蜜罐技术的探讨

  • 格式:doc
  • 大小:34.50 KB
  • 文档页数:5

蜜罐技术的探讨蜜罐技术的发展背景网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。

网络安全防护涉及面很广,从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。

在这些安全技术中,大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。

而蜜罐技术可以采取主动的方式。

顾名思义,就是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。

蜜罐的定义“蜜网项目组”(The Honeynet Project)的创始人Lance Spitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。

这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。

而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。

这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。

蜜罐不会直接提高计算机网络安全,但是它却是其他安全策略所不可替代的一种主动防御技术。

具体的来讲,蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录,可以网络安全专家通过精心的伪装,使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下。

为了吸引攻击者,通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假的信息。

另外一些蜜罐系统对攻击者的聊天内容进行记录,管理员通过研究和分析这些记录,可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息,还能对攻击者的活动范围以及下一个攻击目标进行了解。

同时在某种程度上,这些信息将会成为对攻击者进行起诉的证据。

不过,它仅仅是一个对其他系统和应用的仿真,可以创建一个监禁环境将攻击者困在其中,还可以是一个标准的产品系统。

无论使用者如何建立和使用蜜罐,只有它受到攻击,它的作用才能发挥出来。

蜜罐技术的发展历程蜜罐技术的发展历程分为以下三个阶段。

从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。

这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。

从1998 年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,如Fred Cohen 所开发的DTK(欺骗工具包)、Niels Provos 开发的Honeyd 等,同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。

这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。

虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。

但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题,从2000 年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。

蜜罐的分类蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类。

产品型蜜罐的目的在于为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。

一般产品型蜜罐较容易部署,而且不需要管理员投入大量的工作。

较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTraq 等一系列的商业产品。

研究型蜜罐则是专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,对黑客攻击进行追踪和分析,能够捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。

研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作,具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术。

蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐,交互度反应了黑客在蜜罐上进行攻击活动的自由度。

低交互蜜罐一般仅仅模拟操作系统和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动较为有限,因此通过低交互蜜罐能够收集的信息也比较有限,同时由于低交互蜜罐通常是模拟的虚拟蜜罐,或多或少存在着一些容易被黑客所识别的指纹(Fingerprinting)信息。

产品型蜜罐一般属于低交互蜜罐。

高交互蜜罐则完全提供真实的操作系统和网络服务,没有任何的模拟,从黑客角度上看,高交互蜜罐完全是其垂涎已久的“活靶子”,因此在高交互蜜罐中,我们能够获得许多黑客攻击的信息。

高交互蜜罐在提升黑客活动自由度的同时,自然地加大了部署和维护的复杂度及风险的扩大。

研究型蜜罐一般都属于高交互蜜罐,也有部分蜜罐产品,如ManTrap,属于高交互蜜罐。

蜜罐的配置模式①诱骗服务(deception service)诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络请求进行应答的应用程序。

DTK就是这样的一个服务性产品。

DTK吸引攻击者的诡计就是可执行性,但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统进行的,所以可以产生的应答非常有限。

在这个过程中对所有的行为进行记录,同时提供较为合理的应答,并给闯入系统的攻击者带来系统并不安全的错觉。

例如,当我们将诱骗服务配置为FTP服务的模式。

当攻击者连接到TCP/21端口的时候,就会收到一个由蜜罐发出的FTP的标识。

如果攻击者认为诱骗服务就是他要攻击的FTP,他就会采用攻击FTP服务的方式进入系统。

这样,系统管理员便可以记录攻击的细节。

②弱化系统(weakened system)只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。

这样的特点是攻击者更加容易进入系统,系统可以收集有效的攻击数据。

因为黑客可能会设陷阱,以获取计算机的日志和审查功能,需要运行其他额外记录系统,实现对日志记录的异地存储和备份。

它的缺点是“高维护低收益”。

因为,获取已知的攻击行为是毫无意义的。

③强化系统(hardened system)强化系统同弱化系统一样,提供一个真实的环境。

不过此时的系统已经武装成看似足够安全的。

当攻击者闯入时,蜜罐就开始收集信息,它能在最短的时间内收集最多有效数据。

用这种蜜罐需要系统管理员具有更高的专业技术。

如果攻击者具有更高的技术,那么,他很可能取代管理员对系统的控制,从而对其它系统进行攻击。

④用户模式服务器(user mode server)用户模式服务器实际上是一个用户进程,它运行在主机上,并且模拟成一个真实的服务器。

在真实主机中,每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定实例。

而用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中,当INTERNET 用户向用户模式服务器的IP地址发送请求,主机将接受请求并且转发到用户模式服务器上。

(我们用这样一个图形来表示一下他们之间的关系):这种模式的成功与否取决于攻击者的进入程度和受骗程度。

它的优点体现在系统管理员对用户主机有绝对的控制权。

即使蜜罐被攻陷,由于用户模式服务器是一个用户进程,那么Administrator只要关闭该进程就可以了。

另外就是可以将FIREWALL,IDS集中于同一台服务器上。

当然,其局限性是不适用于所有的操作系统。

典型应用作为一种全新的网络安全防护技术,蜜罐可以多种不同的形式应用于网络安全的研究和实践中.1.网络欺骗为了使Honeypot更具有吸引力,通常会采用各种欺骗手段.在欺骗主机上模拟一些操作系统或者各种漏洞,在一台计算机上模拟整个网络,在系统中产生仿真网络流量、装上虚假的文件路径及看起来像真正有价值的相关信息等等. 通过这些办法,使Honeypot主机更像一个真实的工作系统,诱使攻击者上当,主要方法有:(1)IP空间欺骗. IP空间欺骗技术利用计算机的多宿主能力,在一块网卡上分配多个IP 地址或一段IP地址,来增加黑客的搜索空间,显著增加他们的工作量,并且增大他们掉进蜜罐的几率,从而起到诱骗效果.(2)网络流量仿真.产生仿真流量的目的是掩盖蜜罐没有网络流量的马脚,使攻击者不能通过流量分析觉察到诱骗行为.在诱骗系统中产生仿真流量有两种方法:一种方法是采用实时方式或重现方式复制真正的网络流量,这使得欺骗系统与真实系统十分相似. 第二种方法是从远程产生伪造流量,使入侵者可以发现和利用.(3)网络动态配置. 真实网络系统其系统状态通常是随时间而改变的,是动态的. 机警的黑客可能会对系统的状态进行比较长期性的观察,如果蜜罐的系统状态总是一成不变,入侵者长期监视的情况下就会露出破绽,导致诱骗无效. 因此,需要系统动态配置来模拟正常的系统行为,使蜜罐也像真实网络系统那样随时间而改变. 动态配置的系统状态应该能反映出真实系统的特性.(4)模拟系统漏洞.网络和计算机操作系统及各种应用软件存在着大量已知和未知的安全漏洞,网络攻击往往是在黑客们发现系统存在可以利用的漏洞之后,不存在安全漏洞的网络系统黑客们也将无从下手,系统漏洞是对黑客的最好诱饵.在蜜罐中尤其是在同入侵者进行直接交互的目标系统上留下各种安全漏洞是最有效、最直接、最简单的攻击诱骗手段.(5)组织信息欺骗.若某个机构提供有关个人和系统信息的访问,那么诱骗系统也必须以某种方式反映出这些信息. 例如,如果该机构的DNS服务器包含了系统拥有者及其位置的详细信息,那么就需要在诱骗系统的DNS列表中提供伪造的拥有者及其位置,否则诱骗很容易被发现.2.捕捉蠕虫病毒蠕虫是一种通过网络传播的恶性病毒,一般传播过程为扫描、感染、复制三个步骤.经过随机大面积扫描探测到存在漏洞的主机时,蠕虫主体就会迁移到目标主机,并在被感染的主机上进行一系列处理,实现对计算机监视、控制和破坏,然后不断重复这个过程在网络中蔓延. 可以利用蜜罐技术在以下两方面来对抗蠕虫病毒.(1)布置一定数量的虚拟蜜罐在未分配的网络地址上拦截和延缓蠕虫病毒的扫描,保护实际工作网络.受到扫描刺探的可能性取决于被感染的机器数量,病毒传播的速度和布控的蜜罐数量.而病毒传播速度又取决于病毒传播算法,易受攻击主机的数量和地址空间的尺寸影响. 大体上来说,蜜罐布置得越广,蜜罐之一就会越早收到病毒的刺探.(2)使用蜜罐模拟系统和服务漏洞暴露给蠕虫病毒,进而捕获蠕虫并分析它们的特征,来限制蠕虫在网络上的传播.蜜罐技术的优点1 收集数据的保真度,由于蜜罐不提供任何实际的作用,因此其收集到的数据很少,同时收集到的数据很大可能就是由于黑客攻击造成的,蜜罐不依赖于任何复杂的检测技术等,因此减少了漏报率和误报率。