【碩士論文】主動防御安全系統(tǒng)研究及實現(xiàn).pdf

華審釋技大學(xué)碩士學(xué)往論文 摘要 翻髓突出的信息安全問題已成為m o 啪c t 眾多研究中的一個熱門課題 瑟對日益 復(fù)雜的入侵事件 被動防御很難滿足當(dāng)前網(wǎng)絡(luò)擻全的需求 基于蜜閼的主動防御的安 全體系逐漸成為網(wǎng)絡(luò)安全技術(shù)研究關(guān)注的焦點 主動防御技術(shù)是動態(tài)防御技術(shù) 它能 夠?qū)W(wǎng)絡(luò)酶信惠進(jìn)行實對簸控 搪獲 分褫 能夠完成牽豫 和轉(zhuǎn)移爨客酶攻激 可酸 從中了解到敵人的動機(jī)和入侵方法 策略 還能對網(wǎng)絡(luò)入侵進(jìn)行分折取證甚耀跟蹤黑 客 奩討論蜜網(wǎng)系統(tǒng)的基礎(chǔ)上 結(jié)合當(dāng)前流行的入侵檢測技術(shù) 設(shè)計并實現(xiàn)了一個基 予玨 溯麓 e 技術(shù)豹主動安全茨秘系統(tǒng) 裁蜜罐定義及蜜掰系統(tǒng)髂系結(jié)構(gòu) 謹(jǐn)纓闡述 了蜜網(wǎng)系統(tǒng)的三大核心技術(shù) 數(shù)據(jù)控制 數(shù)據(jù)捕獲 數(shù)據(jù)分析 介紹基于內(nèi)核層調(diào)用 的s e b e k 如囂擄獲入侵者加密信息 深入研究入侵檢測黎統(tǒng)S n o n 豹運行體焱結(jié)構(gòu)模 型及其同志數(shù)據(jù)庫關(guān)系結(jié)構(gòu) 并結(jié)合B a s e 實域安全基本分板引擎審計系統(tǒng) 調(diào)查研 究當(dāng)前無線網(wǎng)絡(luò)安全狀況及介紹無線網(wǎng)絡(luò)的認(rèn)證加密算法 同時利用H o n e y d 部署一 個虛舷無線蜜罐系統(tǒng) 通過深入分析部署蜜閼系統(tǒng)數(shù)鍛發(fā)現(xiàn)跟黥僵尸網(wǎng)絡(luò) 莉蔫 N 印e n m e s 深入分割析惡意軟件攻擊傳播詳細(xì)過程 避進(jìn)基予蜜瓣靛主動靜鱗安全系統(tǒng)豹磅究及功能囂試 霹戮蜜蠛貉繇無線瓣絡(luò)安 全的入侵 實驗表明 主動防御安全系統(tǒng)對分析僵尸網(wǎng)絡(luò)的控制機(jī)制及發(fā)現(xiàn)米知惡意 較磐搬囂穰翅知名戇瀑潺滋霉亍煲播其騫實翔徐壤 關(guān)鍵謠 主動藩鶴蜜瓣 蜜罐天侵羧測馕尸疆絡(luò) 華中科技大學(xué)碩士學(xué)位論文 A b s t r a c t I I l f o r n l a t i o ns e c u r i t yh a sb c c 咖eo n eo fm em 繃l yh e a t e dp r o b l e m si n 吐l ea r e ao f I n t e m e tr e s e 盯c h F a c i n gi n c 蚴i n g l yc o m p I c xi 曲m i o ne v e n t s p 船s i v ed e f 醯s ei sl l n a b l e t om e e tt h ec h a l l e n g e sp o s c db yt l l ec u r f e n tn e t w o r ks c c 謝t yi s s u e s A c t i v ed e f e 璐es y s t c m s o nt l l eb a s i so fh o n e y p o t sa r eg r a d u a l l yb e c o m i n gaf o c u si n 山e6 l c do fn e t w o r ks e c l m t y r e s e a r c h T h e t i v ed e f e n s et e c h n i q u e a sad a m i cd e f e I l 辯m e a s u r e i sa b l et 0m 豳r c a p t l l r e a l l da 1 1 a l y z em e o I l l i n ei n f o n a t i o ni nr e 出t i m e t oc o n t a i n 鋤d 協(xié)m s f e rt I l ea t t a c k s t oa n a l y z ct l l em o t i v a t i o n m e t h o d sa I l dt a c t i c so f h ca n a c k e r s t oc o l l e c tm ef o r e n s i c e d e n c eo f m ei I l t n d e r sa n de v e nt r a c kt 1 1 eh a d k e r s B ya n a l y z i n gm eh o n e y n c ts y s t c l an e wa c t i v ei n f o r I I l a t i o ns e c 謝t yd c f c n s es y s t e m c o m b i n i n g l ec u r r e n t l yp o p m a r I I n n l s i o nD e t e c t i o nt e c l u l i q u e s i s d e s i g n e d趾d i m p l e m e m c d T h ek e yt e c h n i q l l eo f m e a c t i V ed e f e n s es y s t e mi sm e h o n c y n e t 1 1 1a d d i t i o nt o d i s c u s s 血gt l l ec o n c 印to fh o n e y p o ta 1 1 dp r e s e n t i n gt h es y s t c m 砒i cs t r u c t u r eo fm eh o n e y n e t s y s t e m t h i st h e s i si 1 1 u s t r a t c si nd 咖i lt 1 1 et l l r e ec r i t i c a lt 洲q u e s f o rt 1 1 eh o n e y n e ts y s t e m d a f ac a p t u r e d a t ac o n 仃o la n dd a t a 刪y s i s i ta l s oi n 臼 d u c e sb o ws e b e k ak e m e lc a l l c a p t u r e st 1 1 ee n c r y p t c di n f o 蚰a t i o n 行o mt l l ei n t n l d e r s i tt l l e ni n V e s t 培a t c si nd e p mt l l e s t r u c t u 蹦m o d e lo fS n o n a 1 1o p e ns o u r c ei n t m s i o nd e t e c t i o ns y s t e m a I l di t sl o gd a t a b 器e u s e dt oi m p l 鋤e n t 髓a u d i 廿n gs y s t e mt o g e t l l e r i t hB A S E B a s i cA n a l y s i s 蚰ds e c l l r i 姆 E n g i n e T h ec u n 蜘ts 協(xié)t I l so f 幽eM r e l e s sn e t w o r k si ss u r v e y e d a n dm e r e l a t I da l g o r i t h m s f o ra u t h e n t i c a 廿o na 1 1 de n c r y p t i o na r ea l s oi n 打c d u c e d S u b s e q u e m l y aV i m l a lw i r e l e s s h o n e y p o ts y s t e m 謝mm eu s eo f H o n e y di sd e s i g n e da n dd 印l o y e d T h ea n m 協(xié)仇l s i o np r o t e c t i o nf o r 謝r e l e s sn e t w o r k si si I I l p l e m e m e dw i t h 也er e s e a r c h a n dn m c t i o n a lt e s to ft 1 1 ea c t i v ed e f b n s es y s t e m sb 船e do nh o n e y n e t s I ti ss h o w sb yt h e e X p e r i m e n t st h a tt h ea c t i v ed e f e n s es y s t 鼬i sv a l l l a b l ei na I l a l y z i n gm em e c h a n i s mo f n 帆r kz o m b i e sa n dd i s c o v e f i n gh o w1 1 1 蚰o w nm a l i c i o u ss o f t w a r ei sd i s 打i b u t e db y e x p l o i t i n gt h ek n o w n v u l n e r a b i l i t i e s K e yW o r d s A c t i V eD e f 宅n S e H o n e y l l e tH o n e y p o t I n t m s j o nD e t e c o nB o t n e t l l 華中科技大學(xué)碩士學(xué)位論文 1 1 研究背景及意義 重緒論 涎著兩絳囂益廣泛酶使麓 漣之覆來豹僚意安全閥蘧霜焱嚴(yán)重 遙過霹絡(luò)犯罪露 對各個方面所造成的危害也曰益嚴(yán)重 網(wǎng)絡(luò)安全己經(jīng)成為當(dāng)今最為關(guān)心和麟手的問 題 跌大的方蘧來說 閼絡(luò)安全靖題穗經(jīng)威脅到國家的政治 經(jīng)濟(jì) 軍事 文化 意 識形態(tài)等諸多領(lǐng)域 近十幾年以來 網(wǎng)絡(luò)上的各秘安全性問題越來越多 也越來越嚴(yán) 重 對5 0 個豳家的抽樣調(diào)查結(jié)果顯示 2 0 0 0 年有7 3 的單位受到各種各樣形式的入 侵 蕊在1 9 9 6 年 這個數(shù)字還是4 2 l l 璦在氆賽上每年戮裂用詩舞規(guī)鼴終進(jìn)行犯 罪所造成的直接經(jīng)濟(jì)損失之大令人咂褥 據(jù)有關(guān)方面統(tǒng)計 目前美國每年由于網(wǎng)絡(luò)安 全蠲簇孬遭受戇經(jīng)濟(jì)綴失超逮1 7 e 億美元 德國 英潮遣均焱數(shù)卡釔美元隘上 法囂 為1 0 0 億法郎 日本 新加坡問題也很嚴(yán)重見在國際刑法界列舉的現(xiàn)代社會新型犯 罪辯行榜上 計算氍漉囂也懣名歹g 耪蘺 頗對網(wǎng)絡(luò)嶷全種種威脅 對于研究工作者來說 廁臨最大的問題及挑戰(zhàn)之一就是 缺乏辯入侵者的了解 研究者需要了解攻擊者 要了解存在韻威脅并保護(hù)網(wǎng)絡(luò)資源 我們囂要了解敵人 了解是讖雁在攻擊 攻擊的目的蹩竹么 攻擊者楚如何進(jìn)行攻擊 攻擊者使用什么方法及工具攻擊 以及攻擊者何時進(jìn)行攻擊等 要戰(zhàn)勝敵人 就要做 到知藏知鍍一了解躲螅酸人 要想鴦效建拄毒詩簍颯犯罪 受簿蟪保護(hù)資源 不僅僅 要了解黑客的攻擊技術(shù)和方法 還要深入了解黑客的攻擊策略和動機(jī) 敵暗我明 攻 擊者與薅磐髯之溺在遴李亍蓑一場j 囂稱麓薅羚 特爰麓蓿塞上靜不霹稱 玫蠢者可戮 利用摑描 探測等一系列技術(shù)手段全面獲取攻擊目標(biāo)的信息 而防御糟對他所受到的 安全簸脅一無掰知 幫使在被玻貉后還穰難了解攻擊者盼來源 攻毒方法和攻衡弱標(biāo) 因而在對抗中我們必須采取主動防御 由于攻海者是 個非常好斗的群體 設(shè)置陷阱 很容翳讓他稍自授羅網(wǎng) 然磁再利用相應(yīng)的技術(shù)監(jiān)視并記錄攻擊者的所有活動 安全 人員研以從黑褰的具體行為中分輯他們所使用的工具 方法秘手段 磷究地嬲的攻壺 策略 動機(jī) 了解他們?nèi)肭忠粋€系統(tǒng)聰做些什么及進(jìn)行入侵追蹤取證等 世界頭號黑 華中科技大學(xué)碩士學(xué)位論文 客米特尼克就是中了安全專家下村努在服務(wù)器中設(shè)計的蜜罐陷阱而遭追蹤被捕入獄 3 傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)對于網(wǎng)絡(luò)攻擊 廣泛使用的安全防護(hù)手段如防火墻 入侵檢 測系統(tǒng)等被動防御手段 面對日益復(fù)雜和千變?nèi)f化的攻擊事件來說 這些被動防御技 術(shù)逐漸變得力不從心 因此 一種新型的主動防御技術(shù)一蜜罐及蜜網(wǎng)技術(shù) 逐漸成為 網(wǎng)絡(luò)安全技術(shù)研究方面的熱點 主動防御是指在動態(tài)過程中 直接對網(wǎng)絡(luò)信息進(jìn)行監(jiān) 控 能夠完成牽制和轉(zhuǎn)移黑客的攻擊 對黑客入侵方法進(jìn)行技術(shù)分析 對網(wǎng)絡(luò)入侵進(jìn) 行取證甚至對入侵都進(jìn)行跟蹤 本文在討論蜜網(wǎng)系統(tǒng)的基礎(chǔ)上 結(jié)合當(dāng)前流行的入侵檢測技術(shù) 研究并實現(xiàn)了一 個基于H o n e e t 技術(shù)的主動安全防御系統(tǒng) 通過部置一些作為誘餌的主機(jī) 網(wǎng)絡(luò)服 務(wù)以及信息誘使攻擊者對他們進(jìn)行攻擊 減少對實際系統(tǒng)所造成的安全威脅 更重要 的是蜜罐及蜜網(wǎng)技術(shù)可以對攻擊行為進(jìn)行監(jiān)控和分析 了解攻擊者所使用的攻擊工具 和攻擊方法 推測攻擊者的意圖和動機(jī) 從而能夠讓防御者清晰地了解他們所面對的 安全威脅 本主動防御安全系統(tǒng)提供了高效收集數(shù)據(jù)的能力和極低的誤報漏報率 雖 然收集的資料很少 但資料都具有很高的價值 本文研究的實時安全基本分析引擎審 計系統(tǒng) 本系統(tǒng)是分布式協(xié)同入侵檢測的控制中心 基于友好中文管理界面 實現(xiàn)實 時入侵警告 分類查詢生成各種中文圖形報表 構(gòu)建無線蜜罐主動安全防御系統(tǒng)可以 及早發(fā)現(xiàn)無線網(wǎng)絡(luò)中的安全死角 保護(hù)無線網(wǎng)絡(luò)不受惡意的入侵 實驗測試表明 主 動防御安全系統(tǒng)對分析僵尸網(wǎng)絡(luò)的控制機(jī)制及發(fā)現(xiàn)未知惡意軟件如何利用知名的漏 洞進(jìn)行傳播具有實用價值 網(wǎng)絡(luò)安全遵循 木桶原理 即一個木桶的容積決定于組成它的最短的一塊木板 一個系統(tǒng)的安全強度等于它最薄弱環(huán)節(jié)的安全強度 通過蜜網(wǎng)構(gòu)建主動防御安全體系 能形成立體的防御堡壘 解決網(wǎng)絡(luò)安全中最短的那根木條 1 2 研究現(xiàn)狀 蜜罐和蜜網(wǎng)是實現(xiàn)主動防御安全系系統(tǒng)的關(guān)鍵技術(shù) 蜜罐的思想最早出現(xiàn)在九十 年代初期 由網(wǎng)絡(luò)管理員所應(yīng)用 通過欺騙黑客達(dá)到追蹤的目的 1 9 9 8 年著名計算 華中科技大學(xué)碩士學(xué)位論文 極安全專家F D c dC o h e n 發(fā)霉了著名豹蜜罐工其D 強 款驤工具包 并予2 1 年在 理論層次上給出了信息對抗領(lǐng)域欺騙技術(shù)的框聚和模型 dc o h e n 的研究工作也為 蜜罐技術(shù)奠定了理論基礎(chǔ)1 4 蜜罐技術(shù) H o n e y p o t 是 個故意設(shè)計為有缺陷的系繞 一種欺騙入侵者黻達(dá)到采 集黑客攻擊方法和保護(hù)真安生機(jī)目標(biāo)的誘騙技術(shù) 蜜瓣技術(shù)f H o n e y n e t 簧 j 怒由蜜疆技術(shù)逐多笈袋過來翡 毽與傳統(tǒng)蜜疆技術(shù)豹差吳 在于 辮網(wǎng)構(gòu)成了 個黑客誘捕網(wǎng)絡(luò)體系架構(gòu) 在這個架構(gòu)中 我們可以包禽 個或 多令蜜滾 強囂鑲涯了弼終瓣褻度霹靛蛙 鼓及提撰多秘工具驤方僵辯玫毒攘怠靛采 集和分析 射 曩藤在蜜贈按濃上最為活躍的是 蜜網(wǎng)頊鞲綴 蜜潮項強緞 是一個l 贏裂性 的研究組織 其皤標(biāo)為學(xué)習(xí)黑客社團(tuán)所使用的工具 戰(zhàn)術(shù)和動機(jī) 并將這些學(xué)習(xí)到的 信息共棗給安全辨護(hù)人員 匏鱭 蜜兩項舀組 還倡議成立了 褒闕研究聯(lián)箍 H o n e y n e tR e s e a r c h A l l i a n c e 以促進(jìn)蜜網(wǎng)技術(shù)的發(fā)展及成果共享 國內(nèi)l E 京大肇計算輥舔究所信息愛全研究中心靜蜜網(wǎng)辯究頊露 狩猿女害牽 頊曩 也于2 0 0 5 年2 月成功加入世界 蜜網(wǎng)研究聯(lián)盟 成為國內(nèi)第一個加入蜜網(wǎng)研究聯(lián)盟 戇臻究鯔軟 1 3 本文的內(nèi)容結(jié)構(gòu)及主要研究內(nèi)容 本文第一章緒論 第二章詳細(xì)論述基于蜜網(wǎng)的主動防御安全系統(tǒng)結(jié)構(gòu) 第三章深 入對主動防獺安全系統(tǒng)結(jié)毒奄模型研究 第四章怒一個主動主動轉(zhuǎn)鐲安全系統(tǒng)實現(xiàn)及測 試分析 第五章工作總結(jié) 對現(xiàn)在蜜網(wǎng)系統(tǒng)理論進(jìn)行系統(tǒng)的分析研究 部署 個智能 型主動入侵防御系統(tǒng) 完成相應(yīng)系統(tǒng)的設(shè)計及功能測試 本文主要研究的內(nèi)容 1 蜜罐體系結(jié)構(gòu)研究 2 磺究最新的蜜罐每賽瓣技術(shù)發(fā)震 實鬻部署和維護(hù)蜜霹 并對蜜穗穗獲的黑 客攻擊及垃圾郵件 間諜軟件進(jìn)行深入分析 增進(jìn)對蜜罐與蜜網(wǎng)技術(shù)的理解 了解互 1 華中科技大學(xué)碩士學(xué)位論文 聯(lián)網(wǎng)最掰的安全藏脅 針對蜜網(wǎng)的三大孩心功熊之一的數(shù)提分輯 磺究蜜網(wǎng)玫毒數(shù)據(jù) 統(tǒng)計分析及關(guān)聯(lián)分析技術(shù) 3 深入剖析入侵檢測s n o r t 的原理 并結(jié)合B a 實現(xiàn)分布式安全基本分析引擎 審詩系統(tǒng) 4 組建基于光線蜜網(wǎng)的主動防御安全系統(tǒng)及利用蜜剛進(jìn)行取誕分析 5 蜜霸系統(tǒng)瓣葫鍵測試及性藐測試 4 華中科技大學(xué)碩士學(xué)位論文 2 主動防御安全系統(tǒng)結(jié)構(gòu) 本章介紹主動防御安全系統(tǒng)結(jié)構(gòu) 蜜罐及蜜網(wǎng)系統(tǒng)是主動防御安全系統(tǒng)關(guān)鍵技 術(shù) 主要是蜜罐的定義 分類及對比 蜜網(wǎng)的核心技術(shù)體系以及部署蜜罐及蜜網(wǎng)所帶 來的風(fēng)險 2 1 蜜罐系統(tǒng) 2 1 1 蜜罐系統(tǒng)定義 蜜罐 H o n e y p o t 這個詞最早出現(xiàn)在1 9 9 0 年著名黑客傳記小說 杜鵑蛋 中 書中 描述主人公利用蜜罐誘騙追蹤黑客 6 蜜罐是一個包含漏洞的系統(tǒng) 通過模擬一個或 多個易攻擊的主機(jī) 給黑客提供一個容易攻擊的目標(biāo) 蜜罐另一個用途是拖廷攻擊者 對真正目標(biāo)的攻擊 讓攻擊者在蜜罐上浪費時間 最初的攻擊目標(biāo)受到保護(hù) 真正有 價值的內(nèi)容將不受侵犯 蜜罐的最初目的之一是為起訴惡意黑客搜集證據(jù) 這就是 誘 捕 系統(tǒng) 蜜網(wǎng)項目組 T h eH o n e c tP r o j e c t 的創(chuàng)始人L a m eS p i t z l l e r 給出了對蜜罐 的權(quán)威定義 蜜罐是一種安全資源 其價值在于被掃描 攻擊或攻陷 這就意味著蜜 罐是用來被探測 被攻擊甚至最后被攻陷的 蜜罐不會修補任何東西 這樣就為使用 者提供額外 有價值的信息 蜜罐不會直接提高計算機(jī)網(wǎng)絡(luò)安全 相反還存在一定的 安全風(fēng)險 但它卻是其它安全策略所不可代替的一種主動防御技術(shù) 7 1 2 1 2 蜜罐技術(shù)的發(fā)展歷程 1 蜜罐技術(shù)的發(fā)展歷程可以分為以下三個階段 從九十年代初蜜罐概念的提出直到1 9 9 8 年左右 蜜罐 還僅僅限于一種思想 通常由網(wǎng)絡(luò)管理人員應(yīng)用 通過欺騙黑客達(dá)到追蹤的目的 這一階段的蜜罐實質(zhì)上 是一些真正被黑客所攻擊的主機(jī)和系統(tǒng) 從1 9 9 8 年開始 蜜罐技術(shù)開始吸引了一些安全研究人員的注意 并開發(fā)出一些 華中科技大學(xué)碩士學(xué)位論文 專門用于欺騙黑客的開源工具 如F r c dC o h 所開發(fā)的D T K 欺騙工具包 N i e l s P r o v o s 開發(fā)的H o n e y d 等 同時也出現(xiàn)了像K F s e n s o r s p e c t e r 等一些商業(yè)蜜罐產(chǎn)品 這一階段的蜜罐可以稱為是虛擬蜜罐 即開發(fā)的這些蜜罐工具能夠模擬成虛擬的操作 系統(tǒng)和網(wǎng)絡(luò)服務(wù) 并對黑客的攻擊行為做出回應(yīng) 從而欺騙黑客 虛擬蜜罐工具的出現(xiàn)也使得部署蜜罐也變得比較方便 但是由于虛擬蜜罐工具存 在著交互程度低 較容易被黑客識別等問題 從2 0 0 0 年之后 安全研究人員更傾向 于使用真實的主機(jī) 操作系統(tǒng)和應(yīng)用程序搭建蜜罐 但與之前不同的是 融入了更強 大的數(shù)據(jù)捕獲 數(shù)據(jù)分析和數(shù)據(jù)控制的工具 并且將蜜罐納入到一個完整的蜜網(wǎng)體系 中 使得研究人員能夠更方便地追蹤侵入到蜜網(wǎng)中的黑客并對他們的攻擊行為進(jìn)行分 析 引 蜜罐可以按照其部署目的分為產(chǎn)品型蜜罐和研究型蜜罐兩類 產(chǎn)品型蜜罐的目的在于為一個組織的網(wǎng)絡(luò)提供安全保護(hù) 包括檢測攻擊 防止攻 擊造成破壞及幫助管理員對攻擊做出及時正確的響應(yīng)等功能 一般產(chǎn)品型蜜罐較容易 部署 而且不需要管理員投入大量的工作 較具代表性的產(chǎn)品型蜜罐包括D T K h o n e v d 等開源工具和K F S e n s o r M a n l h q 等一系列的商業(yè)產(chǎn)品 研究型蜜罐則是專門用于對黑客攻擊的捕獲和分析 通過部署研究型蜜罐 對黑 客攻擊進(jìn)行追蹤和分析 能夠捕獲黑客的鍵擊記錄 了解到黑客所使用的攻擊工具及 攻擊方法 甚至能夠監(jiān)聽到黑客之問的交談 從而掌握他們的心理狀態(tài)等信息 研究 型蜜罐需要研究人員投入大量的時間和精力進(jìn)行攻擊監(jiān)視和分析工作 具有代表性的 工具是 蜜網(wǎng)研究聯(lián)盟 所推出的第二代蜜網(wǎng)技術(shù) 9 l o 蜜罐還可以按照其交互度的等級劃分為低交互蜜罐和高交互蜜罐 交互度反應(yīng)了 黑客在蜜罐上進(jìn)行攻擊活動的自由度 低交互蜜罐一般僅僅模擬操作系統(tǒng)和網(wǎng)絡(luò)服 務(wù) 較容易部署且風(fēng)險較小 但黑客在低交互蜜罐中能夠進(jìn)行的攻擊活動較為有限 因此通過低交互蜜罐能夠收集的信息也比較有限 同時由于低交互蜜罐通常是模擬的 虛擬蜜罐 或多或少存在著一些容易被黑客所識別的指紋 F i n g e I p r i n t i I l g 信息 產(chǎn) 品型蜜罐一般屬于低交互蜜罐 高交互蜜罐則完全提供真實的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù) 沒有任何的模擬 從黑客角度上看 高交互蜜罐完全是其垂涎已久的 活靶子 因 6 華中科技大學(xué)碩士學(xué)位論文 此在高交互蜜罐中 我們能夠獲得許多黑客攻擊的信息 高交互蜜罐在提升黑客活動 自由度的同時 自然地加大了部署和維護(hù)的復(fù)雜度及風(fēng)險 研究型蜜罐一般都屬于高 交互蜜罐 也有部分蜜罐產(chǎn)品 如賽鐵門公司的M a n l h p 屬于高交互蜜罐 2 蜜罐系統(tǒng)的對比 對于真實或是虛擬h o n e y p o t 的選擇方面 我們需要考慮的是風(fēng)險和回報 虛擬 h o n c y p o t 比較廉價 但也有一定安全風(fēng)險 它在抓住黑客方面做得沒有真實的h o n e y p o t 好 另一方面 雖然真實的h o n e y p o t 在入侵檢測方面比虛擬h o n e y p o t 好很多 但最 頂級的黑客有可能利用真實的h o n e y p o t 入侵控制你的網(wǎng)絡(luò) 虛擬h o n e y p o t 的優(yōu)勢 虛擬h o n e y p o t 是一個仿真程序 比如虛擬h o n c y p o t 一般可以仿真F T P 服務(wù)器 并監(jiān)視所有的T c P 和u D P 端口并記錄所有端口的活動情況 當(dāng)黑客發(fā)現(xiàn)這個虛假的 他本人不知道 F T P 時 就會試圖開啟一個F T P 對話 這時虛擬F T P 服務(wù)器 虛 擬h o n c y p o t 就會記錄下這個黑客的所有活動 比如h o n e y p o t 會記錄下哪個端口被使 用 采用何種認(rèn)證機(jī)制等 而虛擬F T P 服務(wù)器會和真正的F T P 服務(wù)器一樣對黑客的 行為作出響應(yīng) 更好的是 由于這是個虛擬的F T P 服務(wù)器 它沒有真正的操作系統(tǒng) 因此就算黑客攻入了F T P 也不會進(jìn)一步控制你網(wǎng)絡(luò)中的其它電腦 理論上說 這個 方法相當(dāng)好 它使用起來相當(dāng)安全 并且可以捕獲大量的有用信息 比如 如果獲取 了黑客登錄時的憑證 你就可以查出到底是哪個帳戶被攻擊了 這樣就可以作出相應(yīng) 的補救動作 這些就是它的全部優(yōu)勢 虛擬h o n e y p o t 的劣勢 對于虛擬h o n e y p o t 來說 有兩點最主要的不足 首先 它只能愚弄那些初級黑客 你要記住 虛擬h o n e y p o t 并沒有一個真正的操作系統(tǒng)支撐 有的解決方案中內(nèi)嵌了簡 單的w i n d o w s 或L i n u 因此有經(jīng)驗的黑客會發(fā)現(xiàn)很多命令在這臺主機(jī)中不起作用 這會使他立即知道自己進(jìn)入的只是一臺h o n e y p o t 而不是真j F 的服務(wù)器 虛擬h o n e y p o t 的另一個不足是它記錄的信息種類有限 比如一個虛擬h o n e y p o t 偽裝成F T P 服務(wù)器 那么它就只能獲取和F T P 相關(guān)的信息 當(dāng)然 大部分虛擬h o n e y p o t 還可以獲取端口掃描和其它一些基本的攻擊信息 然而 如果一個黑客利用I P v 6 端 華中科技大學(xué)碩士學(xué)位論文 口發(fā)送加密的信息又會如何呢 由于虛擬h o n e y p o t 功能有限 它無法記錄這類的問 題 簡單說 虛擬h o n e y p o t 可以檢測并記錄已知的攻擊種類 但對于新型的攻擊卻沒 什么用處 真實h o n e y p o t 的優(yōu)勢 一個真正的h o n e y p o t 是一個或多個真實的系統(tǒng)組成的誘餌系統(tǒng) 由于它是帶有 操作系統(tǒng)的真實系統(tǒng) 因此它對于黑客的操作響應(yīng)與網(wǎng)絡(luò)上其它主機(jī)完全一樣 這有 好處也有壞處 好處是 黑客幾乎不可能察覺到他們已經(jīng)進(jìn)入了一個陷阱 而不是真 正的實用網(wǎng)絡(luò) 實際上 唯一能讓黑客起疑心的現(xiàn)象就是那些不太完善的h o n e y p o t 網(wǎng)絡(luò)沒有采取任何正常的安全更新措旌 真實的h o n c y p o t 最大的優(yōu)點就在于入侵檢測能力 系統(tǒng)會假定任何發(fā)送到 h o n e y p o t 網(wǎng)絡(luò)的數(shù)據(jù)都是帶有惡意的 因此完全不用擔(dān)心黑客會采用什么新方法而不 被h o n e y p o t 捕獲 黑客的任何操作都會被真實的h o n c y p o t 記錄下來 真實h o n e y p o t 的劣勢 真實的h o n e y p o t 也有不足 它有可能被高級黑客征服而變?yōu)檫M(jìn)攻你的正常網(wǎng)絡(luò)的 跳板 為了防止這種情況 你需要在h o n e y p o t 網(wǎng)絡(luò)與正常網(wǎng)絡(luò)問架設(shè)防火墻 以阻擋 二者間的任何數(shù)據(jù)通信 更復(fù)雜的L i n I l h o n e y p o t 帶有防止黑客入侵正常躕絡(luò)的功能 而對于w i n d o w s 上的h o n e y p o t 目前還沒有類似的功制10 1 2 2 蜜網(wǎng)系統(tǒng) 蜜網(wǎng)技術(shù)是由蜜網(wǎng)項目組 T h e o n e y n e tP r o j e c t 提出并倡導(dǎo)的一種對攻擊行為進(jìn) 行捕獲和分析的新技術(shù) 蜜網(wǎng)技術(shù)實質(zhì)上仍是一種蜜罐技術(shù) 但它與傳統(tǒng)的蜜罐技術(shù) 相比具有兩大優(yōu)勢 首先 蜜網(wǎng)是一種高交互型的用來獲取廣泛的安全威脅信息的蜜 罐 高交互意味著蜜網(wǎng)是用真實的系統(tǒng) 應(yīng)用程序以及服務(wù)來與攻擊者進(jìn)行交互 而 與之相對的是傳統(tǒng)的低交互型蜜罐 例如D 1 K 和H o n c y d 它們僅提供了模擬的網(wǎng)絡(luò) 服務(wù) 其次 蜜網(wǎng)是由多個蜜罐以及防火墻 入侵防御系統(tǒng) 系統(tǒng)行為記錄 自動報 警 輔助分析等一系列系統(tǒng)和工具所組成的一整套體系結(jié)構(gòu) 這種體系結(jié)構(gòu)創(chuàng)建了一 個高度可控的網(wǎng)絡(luò) 使得安全研究人員可以控制和監(jiān)視其中的所有攻擊活動 從而去 華中科技大學(xué)碩士學(xué)位論文 了解攻擊者的攻擊工具 方法和動機(jī) H o n c y n d 是一個網(wǎng)絡(luò)系統(tǒng) 而并非某臺單一主機(jī) 這一網(wǎng)絡(luò)系統(tǒng)是隱藏在防火 墻后面 所有進(jìn)出的數(shù)據(jù)都受到監(jiān)控 捕獲及控制 我們可以使用各種不同的作業(yè)系 統(tǒng)及設(shè)備 如s o l a r i s L i n u x 晰n d o w sN T c i s c os 誠t c h 等等 這樣建立的網(wǎng)絡(luò)環(huán)境看 上去會更加真實可信 同時我們還有不同的系統(tǒng)平臺上面運行著不同的服務(wù) 比如 L i n l l 的D N Ss e e r W i n d o w sN T 的w e b s e r v e r 或者一個S o l 甜i s 的F T Ps e r v e r 構(gòu) 建一個無線A P 等 我們可以學(xué)習(xí)不同的工具以及不同的策略一或許某些入侵者僅僅 把目標(biāo)定於幾個特定的系統(tǒng)漏洞上 而我們這種多樣化的系統(tǒng) 就可能更多了揭示出 他們的一些特性 蜜網(wǎng)的價值 從傳統(tǒng)意義上來說 信息安全一直都是防御性的 防火墻 入侵檢測系統(tǒng) 加密 所有這些機(jī)制都是用來對自己的資源進(jìn)行防御性保護(hù)的 這里的策略就是盡可能好地 保護(hù)自己的組織 在防御中檢測出失誤 然后對失誤進(jìn)行回?fù)?這種方法的問題在于 這純屬被動的防御 而敵方處于進(jìn)攻地位 H o n e y n e t 試圖扭轉(zhuǎn)這種局面 賦予組織以 主動權(quán) 其主要目的在于搜集敵方的情報 這樣 組織就有可能將一場攻擊或者防御 中的失誤扼殺在萌芽狀念 人們常常會把信息安全和軍事進(jìn)行比較 安全研究者對敵 人了解得更多 就更有主動權(quán) 2 2 1 蜜網(wǎng)的體系結(jié)構(gòu) 蜜網(wǎng)是由多個蜜罐組成的 圖2 1 給出目前我們部署的蜜網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 在蜜網(wǎng)中 部署了分別安裝R e d H a t L i n u x F e d o r a3 W i n d o w s 2 0 0 3 w i n d o s x P 系統(tǒng)3 臺物理蜜罐 另外通過V m 黼 H o n e y d 等虛擬蜜罐工具模擬了多臺虛擬蜜罐 主機(jī) 蜜網(wǎng)網(wǎng)關(guān) H o n e y w a l l 是基于蜜網(wǎng)項目組最新的第三代蜜網(wǎng)技術(shù)一R o o c D R O M 構(gòu)建 以橋接方式對全部的網(wǎng)絡(luò)流量進(jìn)行捕獲和控制 并提供w a l l e y e 數(shù) 據(jù)分析界面 H o n e y a l l 的管理接口連接一臺控制機(jī) 供操作員對蜜網(wǎng)進(jìn)行維護(hù)和 攻擊案例分析 9 華中科技大學(xué)碩士學(xué)位論文 自 翻2 蜜孵糕矜閏 彳壬何H o n e y n e t 重要的因素是網(wǎng)哭一用于搬H o n e y l l e t 從外部世界隔離開來 網(wǎng)關(guān) 作靂類戳墻 實際上我稍程 婦e y n e t s 孛把網(wǎng)芙稱羹 黼e y w a l l 獲有遺蠢H n e y 矗e t 的通依必須通過這個H o n e y w a l l 這熊實就變成你的H o n e y n e t 命令和控制中心 所有 毒率奇翁寒囂都蠢 這里發(fā)生 麩銎2 一l 唾 看到部鬈秘 差 e 弦娃俸系蘩搦 在這令壤子孛 部署的網(wǎng)關(guān)是一個兩層的網(wǎng)橋 當(dāng)然也可以便用一個三滕的路由網(wǎng)關(guān) 不過最好還是 搜弱鄹援 毽我這會鑊這個翅關(guān)斃較難檢測出袋 在拓羚霪中 部署的玨 惻n e t 在 內(nèi)部l O 1 5 5 9 6 0 2 2 網(wǎng)絡(luò)中進(jìn)行配鬣 在以前 多數(shù)H o n c y n e t S 一般傳統(tǒng)的配邋在外網(wǎng) 或邊界網(wǎng)絡(luò)上 通過搜用第二層的嬲關(guān) H o n e y n e t s 現(xiàn)在就可以蒙我們這樣嶷威在內(nèi) 部網(wǎng)絡(luò)中 這允許我們能躐蹤和了解外部網(wǎng)絡(luò)的威脅 也可戳知曉潛在的內(nèi)部安全閽 題 1 0 華中科技大學(xué)碩士學(xué)位論文 H o n e y w a l l 把產(chǎn)品系統(tǒng)從引誘目標(biāo)的H o n e y n c t 網(wǎng)絡(luò)中隔離開來 我們網(wǎng)關(guān) e m 0 的外部接口連接真正工作系統(tǒng)網(wǎng)絡(luò) e t l l l 網(wǎng)關(guān)的外部接口連接H 0 n e y n c t 系統(tǒng)網(wǎng)絡(luò) 由于這是個網(wǎng)橋 因此外部和內(nèi)部系統(tǒng)在同一個I P 網(wǎng)絡(luò)中 我們也可以擁有第三個 接口 礎(chǔ)2 這個接口我們可以用于遠(yuǎn)程管理網(wǎng)關(guān) 包括移動任何日志或在集中點捕 獲任何數(shù)據(jù) 外部和內(nèi)部接口由于在網(wǎng)橋模式下 因此它們不需要指定任何I P 地址 但是第三個接口 e m 2 必須有一個指定的I P 棧 如指定一個I p 地址為l O 1 0 1 0 6 6 不 過這個網(wǎng)絡(luò)必須獨立的 安全的網(wǎng)絡(luò) 以便安全的進(jìn)行管理 這個結(jié)構(gòu)的好處是網(wǎng)關(guān) 由于沒有路由跳 沒有T T L 遞減 沒有任何M A c 地址關(guān)聯(lián)網(wǎng)關(guān)而比較難被探測 所 有通過的數(shù)據(jù)都是透明的 我們也可以在單一網(wǎng)關(guān)上通過結(jié)合數(shù)據(jù)控制和數(shù)據(jù)捕獲簡 單的進(jìn)行H o n e y n n 配置 下一步是我們來構(gòu)建網(wǎng)關(guān)來支持這個結(jié)構(gòu) 我們使用最小 化 安全加固的L i n u 系統(tǒng)作為網(wǎng)關(guān) 這個L i n l l 系統(tǒng)必須是一個可信任系統(tǒng)是尤為 重要的 必須保證攻擊者不能訪問我們的網(wǎng)關(guān) 2 2 2 部署蜜網(wǎng)的三大核心技術(shù) 數(shù)據(jù)控制 數(shù)據(jù)捕獲和數(shù)據(jù)分析 1 數(shù)據(jù)控制 數(shù)據(jù)控制的目的是防止攻擊者使用H o n e y n e t 攻擊或破壞非H o n c e t 系統(tǒng) 數(shù)據(jù) 控制可減低威脅程度 但不能完全消除此帶來的威脅 對于數(shù)據(jù)控制 你必須回答一 個問題是你必須控制多少外出的活動通信 你允許攻擊者操作的行為越多 你就能了 解的更多 但是 這也會造成潛在的威脅和破壞會更多 因此你必須允許攻擊者的操 作不能傷及其他人 但又不能使自己學(xué)到的內(nèi)容很少 允許攻擊者能擁有多少的活動 范圍依據(jù)你能承受多少的威脅程度 為了使H o n e y n c t 更具挑戰(zhàn)性 我們必須使攻擊 者不知情的情況下牽制攻擊者 要完成這個任務(wù) 我們必須實現(xiàn)兩個技術(shù) 連接計數(shù) 和N I P s 連接計數(shù)是H o n e y T l e t 初始化時我們限制多少外出的連接 N I P s 網(wǎng)絡(luò)入侵防 止系統(tǒng) 可以阻擋 或關(guān)閉 已知攻擊 組合這兩種技術(shù)可建立一個冗余的可伸展性的數(shù) 據(jù)控制機(jī)制 我們會在第二層網(wǎng)關(guān)實現(xiàn)這兩種技術(shù) 我們在網(wǎng)關(guān)上實現(xiàn)數(shù)據(jù)控制是 由于這地方是所有外出和進(jìn)入數(shù)據(jù)通信的總通道 是攻擊者操作行為的要點 圖2 2 圖是蜜網(wǎng)網(wǎng)關(guān)H o n e y w i l l 數(shù)據(jù)控制機(jī)理圖 1 2 華中科技大學(xué)碩士學(xué)位論文 圖2 2 數(shù)據(jù)控翻視璦圈 在數(shù)據(jù)控制中我稍主要使耀 髓b l e 實現(xiàn)連接限糊 我釣限糊玫毒者霉戳扶 h o n e y p o t 發(fā)起的矯出連接 這垂的目的蔫對外島連接迸行計數(shù) 當(dāng)部分計數(shù)限制連接 被檢查到后 就會函擋之后更多的通信 遮最主要的是能降低攻擊者利用h o n c y l l e t 進(jìn)行過多的掃描濫用或進(jìn)行拒絕服務(wù)攻擊等許多需要外出連接的通信 我們通道 r c n r e w a l l 腳本進(jìn)行鸚已置和實現(xiàn) 使用I P T a b l e 來進(jìn)行限制 在這個腳本中 可以設(shè)鼢 攻擊者可以初始化多少T c P u D P I c M P 或者其他外出連接 當(dāng)然允許多少外出 連接取決于依能接受的威脅娛魔 限制從h o n e y n e t 外如連接的限制可以防止攻擊卷 扶玨o n 螻n 或進(jìn)行掃搓殘對其他系絞進(jìn)褥大范里豹攻壹 或者遴萼亍撼縫服務(wù)攻毒 當(dāng) 對辨出秘始訖進(jìn)行連接蕊會很大程度上降 爰破壞靜稷度 毽是 登緩滇疆認(rèn)識到戇楚 這也可黻戒淹一個h o n e y n e t 的特征 一個攻擊者可敬透過襁始能多個舞滋連接連翔糖 是否是一個H o n e e t r c f i r e w a I l 腳本中的連接限制如下所示 注意變登 稚磷R 楚 任意I P 協(xié)議 而不是T C P U D P 或者l C M p 如I P s e c 1 P v 6t 吼n e l i l l g N e t w o r k i c e p r o t o c l 等1 除了使用I P t a b l e 的r c 觸w a l l 腳本實現(xiàn)連接限制 同時還可以通過s n o ni n l i n e 實現(xiàn)N I p s N l P s 的盡的是諺 別 和阻擋已知的攻擊 它通過查纛每個通過網(wǎng)關(guān)的包實現(xiàn) 華中科技大學(xué)碩士學(xué)位論文 如果某個包匹配某個I D s 規(guī)則 不僅會生成警告 如傳統(tǒng)的I D S 也可以是包丟棄 阻擋攻擊 或者進(jìn)行修改 取消攻擊行為 個N I P s 好處是我們可以動態(tài)的減低外 出攻擊行為的成功率 此N I P s 不好的一點就是只能檢測已知的攻擊 為了配置好目標(biāo) 我們需要安裝丟棄規(guī)則庫和 e t 蚰o n i n l i n e 中的 s n o ni I l l i n e c o l l f 配置文件 我們可使用與 e t c 如o r t 獨立的目錄以更好的區(qū)分 要運行 s n o ni n l i n e 我們必須使用s n o ni n l i n e 啟動腳本 這個腳本預(yù)配置了所有變量用于 s n o ni n l i n e 啟動和運行 2 數(shù)據(jù)捕獲 當(dāng)我們配置完數(shù)據(jù)控制后 就可以配置數(shù)據(jù)捕獲了 數(shù)據(jù)捕獲的目的是記錄攻 擊者所有的活動 這是H o n e e t 的最終目的 收集信息 沒有數(shù)據(jù)捕獲 H o n e y n e t 將沒有任何價值 數(shù)據(jù)捕獲的關(guān)鍵是在盡可能多層收集信息 沒有靠一層能獲得所 有信息 如需要人認(rèn)為我只要記錄攻擊者的所有擊鍵記錄就可以了 但是這往往不 是想象的這么簡單 當(dāng)攻擊者利用工具進(jìn)行操作時 如果不對工具的通信進(jìn)行捕獲 你怎么知道此工具具體在干什么操作昵 H o n e y n c t 項目組認(rèn)為如下三個方面是數(shù) 據(jù)捕獲重要的來源 防火墻日志 網(wǎng)絡(luò)通信及系統(tǒng)活動 以下將描述怎樣對這三方 面進(jìn)行實現(xiàn) 防火墻日志非常簡單 我們已經(jīng)完成這一步 通過r c f i r e w a l l 腳本的實現(xiàn) 我們 已經(jīng)可以在 v a r l o g m e s s a g e s 中記錄所有的進(jìn)入和外出的連接 這些信息非常重要 因為這是我們第一個指示信息能判斷攻擊者到底要做什么 當(dāng)攻擊者發(fā)起外出連接時 也是第一個警告的地方 基于以有的經(jīng)驗 防火墻R 志能很快的識別新或未知行為 腳本能識別四種不同的通信 T C P u D P I C M P 和o T l 皿3 R 就象數(shù)據(jù)控制中 O T H E R 代表任意非I P p r o t ol 6 或1 7 通信 當(dāng)某些人使用非標(biāo)準(zhǔn)I P 通信時 很可能是攻擊 者在嘗試新的攻擊或沒有公開的方法 1 3 第二個元素是捕獲每個出入H o n e e t 的包及包的負(fù)載 蚰o r ti n l i n e 進(jìn)程當(dāng)然可 以完全處理此任務(wù) 但是我們不想把所有雞蛋放到一個籃子里 相反的是我們配置和 運行另外一個進(jìn)程來捕獲所有這種活動 我們通過使用標(biāo)準(zhǔn)s n o r t c o n f 配置文件來完 成 這個配置文件捕獲所有I P 通信并生成t c p d 啪p 日志文件以便以后的進(jìn)一步分析 華中科技大學(xué)碩士學(xué)位論文 我們也需要每天交替捕獲的同志 這個可以通過s n o r t s h 啟動腳本來完成 注意這里 重要的是我們把啟動腳本綁定在內(nèi)部接e t l l l 上 如果錯誤的把它綁定在外部接口上 不僅會記錄H o n e y n e t 數(shù)據(jù) 也會記錄所有相關(guān)外部網(wǎng)絡(luò)的其他通信 這一定程度上 會混亂你捕獲的數(shù)據(jù) 通過內(nèi)部接口進(jìn)行捕獲 你就會僅僅獲得H o n e y n e t 上的你所 需要的通信 另外一個啟動腳本有利之處是標(biāo)準(zhǔn)化記錄數(shù)據(jù)的位置 如果你有多個 H o n e c t s 進(jìn)行日志記錄 這將會變的比較重要 第三方面是最其挑戰(zhàn)性 在蜜罐中攻擊者的所有活動 幾年前這工作非常簡單 因為遠(yuǎn)程交互全是通過明文協(xié)議如F T P H T T P 或T E L N E T 研究者只要嗅探連接 的擊鍵記錄 但是攻擊者采用了加密手段 現(xiàn)今攻擊者使用S S H 或3 D E S 通道對 入侵的計算機(jī)進(jìn)行通信 研究者就不能再直接從線上記錄擊鍵 而需要從系統(tǒng)自身 獲得 此系統(tǒng)有利的一點是多數(shù)加密是在系統(tǒng)末端進(jìn)行解密 如在我們的蜜罐上進(jìn) 行解密 如果我們從蜜罐上捕獲這些解密的數(shù)據(jù) 我們就可以繞過加密通信 S e b e k 就是設(shè)計用于此目的的工具 S e b e k 是一個可隱藏內(nèi)核模塊可記錄攻擊者的活動 一旦安裝在蜜罐上 S e b e k 客戶端運行在內(nèi)核上 通過S e b e k 收集的信息不存在在 攻擊者容易發(fā)現(xiàn)的蜜罐上 因為S e b e k 客戶端會通過U D P 傳送數(shù)據(jù)給竊聽的機(jī)器 如H o n e y w a U 網(wǎng)關(guān)或遠(yuǎn)程另外網(wǎng)絡(luò)中的系統(tǒng) 1 4 因此S e b e k 在蜜罐中是隱藏的 因此攻擊者不能知曉是否這些包被竊聽 而且如果攻擊者下載或使用他們自身的竊 聽工具 s e b e k 必須不能讓這些竊聽工具給記錄 這可以通過修改蜜罐使它不能嗅 探到任意預(yù)指定的端口號通信信息 s e b e k 然后簡單在通信上集取信息 由于所有 蜜罐由S e b e k 控制 沒有其他人可以竊取獲得線上通信的擊鍵 不過如果你的蜜罐 沒有安裝S e b e k 或者S e b e k 不正確配置 攻擊者控制了此系統(tǒng)后 他們可以竊聽 由于沒有隱藏并來自其他系統(tǒng)的s e b e k 包信息 要s e b e k 運行在內(nèi)核中 它必須以 特定o S 和內(nèi)核版本進(jìn)行編譯 1 S e b e k 結(jié)構(gòu) S e b e k 有兩個組成部分 客戶端和服務(wù)端 客戶端從蜜罐捕獲數(shù)據(jù)并且輸出到網(wǎng) 絡(luò)讓服務(wù)端收集 圖2 3 是S e b e k 的系統(tǒng)結(jié)構(gòu)圖 1 4 華中科技大學(xué)碩士學(xué)位論文 圖2 3s e b e k 體系結(jié)構(gòu)圖 2 客戶端數(shù)據(jù)捕獲 數(shù)據(jù)捕獲是由內(nèi)核模塊來完成的 我們使用這個模塊獲得蜜罐內(nèi)核空間的訪問 從而捕獲所有r c a d 的數(shù)據(jù) S e b e k 替換系統(tǒng)調(diào)用表的r e a d 函數(shù)來實現(xiàn)這個功能 這 個替換的新函數(shù)只是簡單的調(diào)用老r e a d 函數(shù) 并且把內(nèi)容拷貝到一個數(shù)據(jù)包緩存 然后加上一個頭 再把這個數(shù)據(jù)包發(fā)送到服務(wù)端 替換原來的函數(shù)就是改變系統(tǒng)調(diào)用 表的函數(shù)指針 圖2 4 改變r e a d 系統(tǒng)調(diào) j 的示意圖 華中科技大學(xué)碩士學(xué)位論文 口 當(dāng)搦戶空闖懿進(jìn)程調(diào)用括準(zhǔn)漿r e 嬲O 丞數(shù)的對候會產(chǎn)生一個系繞調(diào)用 這個調(diào)用 映射到系統(tǒng)調(diào)用袋數(shù)組的索弓I 偏移 因為s e b e k 把r c a d 索芍f 的函數(shù)指針修改指向到它 自己的瀨數(shù)實現(xiàn) 所以當(dāng)執(zhí)行到內(nèi)核的r e a d 實現(xiàn)時就會執(zhí)行S c b e k 修改后的r e a d 調(diào) 用 S e b e k 通過這個系統(tǒng)譎糟看至 所有訪聞的數(shù)據(jù) 我們西戳用同樣酶技術(shù)來修改我 們想要嫩視的任意系統(tǒng)調(diào)用 數(shù)攢在使蠲靛薅候一般都是解密麓 魄鱺裔動俸發(fā)生鶼辯侯 S S 王會話熬鴦鬟顯 示在s h e l l 上的數(shù)據(jù)肯定不是加密的 這個動作一般會產(chǎn)生一個系統(tǒng)調(diào)用 程內(nèi)核空 潤羧集數(shù)攆 我翻麓截獲這個系統(tǒng)調(diào)翔謗翹遘攜瓣密磊德述沒奏懿避貔鼗撂 遂過這 種方法就可以在加密環(huán)境捕獲擊鍵 文件傳輸 B 啪e y e 的口令等 3 磐戶端模塊隱藏 為了使S e b e k 模塊更加隱蔽 我們使用了一些如A d o r e 等基予L 粉v l 的r o o t l i t 的 技術(shù) 出予S e b e k 完全駐留在內(nèi)核空閾中 那么我們可以邋過安裝第二個c l e a n e f 模塊 來隱藏S e b e k 模塊 這個模塊把s e b k 從安裝模塊鏈表中刪除記錄 移除模塊有兩方 面的效果 首先 用戶將翳不見s e h k 被安裝了 第二 如果已經(jīng)安裝 用戶將無法 卸載S e b e k 模塊 安裝腳本s 棘i n s t a l l s h 靜 兩s t i n 岔 交薰翔采設(shè)置蔽 l 郡么藏禁正 了隱藏功能 辱 客戶壤數(shù)豢包輸爨 當(dāng)S e b e k 客戶端捕獲數(shù)據(jù) 那么它需要在入侵者沒有察覺的情7 兕下把數(shù)據(jù)發(fā)送到 羧務(wù)蠛 一般囔擻下蜜疆酆楚蠢置了一個蜀域弼蠹 如聚s e b 文只楚麓單使臻u D P 流來給服務(wù)端發(fā)送數(shù)據(jù) 入侵者只需監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)傳輸就可以判斷是否安裝了 s e b e k 不過s o b e k 還是使用U D P 來給服務(wù)端發(fā)送數(shù)據(jù) 惶是它修波內(nèi)核使用戶無法 看到遮魑數(shù)據(jù)包 包括其它主機(jī)發(fā)送的該類型使用相同醞置的數(shù)據(jù)包 麗且港s e b e k 把這些數(shù)據(jù)發(fā)送剎網(wǎng)絡(luò)的時候 系統(tǒng)也無法阻成這些數(shù)搬包的傳輸 魏榘一個屢城網(wǎng)上每個蜜罐安裝了s e b 蘸 它翻都不能發(fā)瑰經(jīng)俺S e b e k 數(shù)據(jù) 然 而服務(wù)端能夠完全訪問這黢幽客戶端捕獲的數(shù)據(jù) 每個r e a d 調(diào)用請求s e b e k 都會產(chǎn) 生一奪藏多令曩恚數(shù)據(jù)琶 每個數(shù)籜憊都毯食了一點關(guān)予這拿調(diào)溺凌容熬信患幫這個 調(diào)用訪問的數(shù)據(jù) 每個包逐包含了一個s c b e k 記錄 這個記錄包含 些產(chǎn)生調(diào)用的進(jìn) 華中科技大學(xué)碩士學(xué)位論文 程接述 調(diào)瘸產(chǎn)生的瓣閩耬記錄數(shù)據(jù)熬大小 撼些報完全出s e b e k 產(chǎn)生 麗不是使用 T c P I P 協(xié)議棧來產(chǎn)生或發(fā)遴數(shù)據(jù)包 所以系統(tǒng)麓法看到或阻斷這些數(shù)據(jù)包 強數(shù)據(jù)包 創(chuàng)建好的時候就纛接發(fā)送給驅(qū)動設(shè)備 這就繞過了原始囊接字代碼灝包過濾代碼 由 于嗅探器是基于l i b p c a p 的 麗l i b p c a p 使用原始套接字按囂來收集數(shù)攆包 掰以嗅探 器不能潛到運行S c b e k 主機(jī)上由s e b c k 產(chǎn)生的數(shù)據(jù)包 如圖2 5 注意s e b c k 產(chǎn)生的 數(shù)據(jù)鈺怎樣繞過徐議棱著纛踅接發(fā)送翻瓣終浚蠢驅(qū)豌 這霞褥玫毒卷檢測s e