第14章蜜罐技术分析解析
蜜罐技术的研究与分析
式 。 正 因 为 高 交 互 蜜 罐 提 供 了完 全 开 放 的 系 统 给 黑 客 , 来 带 了更 高 的 风 险 , 即黑 客 可 能 通 过 这 个 开 放 的 系 统 去 攻 击 其 他 系统 。 2 - 具 体 实 现 的 角 度 , 为 物 理蜜 罐 和 虚 拟 蜜 罐 .3 2从 分 2 -. 理 蜜罐 :通 常 是 一 台或 多 台真 实 的在 网络 上 存 . 31 2 物 在的主机操作 , 主机 上 运 行 着 真 实 的操 作 系 统 . 有 自己 的 I 拥 P 地 址 , 供 真 实 的 网络 服 务 来 吸 引攻 击 。 提 223 虚 拟 蜜 罐 : 常 用 的是 虚 拟 的机 器 、 拟 的操 作 系 .-2 . 通 虚 统 , 会 响 应 发送 到虚 拟蜜 罐 的 网络 数 据 流 , 供模 拟 的 网络 它 提 服务 等 。 3蜜罐 的 关 键技 术 . 蜜 罐 的关 键 技 术 主 要 包 括欺 骗技 术 、 据 捕 获 技 术 、 据 数 数 控制 技 术 、 据 分 析 技 术 , 等 。 中 , 据 捕 获 技 术 与数 据控 数 等 其 数 制技 术 是 蜜 罐 技 术 的核 心 。
远的意 义 。 2 蜜罐 的 定 义 和 分 类 . 21 .蜜罐 的 定 义
蜜 罐 的价 值 是 在 其 被探 测 、攻击 或者 攻 陷 的 时候 才 得 到 体 现 的 。 攻 击 者 的 注 意 力 吸 引到 蜜 罐 上 , 蜜 罐 进 行工 作 的 将 是 前 提 。 骗 的成 功 与 否 取 决 于欺 骗 质 量 的 高低 。 用 的欺 骗 技 欺 常
12 4
I空 间 欺 骗 利 用 计 算 机 的 多 宿 主 能 力 .在 一 块 网卡 上 分 P 配多 个 I地 址 , 增加 入侵 者 的搜 索 空 间 , 而 显 著 增 加 他 们 P 来 从 的工 作 量 , 间接 实 现 了 安全 防护 的 目 的。 项 技 术 和 虚拟 机 技 这 术 结 合 可 建 立 一个 大 的虚 拟 网 段 , 花 费 极低 。 且 31 .2漏 洞 模 拟 。 . 即通 过模 拟操 作 系 统 和 各种 应 用 软件 存 在 的漏 洞 . 吸引 人 侵 者 进 入 设 置好 的蜜 罐 。 侵 者 在 发 起 攻击 前 , 般要 对 系 入 一 统 进 行 扫 描 , 具 有 漏 洞 的系 统 , 而 最容 易 引起 攻 击 者 攻 击 的欲 望 。 洞模 拟 的关 键 是要 恰 到 好 处 , 有 漏 洞 会 使 入 侵者 望 而 漏 没 生畏 , 洞百 出又 会 使 入侵 者心 生 疑 虑 。 漏 31 .3流 量 仿 真 。 . 蜜 罐 只有 以 真 实 网络 流 量 为 背 景 . 能 真 正 吸 引 入 侵 者 才 长期 停 驻 。流 量 仿 真 技 术 是 利用 各种 技 术 使 蜜 罐 产 生 欺 骗 的 网 络 流 量 , 样 即 使 使 用 流 量 分 析 技 术 , 无 法 检 测 到 蜜 罐 这 也 的存 在 。目前 的 方法 : 是 采 用 重 现方 式 复 制真 正 的 网络 流量 一 到诱 骗环 境 ; 是 从 远 程 产 生 伪 造 流 量 . 入 侵 者 可 以发 现 和 二 使 利用 [。 2 1 31 .. 务 伪 装 。 4服 进 入 蜜 罐 的攻 击 者 如 发 现 该 蜜 罐 不 提 供 任 何 服 务 ,就会 意识 到危 险而 迅 速 离 开蜜 罐 , 蜜罐 失 效 。 使 服务 伪 装 可 以 在 蜜 罐 中 模 拟Ht 、 r 、e n等 网 络 基 本 服 务 并 伪 造 应 答 ,使 入 t F PTl t p e 侵 者 确信 这 是 一 个 正 常 的 系统 。 31 重 定 向技 术 E。 .. 5 3 ] 即在 攻 击 者 不 知 情 的情 况 下 , 其 引 到蜜 罐 中 , 以 在 重 将 可 要 服 务器 的 附近 部 署 蜜 罐 , 服 务器 发现 可疑 行 为后 , 其 重 当 将 定 向 到蜜 罐 。 可 以使 用 代 理 蜜罐 , 还 以及 多 个蜜 罐 模 拟 真 正 的 服 务 器 , 对 服 务 器 的请 求 到 来 时 , 用 事 先 定 义 好 的 规 则 , 当 利 将 请 求 随 机发 送 到 蜜 罐 和 服 务 器 中 的一 个 , 以迷 惑攻 击者 , 用 增 大 攻击 者 陷入 蜜 罐 的 概 率 。
蜜罐技术在网络安全防护中的应用研究
蜜罐技术在网络安全防护中的应用研究摘要:随着全球信息的飞速发展,各种信息化系统已经成为关键的基础设施,蜜罐技术的出现使网络防御战由被动转向主动,可以帮助即时发现系统漏洞。
本文通过对蜜罐技术的概念阐述,探讨蜜罐技术的应用可能性。
关键词:蜜罐技术;密网;欺骗技术;主动防御1蜜罐技术的概念界定1.1蜜罐技术的概念在网络安全中,蜜罐是一种入侵诱饵,引诱黑客进行攻击,进而浪费黑客的时间和资源,收集黑客的信息,保留证据[1]。
因此,蜜罐一般作为诱饵设置在网络连接设备中,用于检测攻击者所使用的攻击方式,了解攻击者的攻击目标。
蜜罐技术的设计目标主要为捕获攻击信息、伪装欺骗、防御攻击及向管理者提供有价值的分析报告。
1.2蜜罐技术的工作原理一个简单的低交互蜜罐通常由计算机、应用程序和模拟真实系统行为的数据组成,所采用的真实系统往往对攻击者有很大的吸引力,如金融系统、物联网设备和公共设施等[2]。
通过模拟真实系统行为使得蜜罐看起来像是具有很高价值的攻击对象,但实际上是孤立并受到密切监控的网络防御系统。
正是由于常规的合法用户不会访问蜜罐,所以任何访问蜜罐的尝试都可以认为是恶意的攻击方式并被记录,因此误报率几乎为零。
蜜罐技术在按照部署方式和设计用途可以分为生产型蜜罐和研究型蜜罐[3]。
生产型蜜罐作为生产网络的真实组成部分,通常与生产服务器一起部署在实际的生产网络中,能够吸引并转移攻击者的攻击,使系统安全管理员有足够的时间评估攻击的威胁等级并做出适当的防御。
研究型蜜罐主要用于对攻击者的活动进行分析并发现新的攻击方式、规律和系统漏洞等。
1.3蜜罐技术分类蜜罐技术按照与攻击者的交互程度可以分为高交互蜜罐、中交互蜜罐和低交互蜜罐[4]。
高交互蜜罐利用真实的操作系统和环境进行构建,对攻击者来说是最真实的系统。
虽然高交互蜜罐因为其交互程度更高难以被识别,但是带来了更高的风险,很可能会被攻击者攻破并利用其攻击其他系统。
中交互蜜罐用于监控蜜罐与网络的连接,不提供真实的操作系统和服务,这类蜜罐是最复杂且最难维护。
蜜罐技术详解与案例分析
蜜罐技术详解与案例分析蜜罐技术是一种用于检测和诱捕黑客攻击的安全防御工具。
它通过模拟漏洞和易受攻击的目标来吸引攻击者,并记录他们的行为。
本文将详细介绍蜜罐技术的原理、分类以及几个成功的案例分析。
一、蜜罐技术的原理蜜罐技术的核心原理是通过创建一个看似真实的系统或网络,来吸引和诱捕黑客攻击。
蜜罐可以是一个虚拟机、一个虚拟网络或一个物理设备,在这个系统中,存在着一些看似易受攻击的漏洞或是敏感信息。
当攻击者企图入侵或攻击这些漏洞时,蜜罐会记录下他们的攻击行为和手段,并提供有关攻击者的详细信息。
二、蜜罐技术的分类蜜罐可以分为以下几种不同类型:1. 高交互蜜罐:这种蜜罐模拟了一个完整的系统,攻击者可以与之进行实时互动,这包括使用真实的漏洞和服务。
高交互蜜罐提供了最真实的攻击场景,并能够获取最多的攻击者信息,但它也存在一定的风险和安全隐患。
2. 低交互蜜罐:这种蜜罐只模拟了一部分的系统服务或功能,它减少了与攻击者的互动,因此相对较安全。
低交互蜜罐可以快速部署和更新,但信息收集相对较少。
3. 客户端蜜罐:这种类型的蜜罐主要用于追踪和识别客户端攻击,例如恶意软件的传播、垃圾邮件的发送等。
客户端蜜罐可以帮助安全团队及时发现客户端攻击行为,并采取相应的措施。
4. 网络蜜罐:这种蜜罐放置在网络中,用于监测网络攻击和入侵。
它可以模拟各种网络服务和协议,以吸引攻击者对网络进行攻击。
5. 物理蜜罐:这种类型的蜜罐是一台真实的物理设备,通常用于保护企业的关键系统和数据。
物理蜜罐可以监测并记录与其交互的攻击者的行为,从而提高企业的安全性。
三、蜜罐技术的案例分析以下是几个成功的蜜罐技术案例分析:1. Honeynet计划Honeynet计划是一个非营利性的组织,致力于通过蜜罐技术、漏洞研究和威胁情报分享来提高网络安全。
他们搭建了一系列全球分布的蜜罐网络,成功地识别了许多高级攻击行为,并提供了有关黑客活动的详细报告。
2. CanSecWest PWN2OWN比赛PWN2OWN是一项安全比赛活动,鼓励研究人员发现和报告操作系统和网络浏览器的安全漏洞。
《蜜罐技术》课件
提高安全意识
通过蜜罐技术,企业可以 了解攻击者的手段和意图 ,提高员工的安全意识, 加强整体安全防护能力。
蜜罐技术的发展历程
初期阶段
蜜罐技术最初起源于20世纪90年代,主要用于收集网络威胁情报 。
发展阶段
随着网络安全威胁的不断升级,蜜罐技术不断发展,出现了多种类 型的蜜罐,如低交互蜜罐、高交互蜜罐等。
总结词
基于云的蜜罐是一种将蜜罐部署在云环境中 的技术,具有可扩展性和灵活性。
详细描述
基于云的蜜罐利用云计算的优势,可以快速 部署和管理多个蜜罐。这种技术还提供了更 好的可扩展性和灵活性,可以根据需要增加 或减少蜜罐的数量和配置。此外,基于云的 蜜罐还可以与其他安全工具集成,以提高整 体的安全防御能力。
,提高蜜罐的威胁捕获能力。
智能化响应
根据AI分析结果,自动触发相应的 安全响应措施,如隔离可疑连接、 阻断恶意流量等,降低安全风险。
蜜罐自适应部署
AI技术可以帮助蜜罐自动调整部署 策略,根据网络环境的变化和威胁 情报的更新,动态调整蜜罐的配置 和功能。
蜜罐技术的与其他技术的结合
1 2 3
蜜网与蜜罐结合
动态蜜罐
总结词
动态蜜罐是一种主动的防御系统,能够实时响应和防御网络攻击。
详细描述
与静态蜜罐不同,动态蜜罐能够根据攻击者的行为和工具进行实时响应。当攻击者尝试利用蜜罐时,系统会自动 触发防御机制,例如隔离受影响的系统或阻止攻击者的进一步行动。这种蜜罐技术能够有效地减少网络攻击的影 响和破坏。
单向蜜罐
优化配置
通过优化蜜罐的配置,减少资源占用和误报的可能,提高监控效果。
加强培训和管理
提高技术人员的技能水平,加强蜜罐技术的培训和管理,降低技术门槛。
蜜罐技术的原理及现状研究
蜜罐技术的原理及现状研究蜜罐技术的原理及现状研究作者:姚东铌来源:《企业导报·上半月》2010年第06期【摘要】蜜罐是一种预先配置好的包含漏洞的系统,用于引诱黑客对系统进行攻击和入侵。
它涉及到信息安全诸多技术的灵活应用,能有效弥补传统信息安全防御技术的缺陷,使得防护体系更加完善与安全。
介绍了蜜罐技术的主要原理及国内外研究现状,相信在将来蜜罐会在信息安全保障中发挥越来越大的作用。
【关键词】蜜罐;网络欺骗;数据捕获;数据控制一、蜜罐技术的起源蜜罐(Honey pot)是一种采取主动方式的防御技术,其早可追溯到1988年加州大学伯克利分校的Clifford Stoll博士发表的一篇题为“Stalking the Wily Hacker”的论文,描述了在跟踪黑客的过程中利用一些虚假信息的文件引诱黑客,达到检测入侵的目的,这就是蜜罐的最初基本构想。
其后Stop博士所写的The Cuckoo's Egg为蜜罐的创立奠定了基础。
准确定义下的蜜罐是一种专门设计成被扫描、攻击和入侵的网络安全资源,其价值在于被探测、攻击或者摧毁的时候。
具体来说它是一种预先配置好的包含漏洞的系统,用于引诱黑客对系统进行攻击和入侵。
它可以记录黑客进入系统的一切信息,同时混淆黑客攻击目标来保护服务主机的正常运行。
蜜罐的主要技术原理包括以下几个方面: 第一,网络欺骗。
使入侵者相信存在有价值的、可利用的安全弱点,蜜罐的价值就是在其被探测、攻击或者攻陷的时候得以体现,网络欺骗技术是蜜罐技术体系中最为关键的核心技术,常见的有模拟服务端口、模拟系统漏洞和应用服务、流量仿真等。
第二,数据捕获。
一般分三层实现:最外层由防火墙来对出入蜜罐系统的网络连接进行日志记录;中间层由入侵检测系统(IDS)来完成,抓取蜜罐系统内所有的网络包;最里层的由蜜罐主机来完成,捕获蜜罐主机的所有系统日志、用户击键序列和屏幕显示。
第三,数据分析。
要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的,数据分析是蜜罐技术中的难点,主要包括网络协议分析、网络行为分析、攻击特征分析和入侵报警等。
蜜罐技术讲解
蜜罐技术背景描述针对目前网络严重的安全威胁,网络安全人员和管理员却仍然对黑客社团所知甚少。
当网络被攻陷破坏后,甚至还不知道幕后黑手是谁。
对他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。
“知己知彼,百战不殆”,安全防护工作者,无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员,都需要首先对黑客社团有深入的了解,包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。
只有在充分了解对手的前提下,安全技术人员和网络管理员才能更有效地维护互联网安全。
而蜜罐和蜜网技术为捕获黑客的攻击行为,并深入分析黑客提供了基础。
工作原理1.蜜罐蜜罐(Honeypot)是一种在互联网上运行的计算机系统,它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。
蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。
蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。
此外,蜜罐也可以为追踪攻击者提供有力的线索,为起诉攻击者搜集有力的证据。
简单地说,蜜罐就是诱捕攻击者的一个陷阱。
一些专门用于欺骗黑客的开源工具,如Fred Cohen 所开发的DTK(欺骗工具包)、Niels Provos 开发的Honeyd 等,同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。
这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。
虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。
但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题,从2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。
蜜罐技术
logs
用于记录蜜罐的连接信息
nmap.prints
nmap指纹识别库
nmap.assoc
联合指纹文件
17
四.实验步骤
pf.os
被动操作系统指纹识别库
scripts
用于模拟蜜罐服务的脚本
start-arpd.sh
开始监听流量
start-honeyd.sh
开始honeyd进程
xprobe2.conf
Edition" set default default tcp action reset set default default udp action reset set default default icmp action open add default tcp port 80 "/honeyd_kit-1.0c-
5
2.2 蜜罐技术的优点(1)
Honeypot是一个相对新的安全技术,其价值就在被检 测、攻击,以致攻击者的行为能够被发现、分析和研究。 它的概念很简单:Honeypot没有任何产品性目的,没有授 权任何人对它访问,所以任何对Honeypot的访问都有可能 是检测、扫描甚至是攻击。
Honeypot的检测价值在于它的工作方式。正如前文所 提到的,由于Honeypot没有任何产品性功能,没有任何授 权的合法访问,所以在任何时间来自任何地方对Honeypot 的任何访问都有可能是非法的可疑行为。Honeypot 的工作 方式同NIDS 等其他的传统检测技术正好相反,NIDS不能解 决的问题,Honeypot却能轻易解决。
a/scripts/telnet/faketelnet.pl" add default tcp port 110 "/honeyd_kit-1.0c-
蜜罐技术用于网络安全的分析与研究
蜜罐技术用于网络安全的分析与研究作者:崔嘉来源:《网络空间安全》2016年第06期1 引言随着信息技术的飞速发展与互联网领域的急速扩张,网络中的不安全因素日渐增多,传统意义上的维护措施已经无法满足信息安全的需要,急需尽快提出行之有效的解决办法。
传统的安全技术仅限于被动防御,只有攻击行为发生后才能予以识别,再进行阻隔,这种“后发制人”的模式只能是处于防不胜防的挨打局面,需要一种“先发制人”的主动防御技术来彻底反转主被动关系,通过对攻击者的目的进行技术性分析以及预判,有针对性地防止可能发生的攻击。
蜜罐网络欺骗技术正是主动防御与入侵检测为一体模式的代表,不仅可以防止攻击者的攻击行为,还可以对其攻击行为进行分析,更重要的是还可以进行取证以震慑攻击者,具有极高的实用价值。
2 蜜罐技术的定义及其优势蜜罐技术是一种旨在保护网络安全运行的一种“蜜罐”,即诱导攻击的诱饵。
它也是一种网络系统,在被保护的网络系统邻近运行,只不过它故意设置了些许系统漏洞,可以转移攻击者的注意力,迷惑攻击者,代替目标网络系统,将可能的攻击转移到蜜罐网络上。
而作为诱饵的蜜罐网络本身并无重要信息,攻击行为并没有造成损失,这样就成功地保护了目标网络。
蜜罐网络是一个相对封闭的闭环网络,一般不对外进行内容服务。
因此,只要有袭击者访问蜜罐网络,都会被认定为是异常的攻击行为。
此外,为了便于取证,蜜罐网络还布置了网络日志脚本记录程序,对异常的访问(攻击)行为进行记录与目的分析。
总之,蜜罐里面没有蜂蜜,里面只是一个陷阱,一个可以进行主动防御的陷阱。
从实用性角度考虑,蜜罐技术具有几大优势。
大幅提高检测正确率。
蜜罐网络相对封闭,即不会有陌生访问。
当攻击者发起网络攻击行为时,一般先会扫描服务器,然后发出请求。
这样就可以认定,只要是蜜罐系统记录到的访问请求都来自攻击者。
适用范围广。
蜜罐系统内置的算法可以识别多种攻击技术,并不局限在单一的攻击技术或者是某一种攻击行为。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
何路
计算机网络安全
高交互式蜜罐技术
高交互式蜜罐技术
使用真实的操作系统、网络服务与攻击源进行交互 高度的交互等级-对未知漏洞、安全威胁具有天然 的可适性,数据获取能力、伪装性均较强 弱势-资源需求较大,可扩展性较弱,部署安全风 险较高 虚拟机(Virtual Machine)/仿真器(Emulator)技术 节省硬件资源、容易部署和控制、容易恢复、安全 风险降低 Honeynet ––蜜网项目组(The Honeynet Project)
何路
计算机网络安全
蜜罐技术-诱骗之后
欺骗环境的核心功能需求
数据控制 数据捕获 数据分析 欺骗环境的配置管理������
何路
计算机网络安全
蜜罐技术实例(Honeyd )
Honeyd 是一种针对UNIX系统设计、开源、低交 互的Honeypot,用于对可疑活动的检测、 捕获和预警。
攻击工具的不断完善
任何主机都是攻击目标!
攻击者不需要太多技术
������
Metasploit: 40+ Exploits
攻击脚本和工具可以很容易得到和使用
������
0-day exploits: packetstorm
计算机网络安全
计算机网络安全
缺点
何路
蜜罐技术原理
蜜罐技术原理-“蜜罐公理”
无任何业务用途������ 没有任何的正常活动 ������ 任何活动都是恶意的 攻击诱骗、安全威胁预警 绕过攻击检测问题-区分正常业务和攻击行 为
防火墙:定义安全策略保证正常业务 入侵检测系统:根据已知攻击特征进行检测 反病毒软件:根据已知病毒特征码
何路
计算机网络安全
Honeyd
支持同时模拟多个IP地址主机
经过测试,最多同时支持65535个IP地址 支持模拟任意的网络拓扑结构
通过服务模拟脚本可以模拟任意TCP/UDP网络 服务
IIS, Telnet, pop3…
支持ICMP
对ping和traceroutes做出响应
蜜罐技术的提出
Honeypot: 首次出现在Cliff Stoll的小说“The Cuckoo’s Egg‖ (1990) 著名计算机安全专家Fred Cohen
何路
计算机网络安全
蜜罐技术发展历程
蜜罐技术
1998年后,出现DTK、Honeyd等大量开源蜜罐工 具 同期出现一些商业产品,但并未得到市场普及
第14章 蜜罐技术
何路 helu@
本章主要内容
蜜罐技术提出与发展历程
蜜罐技术概念及分类 蜜罐技术原理 蜜罐技术实例
计算机网络安全
何路
互联网安全状况
安全基础薄弱
操作系统/软件存在大量漏洞 安全意识弱、缺乏安全技术能力 DDoS、跳板攻击需要大量僵尸主机 蠕虫、病毒的泛滥 并不再仅仅为了炫耀:Spamming, Phishing
何路
计算机网络安全
蜜罐技术-如何实施诱骗?
欺骗环境 (Pot)的构建: 黑洞VS. 模拟VS. 真实
零交互式蜜罐: 黑洞,没有任何响应 低交互式蜜罐-虚拟蜜罐: 模拟网络拓扑、 协议栈、服务(Honeyd/Nepenthes);模拟; OS (Sandbox) 高交互式蜜罐
何路
计算机网络安全
研究型蜜罐
目标:研究对手,了解自身面临的安全威 胁
知己知彼、百战不殆 蜜网技术(Know Your Enemy)(Enemy)-目 前更多意义上属-于研究型蜜罐技术 具有代表性的工具是“蜜网项目组”所推出 的第二代蜜网技术
何路
网络攻防的非对称博弈
工作量不对称
攻击方:夜深人静, 攻其弱点 防守方:24*7, 全面防护
信息不对称
攻击方:通过网络扫描、探测、踩点对攻击目标 全面了解 防守方:对攻击方一无所知
攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损
后果不对称
何路
攻击方掌握主动权
1999年由蜜网项目组(The Honeynet Project)提出 并实现 目前已发展到第三代蜜网技术 2003年由Lance Spitzner首次提出Honeypot farms思想 目前仍未有实际的工具、产品和应用
计算机网络安全
蜜网技术
通过代理机制支持对真实主机、网络服务的整 合
计算机网络安全
何路
Honeyd与其虚拟的系统之间的关系
何路
计算机网络安全
Honeyd体系结构
NetWork
配置数据库 路由 个性引擎 查询 中央包分发器 路由
ICMP 协议处理器
何路
计算机网络安全
低交互式蜜罐技术
交互性:攻击者在蜜罐中活动的交互性级别 低交互式蜜罐技术
具有与攻击源主动交互的能力 模拟网络服务响应,模拟漏洞 容易部署,容易控制攻击 低交互式-交互级别由于模拟能力而受限,数据获 取能力和伪装性较弱,一般仅能捕获已知攻击 例: Honeyd 商业产品: KFSensorKFSensor, Specter, , HoneyPointHoneyPoint…
虚拟蜜网
在一台机器上部署蜜网的解决方案
VMware & User Mode Linux
优势
减少部署成本 更容易管理
劣势
虚拟机的指纹-虚拟硬件的配置信息
何路
计算机网络安全
蜜网项目组
非赢利性研究机构 目标
To learn the tools, tactics, and motives of the blackhat community and share these lessons learned 1999 – 非正式的邮件列表 June 2000 – 演变为蜜网项目组 Jan. 2002 – 发起蜜网研究联盟 Dec. 2002 – 10个活跃的联盟成员 Lance Spitzner (Sun Microsystems)
蜜场技术
何路
蜜罐技术概念
定义:honeypot: ―A security resource who’s value lies in being probed, attacked or compromised‖——Lance Spitzner(The Honeynet Project 的创 始人) 蜜罐是一类安全资源,其价值就在于被探 测、被攻击及被攻陷。
计算机网络安全
历史
创始人及主席
计算机网络安全
虚拟机蜜罐 VS. 物理蜜罐
何路
高交互式蜜罐工具
蜜罐技术优缺点
优点
收集到的数据很大可能就是由于黑客攻击造成的, 不依赖于任何复杂的检测技术等,因此减少了漏报 率和误报率。 能够收集到新的攻击工具和攻击方法。 不需要强大的资源支持。 需要较多的时间和精力投入。 只能对针对蜜罐的攻击行为进行监视和分析,其视 图较为有限。 不能直接防护有漏洞的信息系统。 会带来一定的安全风险。
物理蜜罐 : 完全真实的硬件、OS、应用、服务 虚拟机蜜罐 : 模拟的硬件(VMWare)/真实的OS、 应用、服务
何路
计算机网络安全
蜜罐技术-如何实施诱骗?
部署陷阱 , 诱骗攻击者(Honey)
安全漏洞-针对扫描式攻击 散播陷阱信息-引诱攻击者(Google Hacking Honeypot, HoneyEmail) 重定向技术(Honey farm) 主动出击: 利用爬虫技术-客户端蜜罐 (HoneyClawer 恶意网站监测)
路由拓扑实现
Honeyd支持创建任意的网络拓扑结构
对路由树的模拟
配置一个路由进入点 可配置链路时延和丢包率 模拟任意的路由路径
扩展
将物理主机融合入模拟的网络拓扑 通过
GREGRE隧道模式支持分布式部署
何路
计算机网络安全
引入操作系统特定的指纹,让Nmap/Xprobe 进行识别 使用Nmap指纹库作为TCP/UDP连接的参考 使用Xprobe指纹库作为ICMP包的参考
何路
计算机网络安全
日志功能
Honeyd的日志功能
Honeyd对任何协议创建网络连接日志,报告 试图发起的、或完整的网络连接 在网络协议模拟实现中可以进行相关信息收 集
个性化引擎
为什么需要个性化引擎?
不同的操作系统有不同的网络协议栈行为 攻击者通常会运行指纹识别工具,如
Xprobe和Nmap获得目标系统的进一步信 息 个性化引擎使得虚拟蜜罐看起来像真实的 目标
何路
计算机网络安全
个性化引擎
每个由 Honeyd产生的包都通过个性化引 擎
计算机网络安全
“主动”安全防护机制
何路
蜜罐技术的提出
防御方尝试改变攻防博弈不对称性而提出的一 种 主动防护技术