蜜罐系统搭建与测试分析
如何在windows系统中构建蜜罐
搭建⼀个基于Unix系统的蜜罐络相对说来需要⽐较多系统维护和络安全知识的基础,但是做⼀个windows系统的蜜罐的门槛就⽐较低,今天我们就⼀起尝试搭建⼀个windows下的蜜罐系统。
由于win和Unix系统不⼀样,我们很难使⽤有效的⼯具来完整的追踪⼊侵者的⾏为,因为win下有各式各样的远程管理软件(VNC,remote-anything),⽽对于这些软件,⼤部分杀毒软件是不查杀他们的,⽽我们也没有象LIDS那样强⼤的⼯具来控制Administrator的权限,相对⽽⾔,蜜罐的风险稍微⼤了点,⽽且需要花更加多的时间和精⼒。
先介绍⼀下我们需要的软件vpc Virtual pc,他是⼀个虚拟操作系统的软件,当然你也可以选择vmware. ActivePerl-5.8.0.805-MSWin32-x86.msi windows下的perl解析器 evtsys_exe.zip ⼀个把系统⽇志发送到log服务器的程序 comlog101.zip ⼀个⽤perl写的偷偷记录cmd.exe的程序,不会在进程列表中显⽰,因为⼊侵者运⾏的的确是cmd.exe :) Kiwi_Syslog_Daemon_7 ⼀个很专业的⽇志服务器软件 norton antivirus enterprise client 我最喜欢的杀毒软件,⽀持win2k server。
当然,如果你觉得其他的更加适合你,你有权选择 ethereal-setup-0.9.8.exe Ethereal的windows版本,Ethereal是*nix下⼀个很出名的sniffer,当然,如果你已经在你的honeynet中布置好了 sniffer,这个⼤可不必了,但是本⽂主要还是针对Dvldr 蠕⾍的,⽽且ethereal的 decode功能很强,⽤他来获取irc MSG很不错的 WinPcap_3_0_beta.exe ethereal需要他的⽀持。
md5sum.exe windows下⽤来进⾏md5sum校验的⼯具 windows 2000 professional的ISO镜象⽤vpc虚拟操作系统的时候需要⽤到他 Dvldr蠕⾍简介 他是⼀个利⽤windows 2000/NT弱⼝令的蠕⾍。
蜜罐实现原理
蜜罐实现原理蜜罐(Honeypot)是一种用于诱捕黑客的安全机制,它模拟了一个看似易受攻击的系统或网络,吸引攻击者入侵并收集其攻击行为和手段。
蜜罐的实现原理主要包括以下几个方面。
1. 诱饵设置蜜罐的首要任务是诱使攻击者感兴趣并试图攻击。
为了实现这一目标,蜜罐需要设置一些诱饵,例如开放的端口、弱密码账户、易受漏洞影响的应用程序等。
这些诱饵看似真实,但实际上是对攻击者进行诱导和引导的。
2. 日志记录蜜罐需要详细记录攻击者的所有行为和操作,包括攻击手段、攻击目的、攻击时间等信息。
通过对攻击行为的分析,可以及时发现攻击者的新手段和攻击趋势,为安全防护提供重要参考。
3. 网络监控蜜罐通常会与真实网络环境相隔离,以避免攻击对真实系统造成影响。
但同时,蜜罐也需要与网络环境保持连接,并监控网络流量。
通过对网络流量的监控和分析,可以及时发现攻击者的扫描行为、漏洞利用等攻击活动。
4. 虚拟化技术为了提高蜜罐的安全性和可靠性,通常会使用虚拟化技术。
通过将蜜罐部署在虚拟机中,可以有效隔离蜜罐与真实系统,防止攻击对真实系统造成影响。
同时,虚拟化技术还可以方便地进行蜜罐的部署和管理。
5. 威胁情报分享蜜罐收集到的攻击行为和手段可以作为威胁情报分享给其他安全团队或组织。
通过分享威胁情报,可以提高整个安全社区对新型攻击的认知和防范能力,从而共同应对不断演变的威胁。
6. 响应机制当蜜罐检测到攻击行为时,需要采取相应的响应措施。
这些响应措施可以包括拦截攻击流量、阻止攻击者的访问、向攻击者发送虚假信息等。
通过灵活和及时的响应机制,可以最大程度地阻止攻击者的进一步攻击。
7. 学习分析蜜罐不仅仅是用来吸引攻击者的陷阱,还是一个用于学习和分析攻击手段的平台。
通过对攻击者的行为和手段进行分析,可以及时发现新的攻击方式和漏洞利用技术,从而改进系统的安全性。
蜜罐的实现原理是通过设置诱饵、记录日志、监控网络、使用虚拟化技术、分享威胁情报、响应攻击和学习分析等手段来吸引攻击者,并收集其攻击行为和手段。
蜜罐技术详解与案例分析
蜜罐技术详解与案例分析蜜罐技术是一种用于检测和诱捕黑客攻击的安全防御工具。
它通过模拟漏洞和易受攻击的目标来吸引攻击者,并记录他们的行为。
本文将详细介绍蜜罐技术的原理、分类以及几个成功的案例分析。
一、蜜罐技术的原理蜜罐技术的核心原理是通过创建一个看似真实的系统或网络,来吸引和诱捕黑客攻击。
蜜罐可以是一个虚拟机、一个虚拟网络或一个物理设备,在这个系统中,存在着一些看似易受攻击的漏洞或是敏感信息。
当攻击者企图入侵或攻击这些漏洞时,蜜罐会记录下他们的攻击行为和手段,并提供有关攻击者的详细信息。
二、蜜罐技术的分类蜜罐可以分为以下几种不同类型:1. 高交互蜜罐:这种蜜罐模拟了一个完整的系统,攻击者可以与之进行实时互动,这包括使用真实的漏洞和服务。
高交互蜜罐提供了最真实的攻击场景,并能够获取最多的攻击者信息,但它也存在一定的风险和安全隐患。
2. 低交互蜜罐:这种蜜罐只模拟了一部分的系统服务或功能,它减少了与攻击者的互动,因此相对较安全。
低交互蜜罐可以快速部署和更新,但信息收集相对较少。
3. 客户端蜜罐:这种类型的蜜罐主要用于追踪和识别客户端攻击,例如恶意软件的传播、垃圾邮件的发送等。
客户端蜜罐可以帮助安全团队及时发现客户端攻击行为,并采取相应的措施。
4. 网络蜜罐:这种蜜罐放置在网络中,用于监测网络攻击和入侵。
它可以模拟各种网络服务和协议,以吸引攻击者对网络进行攻击。
5. 物理蜜罐:这种类型的蜜罐是一台真实的物理设备,通常用于保护企业的关键系统和数据。
物理蜜罐可以监测并记录与其交互的攻击者的行为,从而提高企业的安全性。
三、蜜罐技术的案例分析以下是几个成功的蜜罐技术案例分析:1. Honeynet计划Honeynet计划是一个非营利性的组织,致力于通过蜜罐技术、漏洞研究和威胁情报分享来提高网络安全。
他们搭建了一系列全球分布的蜜罐网络,成功地识别了许多高级攻击行为,并提供了有关黑客活动的详细报告。
2. CanSecWest PWN2OWN比赛PWN2OWN是一项安全比赛活动,鼓励研究人员发现和报告操作系统和网络浏览器的安全漏洞。
基于busybox文件系统的路由器蜜罐测试方法及装置与流程
基于busybox文件系统的路由器蜜罐测试方法及装置的流程如下:
设置路由器模拟模块、数据采集模块、测试模块、结果分析模块和控制模块配合。
根据busybox文件系统搭建路由器固件模拟环境。
采用用户行为数据生成测试脚本,通过不断修正,输出合格的测试脚本文件。
将合格的测试脚本文件输入蜜罐系统,完成测试过程。
通过以上步骤,可以实现自动化测试、修正和输出测试脚本文件,解决蜜罐类产品由于测试需求的变更导致需要花费大量精力对原有的测试程序修改、调试的问题,满足不同路由器的测试需求,提升路由器蜜罐节点的测试效率和测试效果。
且通过反馈不合格蜜罐的错误数据信息,利于对蜜罐产品的修正和完善。
以上信息仅供参考,建议咨询专业人士获取更准确的信息。
“蜜罐”配置实验
实验23“蜜罐”配置实验1.实验目的通过安装和配置“蜜罐”,了解“蜜罐”的原理,及其配置使用方法。
2.实验原理2.1“蜜罐”技术的起源入侵检测系统能够对网络和系统的活动情况进行监视,及时发现并报告异常现象。
但是,入侵检测系统在使用中存在着难以检测新类型黑客攻击方法,可能漏报和误报的问题。
蜜罐使这些问题有望得到进一步的解决,通过观察和记录黑客在蜜罐上的活动,人们可以了解黑客的动向、黑客使用的攻击方法等有用信息。
如果将蜜罐采集的信息与IDS采集的信息联系起来,则有可能减少IDS的漏报和误报,并能用于进一步改进IDS的设计,增强IDS的检测能力。
“蜜罐”的思想最早是由Clifford Stoll于1988年5月提出。
该作者在跟踪黑客的过程中,利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵,这就是蜜罐的基本构想,但他并没有提供一个专门让黑客攻击的系统。
蜜罐正式出现是Bill Cheswick提到采用服务仿真和漏洞仿真技术来吸引黑客。
服务仿真技术是蜜罐作为应用层程序打开一些常用服务端口监听,仿效实际服务器软件的行为响应黑客请求。
例如,提示访问者输入用户名和口令,从而吸引黑客进行登录尝试。
所谓漏洞仿真是指返回黑客的响应信息会使黑客认为该服务器上存在某种漏洞,从而引诱黑客继续攻击。
2.2蜜罐技术的优点Honeypot是一个相对新的安全技术,其价值就在被检测、攻击,以致攻击者的行为能够被发现、分析和研究。
它的概念很简单:Honeypot没有任何产品性目的,没有授权任何人对它访问,所以任何对Honeypot的访问都有可能是检测、扫描甚至是攻击。
Honeypot的检测价值在于它的工作方式。
正如前文所提到的,由于Honeypot没有任何产品性功能,没有任何授权的合法访问,所以在任何时间来自任何地方对Honeypot的任何访问都有可能是非法的可疑行为。
Honeypot的工作方式同NIDS等其他的传统检测技术正好相反,NIDS不能解决的问题,Honeypot却能轻易解决。
HFish蜜罐的介绍和简单测试
HFish蜜罐的介绍和简单测试HFish蜜罐是一款基于Docker的开源蜜罐系统,由中国互联网安全公司HuaFu Security推出。
HFish主要用于监测和识别攻击者行为,保护企业的网络安全。
与其他蜜罐系统相比,HFish具有易于安装、部署和使用的特点,可以帮助管理员轻松建立一个实时可靠、基于容器的网络蜜罐系统。
HFish蜜罐主要通过虚拟机或容器技术来模拟被攻击目标,记录攻击者的攻击行为,并分析攻击方式、渗透路径等信息。
HFish支持多种蜜罐模型,包括:Web应用程序蜜罐、FTP蜜罐、SSH蜜罐等。
在HFish的系统中,管理员可以自定义配置,设置不同的蜜罐模型,根据需要进行调整。
HFish蜜罐相比较其他蜜罐的优势:1. 在HFish的系统中,用户可以通过网络来远程管理蜜罐,这个功能减少了二次控制设备数量。
2. HFish对网络流量进行实时监控,对可能的攻击进行记录和警报。
3. HFish采用容器技术来提供自良、弹性、可扩容的蜜罐,增设的负载均衡、容器编排等定制功能,使系统的性能能够得到保障。
我们在实验室内简单测试了HFish蜜罐系统的使用情况。
首先,我们打开HFish蜜罐的官方网站,可以在官网上轻松下载Docker镜像文件。
接下来,我们需要安装Docker环境,以便于能够正常运行蜜罐。
由于我们在的测试环境为Windows系统,所以我们下载和安装Windows版本的Docker。
我们在命令提示符下输入docker images指令,可以查询到我们安装的Docker镜像包。
接下来,我们需要从官网上下载HFish的Docker镜像文件。
我们输入docker pull lfvinicius/hfish:latest指令来直接下载最新版本的HFish镜像文件。
等待下载完毕,我们就可以通过命令docker run同一指令来启动HFish容器了!成功启动容器后,我们可以在浏览器上输入地址来访问蜜罐系统的登录界面。
构建一个强大的蜜罐系统以抵御攻击
环境等信息,帮助防御者更好地了解攻击者
蜜罐系统对攻击者的追踪与反击
蜜罐系统可以追踪攻击者的IP地址、访问时间和访问方式等 蜜罐系统可以记录攻击者的行为,如登录尝试、文件访问等 蜜罐系统可以反击攻击者,如阻断攻击、限制访问等 蜜罐系统可以向管理员发出警报,提醒管理员注意攻击者的行为
蜜罐系统与其他安全措施的协同防御
汇报人:XXX
检测和防御。
蜜罐系统在智能化安全防御中的应用
添加 标题
添加 标题
添加 标题
添加 标题
蜜罐系统可以模拟各种网 络设备和服务,吸引攻击 者的注意力,从而保护真
实的网络设备和服务。
蜜罐系统可以收集攻击者 的行为数据,帮助安全人 员更好地了解攻击者的攻 击手段和策略,从而制定
更有效的防御措施。
蜜罐系统可以与其他安全 设备协同工作,形成一体 化的安全防御体系,提高
蜜罐系统监控:实时监控蜜罐系统的运行状态,及时发现异常行为 日志管理:记录蜜罐系统的所有操作和事件,便于事后分析和取证 监控工具:使用各种监控工具,如Syslog、SNMP等,实时获取蜜罐系统的运行状态 日志分析:对蜜罐系统的日志进行深入分析,发现潜在的安全威胁和攻击行为
蜜罐系统的安全性与稳定性保障
项标题
蜜罐系统的安全性: 通过设置防火墙、 入侵检测系统等安 全措施,确保蜜罐
系统的安全
项标题
蜜罐系统的稳定性: 通过设置负载均衡、 冗余备份等措施, 确保蜜罐系统的稳
定运行
项标题
蜜罐系统的监控与 维护:通过实时监 控蜜罐系统的运行 状态,及时发现并 解决可能出现的问 题,保障蜜罐系统
的稳定性
项标题
定期检查蜜罐系统的安全策 略,确保其有效性
监控蜜罐系统的运行状态, 及时发现异常情况
浅谈蜜罐技术及其应用
浅谈蜜罐技术及其应用摘要::蜜罐技术是信息安全保障的研究热点与核心技术。
本文介绍了目前国际上先进的网络安全策略一蜜罐技术,并对近年来蜜罐技术的研究进展进行了综述评论。
同时也探讨一种全新的网络安全策略一蜜网。
关键词:蜜罐;蜜网;网络安全1 引言随着计算机网络技术的发展,网络在世界经济发展中的地位已十分重要。
然而在网络技术日益发展的同时“黑客”们对网络的攻击从未停止过。
我们目前的主要防范策略就是构建防火墙。
通过防火墙来阻止攻击,保障网络的正常运行。
2 蜜罐技术防火墙确实起到了一定的保护作用,但是细想一下,这样却不近常理,“黑客”们在不断的攻击,我们的网络总是处于被动的防守之中。
既不知道自己已被攻击,也不知道谁在攻击。
岂有久攻不破之理。
虽然网络安全技术在不断的发展,“黑客”们攻击方法也在不断翻新,在每次的攻击中“黑客”们并没有受到任何约束和伤害,一次失败回头再来。
而且在这众多“黑客”对个别营运商的局面下,我们是否太被动了,稍有不周就遭恶运。
而蜜罐好比是情报收集系统。
蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。
所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。
还交可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社网络。
蜜罐Honeypot以及蜜罐延伸技术,当前十分流行,它已不是一种新的技术,可以说是一大进步的安全策略。
它使我们知道正在被攻击和攻击者,以使“黑客”们有所收敛而不敢肆无忌惮。
蜜罐的引入,类似于为网络构建了一道防火沟,使攻击者掉入沟中,装入蜜罐以至于失去攻击力,然后再来个瓮中捉鳖。
关于蜜罐,目前还没有一个完整的定义。
读者可以参阅Clif Stoil所著“Cuckoo’s"Egg'’,和Bill Cheswick所著“An Ev witll Be Id”。
在此我们把蜜罐定义为“一种被用来侦探,攻击或者缓冲的安全资源”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
蜜罐系统搭建与测试分析互联网作为世界交互的接口,是各国互联网管理的必由之路。
速度快、多变化、无边界、多维度的网络传播,不仅加速了全球化的进程,也减少差异阻隔,尤其在全球经济一体化发展的背景下,互联网已成为各国政治、文化和经济融合与博弈的重要场域。
但是,与此同时互联网安全面临着巨大的考验。
导致互联网目前如此糟糕的安全状况的原因有很多,一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷,同时,大部分的网络使用者还未真正拥有安全意识,也还很少进行安全加强工作,如及时打补丁、安装防火墙和其他安全工具等,从而导致了目前的互联网具有巨大的安全隐患。
另一方面,随着网络攻击技术的发展,特别是分布式拒绝服务攻击、跳板(Step-stone)攻击及互联网蠕虫的盛行,互联网上的每一台主机都已经成为攻击的目标。
此外,黑客社团也不像互联网早期那么纯洁,不再仅仅为了兴趣和炫耀能力而出动,而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。
同时攻击者也不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具(如 PacketStorm 网站)。
而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。
特别值得注意的一个趋势是多种攻击脚本和工具的融合,如大量的内核后门工具包(Rootkit),及能够集成多种攻击脚本并提供易用接口的攻击框架的出现。
当网络被攻陷破坏后,我们甚至还不知道对手是谁,他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。
作为安全防护工作者,无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员,都需要首先对黑客社团有深入的了解,包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。
只有在充分了解对手的前提下,我们才能更有效地维护互联网安全。
而蜜罐和蜜网技术为捕获黑客的攻击行为,并深入分析黑客提供了基础。
蜜罐的概念“蜜网项目组”(The Honeynet Project)的创始人Lance Spitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。
这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。
而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。
最初出现在1990 年出版的一本小说《The Cuckoo’s Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。
“蜜网项目组”(The Honeynet Project)的创始人Lance Spitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。
这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。
而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。
蜜罐技术的发展从九十年代初蜜罐概念的提出直到 1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。
这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。
从 1998 年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,如 Fred Cohen 所开发的 DTK (欺骗工具包)、Niels Provos 开发的 Honeyd 等,同时也出现了像 KFSensor、Specter 等一些商业蜜罐产品。
这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。
虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。
但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题,从2000 年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。
蜜罐的分类蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类,产品型蜜罐的目的在于为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。
一般产品型蜜罐较容易部署,而且不需要管理员投入大量的工作。
较具代表性的产品型蜜罐包括 DTK、honeyd等开源工具和 KFSensor、ManTraq 等一系列的商业产品。
研究型蜜罐则是专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,对黑客攻击进行追踪和分析,能够捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。
研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作,具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术。
蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐,交互度反应了黑客在蜜罐上进行攻击活动的自由度。
低交互蜜罐一般仅仅模拟操作系统和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动较为有限,因此通过低交互蜜罐能够收集的信息也比较有限,同时由于低交互蜜罐通常是模拟的虚拟蜜罐,或多或少存在着一些容易被黑客所识别的指纹(Fingerprinting)信息。
产品型蜜罐一般属于低交互蜜罐。
高交互蜜罐则完全提供真实的操作系统和网络服务,没有任何的模拟,从黑客角度上看,高交互蜜罐完全是其垂涎已久的“活靶子”,因此在高交互蜜罐中,我们能够获得许多黑客攻击的信息。
高交互蜜罐在提升黑客活动自由度的同时,自然地加大了部署和维护的复杂度及风险的扩大。
研究型蜜罐一般都属于高交互蜜罐,也有部分蜜罐产品,如 ManTrap,属于高交互蜜罐。
蜜罐的优缺点蜜罐技术的优点包括:1、收集数据的保真度,由于蜜罐不提供任何实际的作用,因此其收集到的数据很少,同时收集到的数据很大可能就是由于黑客攻击造成的,蜜罐不依赖于任何复杂的检测技术等,因此减少了漏报率和误报率。
2、使用蜜罐技术能够收集到新的攻击工具和攻击方法,而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。
3、蜜罐技术不需要强大的资源支持,可以使用一些低成本的设备构建蜜罐,不需要大量的资金投入。
4、相对入侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。
蜜罐技术存在的缺陷有:1、需要较多的时间和精力投入。
2、蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限,不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。
3、蜜罐技术不能直接防护有漏洞的信息系统。
4、部署蜜罐会带来一定的安全风险。
部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为跳板从而对第三方发起攻击。
一旦黑客识别出蜜罐后,他将可能通知黑客社团,从而避开蜜罐,甚至他会向蜜罐提供错误和虚假的数据,从而误导安全防护和研究人员。
防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹,并使得蜜罐与真实的漏洞主机毫无差异。
蜜罐隐藏技术和黑客对蜜罐的识别技术(Anti-Honeypot)之间相当于一个博弈问题,总是在相互竞争中共同发展。
另外,蜜罐技术的初衷即是让黑客攻破蜜罐并获得蜜罐的控制权限,并跟踪其攻破蜜罐、在蜜罐潜伏等攻击行为,但我们必须防止黑客利用蜜罐作为跳板对第三方网络发起攻击。
为了确保黑客活动不对外构成威胁,必须引入多个层次的数据控制措施,必要的时候需要研究人员的人工干预。
蜜网的基本概念蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又可成为诱捕网络。
蜜网技术实质上还是一类研究型的高交互蜜罐技术,其主要目的是收集黑客的攻击信息。
但与传统蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,我们可以包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。
此外,虚拟蜜网通过应用虚拟操作系统软件(如 VMWare 和 User Mode Linux等)使得我们可以在单一的主机上实现整个蜜网的体系架构。
虚拟蜜网的引入使得架设蜜网的代价大幅降低,也较容易部署和管理,但同时也带来了更大的风险,黑客有可能识别出虚拟操作系统软件的指纹,也可能攻破虚拟操作系统软件从而获得对整个虚拟蜜网的控制权。
蜜网的核心需求蜜网有着三大核心需求:即数据控制、数据捕获和数据分析。
通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全,以减轻蜜网架设的风险;数据捕获技术能够检测并审计黑客攻击的所有行为数据;而数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。
以下结合“蜜网项目组”及其推出的第二代蜜网技术方案蜜网的核心需求进行分析。
第二代蜜网技术:第二代蜜网所需的关键工具:HoneyWall 和 Sebek。
第二代蜜网方案的整体架构如图,其中最为关键的部件为称为HoneyWall 的蜜网网关,包括三个网络接口,eth0 接入外网,eth1 连接蜜网,而eth2 作为一个秘密通道,连接到一个监控网络。
HoneyWall 是一个对黑客不可见的链路层桥接设备,作为蜜网与其他网络的唯一连接点,所有流入流出蜜网的网络流量都将通过HoneyWall,并受其控制和审计。
同时由于 HoneyWall 是一个工作在链路层的桥接设备,不会对网络数据包进行 TTL 递减和网络路由,也不会提供本身的 MAC 地址,因此对黑客而言,HoneyWall 是完全不可见的,因此黑客不会识别出其所攻击的网络是一个蜜网。
图1 第二代蜜网方案的整体架构HoneyWall 实现了蜜网的第一大核心需求—数据控制。
如图HoneyWall 的数据控制机制,HoneyWall 对流入的网络包不进行任何限制,使得黑客能攻入蜜网,但对黑客使用蜜网对外发起的跳板攻击进行严格控制。
控制的方法包括:●攻击包抑制;●对外连接数限制;图2 HoneyWall 的数据控制机制攻击包抑制主要针对使用少量连接即能奏效的已知攻击(如权限提升攻击等),在 HoneyWall 中使用了snort_inline 网络入侵防御系统(NIPS)作为攻击包抑制器,检测出从蜜网向外发出的含有的攻击特征的攻击数据包,发出报警信息并对攻击数据包加以抛弃或修改,使其不能对第三方网络构成危害。
而对外连接数限制则主要针对网络探测和拒绝服务攻击。
HoneyWall 通过在IPTables 防火墙中设置规则,当黑客发起的连接数超过预先设置的阈值,则IPTables 将其记录到日志,并阻断其后继连接,从而避免蜜网中被攻陷的蜜罐作为黑客的跳板对第三方网络进行探测或拒绝服务攻击。