淺談陷阱系統(tǒng)分析與實現(xiàn)

1、淺談陷阱系統(tǒng)分析與實現(xiàn)摘要：文章介紹了目前網(wǎng)絡(luò)安全的現(xiàn)狀和有關(guān)技術(shù)，重點分析了陷阱技術(shù)，并提出了一種陷阱系統(tǒng)在網(wǎng)絡(luò)中的部署方案，討論了此種結(jié)構(gòu)的優(yōu)點及其中防火墻、路由器與入侵檢測系統(tǒng)發(fā)揮的重要作用。 關(guān)鍵詞：防火墻；入侵檢測；陷阱系統(tǒng) 計算機網(wǎng)絡(luò)的出現(xiàn)為人們提供了各種方便和機會，然而網(wǎng)絡(luò)帶來便利的同時也帶來了各種各樣的問題，特別是網(wǎng)絡(luò)安全問題，與人們的生活和工作息息相關(guān)。目前網(wǎng)絡(luò)安全主要技術(shù)包括：防火墻、入侵檢測、加密技術(shù)、漏洞掃描等，但是這些防御措施都是在已發(fā)現(xiàn)的各種攻擊方式的基礎(chǔ)上去推測和防御黑客的攻擊，都是被動的；但是，由于黑客采用的技術(shù)不斷更新變化，我們的應(yīng)對措施總是滯后于各種攻擊模式

2、，這種情況對于網(wǎng)絡(luò)安全是非常不利的。因此，人們又開始研究一種新型的與傳統(tǒng)安全思想完全不同的網(wǎng)絡(luò)安全技術(shù)陷阱。不同于原有的網(wǎng)絡(luò)安全策略，陷阱技術(shù)是通過模擬真實網(wǎng)絡(luò)，吸引黑客主動攻擊，從而學習了解入侵者的思路、目的和工具1。通過這種方式，可以更好地理解網(wǎng)絡(luò)所遇到的威脅，在學習如何防御這些威脅時也有了更好的依據(jù)。 1陷阱技術(shù) 陷阱技術(shù)是一種記錄黑客攻擊過程的技術(shù)，它使用各種監(jiān)控技術(shù)來捕獲攻擊者的行為，其實是用來欺騙攻擊者，使他們進入受控環(huán)境中，并在此過程中生成對于當前攻擊行為、工具、技術(shù)的數(shù)據(jù)，把攻擊者引入到并不重要的虛擬環(huán)境中，降低黑客攻擊重要系統(tǒng)的可能性，從而減少對重要系統(tǒng)和網(wǎng)絡(luò)的威脅。陷阱系統(tǒng)

3、是通過陷阱技術(shù)實現(xiàn)的一種主機或網(wǎng)絡(luò)，是預設(shè)的環(huán)境，它使用相應(yīng)的技術(shù)手段把黑客等侵入系統(tǒng)的一切信息記錄下來，包括攻擊的過程、使用工具等，可以保護主機的正常運行，更為重要的是，它可以混淆黑客等入侵者的攻擊目標，從而保護關(guān)鍵主機。陷阱系統(tǒng)收集的信息可以追蹤和查找入侵者的資料；可以作為培訓教案提高安全人員防范黑客攻擊的能力，還可以作為證據(jù)起訴入侵者。陷阱系統(tǒng)實質(zhì)上是模擬真實系統(tǒng)或網(wǎng)絡(luò)，但一般不包含有價值的數(shù)據(jù)和信息，但在攻擊者看來要有吸引力，迷惑攻擊者，同時不能威脅到重要系統(tǒng)和數(shù)據(jù)的安全。當前，實現(xiàn)陷阱的技術(shù)主要有兩大類：蜜罐技術(shù)（Honeypot）和蜜網(wǎng)系統(tǒng)（HoneynetSystem）。 1.1

4、蜜罐技術(shù) 蜜罐實際上是一種網(wǎng)絡(luò)資源，它存在的價值就在于被探測和被攻擊2。所以Honeypot會模擬不同系統(tǒng)或一些常見的漏洞，在某個系統(tǒng)上做相應(yīng)設(shè)置使其誘騙入侵者的攻擊，比如Honeyd，BOF和Specter等。蜜罐系統(tǒng)的目的是通過額外開銷浪費攻擊者的精力和時間，以減少關(guān)鍵系統(tǒng)被攻擊的風險，還可以通過記錄攻擊者的攻擊方法和路徑，為提高重要系統(tǒng)的安全策略提供依據(jù)。一般來說，Honeypot應(yīng)通過路由器或防火墻放置在靠近正常服務(wù)區(qū)的地方以吸引入侵者的注意，這里正常服務(wù)區(qū)指的是提供服務(wù)和存放重要數(shù)據(jù)的系統(tǒng)或服務(wù)器。這時在路由器或防火墻中需要使用端口重定向功能隱藏真正的目標IP，使入侵者感覺是在訪問服

5、務(wù)區(qū)。另外一種方法是把Honeypot布置在提供服務(wù)的系統(tǒng)與系統(tǒng)之間。這種方式更適合于來自網(wǎng)絡(luò)外部的隨機攻擊，這是因為大部分情況下外部人員很難知曉內(nèi)部網(wǎng)絡(luò)分布的詳細情況，發(fā)動的攻擊也就帶有一定的隨機性。當入侵者以全網(wǎng)掃描的方式尋找脆弱主機時，就有極大的可能找到Honeypot，因為其本身就被設(shè)計為具有一些常見漏洞，以吸引黑客的注意，這樣就能大大降低正常系統(tǒng)被攻擊的風險3。 1.2蜜網(wǎng)工程 現(xiàn)在有一些安全組織和科研人員正轉(zhuǎn)向研究蜜網(wǎng)工程，蜜網(wǎng)與傳統(tǒng)的Honeypot不同，其不但用來對入侵者的行為進行誘騙或報警，更重要的是它是一個學習工具，又稱為研究型蜜網(wǎng)。與Honeypot相比較，Honeyne

6、t有所不同，其是一個網(wǎng)絡(luò)系統(tǒng)而不是某臺單一主機。一般來說，Honeynet是隱藏在防火墻后面的，因為防火墻的過濾功能，使得所有進出網(wǎng)絡(luò)的數(shù)據(jù)都要通過防火墻的捕獲及控制。當獲得這些數(shù)據(jù)后，就可以采用相應(yīng)的方法加以研究，從而得出入侵者所使用的方法、工具和動機。在Honeynet中，可使用多種不同的操作系統(tǒng)及設(shè)備，比如LinuxWindowsServer，Unix等；還可以在不同的平臺上運行不同的服務(wù)，如WindowsServer的DNS，DHCP，Webserver，F(xiàn)TP等，這樣可以使建立的網(wǎng)絡(luò)系統(tǒng)看上去更真實，可以更多地學習入侵者所使用的不同工具及策略，揭示出他們的一些習慣和特性。建立Hone

7、ynet的目的是人為地建立一種環(huán)境，在這個環(huán)境中，入侵者所用的工具以及他們的行為都可以被監(jiān)控和捕捉。要達到這個要求，信息操控和信息捕獲是蜜網(wǎng)的設(shè)計者要解決的兩個問題。信息操控代表著一種約束規(guī)則，即我們必須要確定系統(tǒng)信息包的發(fā)送地址，這樣才能保證在Honeynet里的Honeypot主機被入侵后，該主機不會被用來攻擊在蜜網(wǎng)以外的系統(tǒng)或主機，也就是說，所有進出Honeynet的數(shù)據(jù)流都必須被控制而不會被入侵者有所察覺。信息捕獲則是要通過不同方法獲取進出Honeynet的所有信息并記錄入侵者的各種行為，通過捕獲的數(shù)據(jù)可以分析了解黑客使用的工具、策略及方法，從而防患于未然。另外，對于那些在分布式環(huán)境中

8、有多個Honeynet系統(tǒng)的研究機構(gòu)或公司來說，還有第3件事要做，那就是信息收集。在完成信息捕獲的任務(wù)后，有必要把各個不同蜜網(wǎng)所收集到的信息集中起來，進行匯總分析，這樣能夠更好地研究黑客，加快安全技術(shù)的發(fā)展。 2系統(tǒng)部署 在建立Honeynet的過程中，需要綜合應(yīng)用各種知識、技術(shù)及設(shè)備，如防火墻、路由器、入侵檢測系統(tǒng)等。如果是一個比較大型的網(wǎng)絡(luò)，則可以專門設(shè)置一個完整的陷阱區(qū)域，將陷阱系統(tǒng)布置在該區(qū)域中。通過這樣的布局，不但可以方便陷阱系統(tǒng)的管理，同時還可以有效防止因大規(guī)模的入侵者攻擊而影響正常系統(tǒng)。陷阱系統(tǒng)看起來就像正常系統(tǒng)一樣，其所提供的服務(wù)，包括主機、系統(tǒng)軟硬件的配置都與正常系統(tǒng)類似，最

9、大的區(qū)別只是數(shù)據(jù)信息的真?zhèn)尾煌?。在正常服?wù)區(qū)中，還可同時安裝提供正常服務(wù)的系統(tǒng)和蜜罐主機，這樣不但可以提高陷阱成功的可能性，還可以在一定程度上減少防火墻以及IDS系統(tǒng)不能識別的攻擊包對正常服務(wù)區(qū)域進行攻擊的危險。本文提出的一種Honeynet在網(wǎng)絡(luò)中的部署方案如圖1所示，從中可以看出：防火墻、路由器、入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）各自發(fā)揮著不可替代的重要作用。 2.1防火墻的作用 將防火墻放置在Honeynet的前端，最大的好處是所有的信息包都要經(jīng)過防火墻才能進入系統(tǒng)。當防火墻發(fā)現(xiàn)攻擊行為時，對于一般的掃描數(shù)據(jù)包，是直接將這些數(shù)據(jù)包轉(zhuǎn)發(fā)到陷阱區(qū)，而不是

10、丟棄這些包；如果是一些破壞性較強的攻擊包，如廣播攻擊、Dos攻擊等，就一定要將其阻擋在外。除此之外，該防火墻還要具有追蹤功能，對于所有從Honeypot機器往外信息包進行跟蹤，當數(shù)量超過一定值時，防火墻將會把這些信息包阻塞，禁止發(fā)送；只是阻擋而不是直接將包都丟棄的目的是為了不引起入侵者的懷疑，同時也可以避免攻擊者利用Honeypot主機對內(nèi)部系統(tǒng)進行探測和攻擊。 2.2路由器的作用 在防火墻與Honeynet之間放置的路由器，有兩個作用：首先，路由器的存在隱藏了防火墻，當Honeypot被攻擊時，入侵者從這里察看往外的路由，會感覺更像一個真實的網(wǎng)絡(luò)環(huán)境而不是蜜罐環(huán)境；除了這點以外，路由器還限制

11、網(wǎng)絡(luò)訪問，作為防火墻的功能的擴充，做到層層保護，目的是確保Honeypot不會被用來攻擊真實服務(wù)器或其他系統(tǒng)。這里有一點要注意，陷阱系統(tǒng)畢竟是為了吸引黑客攻擊而開發(fā)，為了在不被黑客發(fā)現(xiàn)的情況下得到盡可能多的數(shù)據(jù)信息，有可能需要對系統(tǒng)進行一些必要的修改，盡管這種修改是非常必要的，但是為了不引起入侵者的懷疑，修改要盡可能的少。除此之外，捕獲到的數(shù)據(jù)也要有安全的存放地點，不能存放在Honeypot主機上，因為這樣做非常不安全，極有可能會被黑客注意到，從而發(fā)現(xiàn)該系統(tǒng)是一個陷阱系統(tǒng)。為避免此種情況發(fā)生，我們需要把數(shù)據(jù)放在遠程安全的主機上。 2.3IDS的作用 IDS主要工作就是對網(wǎng)絡(luò)中的信息流量進行監(jiān)控

12、分析和記錄，IDS可以捕獲系統(tǒng)中的幾乎所有舉動，在本設(shè)計中，IDS的放置方式使得所有機器都可以被監(jiān)控到。IDS會把信息包中的特征字符串與自身的入侵檢測特征庫中的某一項進行比較驗證，如果相同或相似，它就會發(fā)出警告消息。IDS還可有效地保護日志文件。因為對于較高“水平”的黑客來說，在入侵系統(tǒng)后，一般都會刪除或修改日志文件，因此有必要對日志文件進行備份，除了在本機上保存日志文件之外，還應(yīng)該發(fā)一份到遠程日志服務(wù)器上。即便入侵者還想要登錄遠程服務(wù)器，他們也不能對日志產(chǎn)生太大影響，因為這時IDS會繼續(xù)捕獲Honeynet的信息包，檢測出入侵者的活動，并寫入遠程日志系統(tǒng)，保證了日志的完整性。從另一方面來說，

13、陷阱技術(shù)的發(fā)展也將促進IDS技術(shù)的發(fā)展，通過陷阱系統(tǒng)獲取黑客的最新入侵方法，可以幫助我們更好地設(shè)計IDS的特征數(shù)據(jù)庫，從而提高IDS系統(tǒng)的檢測效率。從這一點來說，IDS的發(fā)展與陷阱技術(shù)的發(fā)展是相輔相成的。 3結(jié)語 傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如防火墻和入侵檢測系統(tǒng)等是應(yīng)用技術(shù)手段將攻擊者趕走，而隱蔽的陷阱則可以收集攻擊者的攻擊信息和各種數(shù)據(jù)包，通過分析其可能的攻擊目標和攻擊方式，從而達到保護攻擊目標的作用，降低正常系統(tǒng)被攻破的危險，是當前網(wǎng)絡(luò)安全領(lǐng)域加強應(yīng)用研究的重要方向，對于下階段進一步研究動態(tài)蜜罐技術(shù)的廣泛應(yīng)用有積極意義4。它克服了傳統(tǒng)安全技術(shù)的預防能力不夠的弱點，除進行入侵監(jiān)測外，更重要的是可以用來學習了解入侵者的思路、行為和目的，使人們在與入侵者的斗爭中獲取主