操作系统特征相适应,同样honeyd也可以为真实的主机提供代理。
3.1 honeyd体系结构Honeyd软件结构由配置数据库,中央包分配器,协议处理器,个性化引擎和自选路由组件组成。
具体架构如图二所示:图二系统接收到的数据会由中央包分发器处理,中央包分发器首先会检查IP长度和校验和。
然后根据配置数据库的数据查找到符合目标位置的蜜罐主机配置。
确定具体的配置后,数据包就会交付给协议处理器进行相应处理。
由于不同的主机处理方式也各不相同,这就导致了发送的数据也就具有的不同的特点,由于攻击者会通过一些扫描工具来利用这些特点收集系统的信息,对于honeyd来说,最为重要的就是在扫描时自己的蜜罐身份不能被暴露出来,所以个性引擎组件的工作内容就是模拟不同系统的不同特征。
具体来说,honeyd利用Nmap的指纹库来作为TCP和UDP连接的个性化参考,利用Xprobe指纹库来作为ICMP连接的个性化参考。
3.2利用honeyd构建虚拟网络:对于在整个系统运行前,honeyd需要正确的配置,honeyd通过使用一个基于文本的配置文件,指定虚拟蜜罐的IP地址,每一个蜜罐主机可用的服务等。
具体的几类指令有:create,set,add,bind,delete。
其中create用于创建每一个主机所要使用的模板;set和add用于改变模板的设置,set命令从Nmap指纹文件中选取一个特征赋给一个模板,例如指令set linux personality “linux 2.6.6”,即设定一个模板名为linux的模拟运行linux 2.6.6版本操作系统,而add命令是模板应用的核心,其指定可远程访问的服务以及每一个端口上运行的应用程序,命令格式,如指令add linux proto tcp port 25 “./script/spam.py”,即当一个远程主机与带有linux模板主机的25端口建立tcp连接时,honeyd启动一个新的进程执行服务脚本./script/spam.py;bind命令就是给一个IP地址分配模板,例如bind windows ;而delete 可以用来重新配置运行中的蜜罐。
在本文中honeyd主要用于模拟两种服务:具有开放中继转发漏洞的邮件服务器和具有开放代理漏洞的代理服务器。
图三给出了系统的具体架构。
3.3 核心模板分析其中两个模板是整个系统的核心---SMTP模拟器和开放代理模拟器。
对于SMTP模拟器,honeyd接受来自25端口、TCP协议的数据包,并且以一个SMTP 服务的角色进行回应,每接受一份信息,其表现的都像一个开放中继转发的邮件服务器进行转发,其实际上信息不会被发送出去而是存储在当地服务器里面。
下面给出了SMTP模拟器的局部配置。
if command in ["HELO", "EHLO"]:whom = data[5:].strip()self.hello = whomself.push("250 Hello %s, pleased to meet you.\r\n" % whom)elif command == 'MAIL':whom = data[10:].strip()self.mailfrom = whomself.push("250 %s... Sender ok\r\n" % whom)elif command == 'RCPT':whom = data[8:].strip()self.rcptto.append(whom)self.push("250 %s... Recipient ok\r\n" % whom)elif command == "DA TA":self.set_terminator('\r\n.\r\n')self.found_terminator = self.data_found_terminatorself.push('354 Enter mail, end with "." on a line by itself\r\n')elif command == "QUIT":self.push("221 %s closing connection\r\n" % self.host)self.close_when_done()elif command == "RSET":self.reset()self.push('250 Reset state\r\n')else:self.push("500 Command unrecognized\r\n")对于开放代理模拟器,具体分为两种:Http代理模拟器和SOCKS代理模拟器。
Http代理模拟器其正常接收多个TCP端口的数据并提供代理服务,当垃圾邮件商连接该模块时,垃圾邮件商就会要求代理服务器连接到受害者的邮件服务器上,代理服务器收到该请求后,不会直接响应该请求,其会连接到自己的邮件服务器上,并发送给垃圾邮件商一个回应包,使之以为连接成功了。
垃圾邮件商就会认为其已经成功连接到了目标SMTP服务器,从而发送垃圾邮件。
SOCKS代理模拟器其接受多个TCP端口的数据并提供SOCKS代理服务,该模拟行为表现的想一个不需要认证的代理,允许来自任意IP地址的连接。
在成功连接到该模拟器后,垃圾邮件商就要求连接到外部的一个TCP端口和地址。
如果要求连接的tcp端口号不是25的话,就回应一个错误信息;如果tcp端口号为25端口的话,随后的行为与Http代理模拟器类似。
4 部署中存在的问题及解决方案4.1 honeyd接收数据的方式对于honeyd来说,为了将配置的虚拟主机的网络数据直接进去honeyd,一般可以使用两种方法:(1)将虚拟主机的路由入口设置为指向honeyd,那么路由器转发到虚拟蜜罐的数据就可以直接流入honeyd主机了。
(2)一般路由器接收到发往虚拟主机的数据包后,会使用ARP指令来寻找虚拟主机的位置,由于虚拟主机不会发出响应,这样ARP指令不会得到应答,所以honeyd主机可通过配置将自己的MAC地址去响应所有自己配置的虚拟主机IP的ARP指令,这种方法称之为代理ARP。
4.2 honeyd部署位置的选取一般来说,honeyd配置的位置有两种--防火墙外和防火墙内,这两种配置各有优缺点。
当配置在防火墙内时,蜜罐可以很处于安全的位置不易受到攻击,同样也可以检测来自内部网络的攻击,但作为蜜罐的特殊性,其价值在于获取攻击资源,而在内部网络中很多来自外部的攻击都会被防火墙所屏蔽,这样就很难做到收取到足够的资源;相反,将蜜罐部署在防火墙外部,就可以接收到来自外部的数据,但却很难接受到内部的数据,而且由于防火墙也有可能防御来自蜜罐的数据,所以蜜罐只能由其自身记录数据,综上所述,最为合适的位置应该部署在防火墙的DMZ内。
部署在DMZ内的难度很大,一旦蜜罐被攻陷了,攻击者会使用蜜罐作为跳板来攻击其他的服务,因为要使其他服务与蜜罐安全的隔离,所以也增加了DMZ部署的负担。
4.3 蜜罐系统对系统的影响由于蜜罐的特殊性,其难免会与系统造成一定的影响,所以蜜罐部署工作还有一个重点就是降低对系统的影响。
