欺騙技術(shù)防守網(wǎng)絡(luò)攻擊論文

1、欺騙技術(shù)防守網(wǎng)絡(luò)攻擊論文 論文摘要：檔案信息化進(jìn)程的加快為檔案事業(yè)帶來了無限發(fā)展的空間，同時，檔案信息安全問題也遇到了前所未有的挑戰(zhàn)。本文對幾種常用的欺騙技術(shù)在檔案信息化工作中的應(yīng)用進(jìn)行了分析，對構(gòu)建檔案信息網(wǎng)絡(luò)安全系統(tǒng)有一定的參考作用。 論文關(guān)鍵詞：檔案信息化網(wǎng)絡(luò)欺騙欺騙空間協(xié)議欺騙 網(wǎng)絡(luò)欺騙就是使網(wǎng)絡(luò)入侵者相信檔案信息系統(tǒng)存在有價值的、可利用的安全弱點，并具有一些值得攻擊竊取的資源，并將入侵者引向這些錯誤的實際上是偽造的或不重要的資源。它能夠顯著地增加網(wǎng)絡(luò)入侵者的工作量、人侵難度以及不確定性，從而使網(wǎng)絡(luò)入侵者不知道其進(jìn)攻是否奏效或成功。它允許防護(hù)者跟蹤網(wǎng)絡(luò)入侵者的行為，在網(wǎng)絡(luò)入侵者之前修補(bǔ)

2、系統(tǒng)可能存在的安全漏洞。理論上講，每個有價值的網(wǎng)絡(luò)系統(tǒng)都存在安全弱點，而且這些弱點都可能被網(wǎng)絡(luò)人侵者所利用。網(wǎng)絡(luò)欺騙的主要作用是：影響網(wǎng)絡(luò)入侵者使之遵照用戶的意志、迅速檢測到網(wǎng)絡(luò)入侵者的進(jìn)攻并獲知進(jìn)攻技術(shù)和意圖、消耗網(wǎng)絡(luò)入侵者的資源。下面將分析網(wǎng)絡(luò)欺騙的主要技術(shù)。 一、蜜罐技術(shù)和蜜網(wǎng)技術(shù) 1蜜罐技術(shù)。網(wǎng)絡(luò)欺騙一般通過隱藏和安插錯誤信息等技術(shù)手段實現(xiàn)，前者包括隱藏服務(wù)、多路徑和維護(hù)安全狀態(tài)信息機(jī)密件，后者包括重定向路由、偽造假信息和設(shè)置圈套等。綜合這些技術(shù)方法，最早采用的網(wǎng)絡(luò)欺騙是蜜罐技術(shù)，它將少量的有吸引力的目標(biāo)放置在網(wǎng)絡(luò)入侵者很容易發(fā)現(xiàn)的地方，以誘使入侵者上當(dāng)。這種技術(shù)目的是尋找一種有效的方

3、法來影響網(wǎng)絡(luò)入侵者，使得網(wǎng)絡(luò)入侵者將攻擊力集中到蜜罐技術(shù)而不是其他真正有價值的正常系統(tǒng)和資源中。蜜罐技術(shù)還可以做到一旦入侵企圖被檢測到時，迅速地將其重定向。 盡管蜜罐技術(shù)可以迅速重定向，但對高級的網(wǎng)絡(luò)入侵行為，該技術(shù)就力不從心了。因此，分布式蜜罐技術(shù)便應(yīng)運而生，它將欺騙散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中，利用閑置的服務(wù)端口來充當(dāng)欺騙通道，從而增大了網(wǎng)絡(luò)入侵者遭遇欺騙的可能性。分布式蜜罐技術(shù)有兩個直接的效果，首先是將欺騙分布到更廣范圍的lP地址和端口空間中，其次是增大了欺騙在整個網(wǎng)絡(luò)中的比例，使得欺騙比安全弱點被網(wǎng)絡(luò)入侵者發(fā)現(xiàn)的可能性增大。 分布式蜜罐技術(shù)也不是十全十美的，它的局限性體現(xiàn)在三個方面：一

4、是它對整個空間搜索的網(wǎng)絡(luò)掃描無效；二是只提供了質(zhì)量較低的欺騙；三是只相對使整個搜索空間的安全弱點減少。而且，這種技術(shù)的一個更為嚴(yán)重的缺陷是它只對遠(yuǎn)程掃描有效。如果入侵已經(jīng)部分進(jìn)入到檔案信息網(wǎng)絡(luò)系統(tǒng)中，真正的網(wǎng)絡(luò)服務(wù)對網(wǎng)絡(luò)入侵者已經(jīng)透明，那么這種欺騙將失去作用。 蜜罐技術(shù)收集的資料可能是少量的，但往往都具有很高的價值，它免除了在大量的無關(guān)信息中尋找有價值信息的繁雜度，這在研究網(wǎng)絡(luò)安全時是一大優(yōu)勢?，F(xiàn)在互聯(lián)網(wǎng)應(yīng)用的發(fā)展速度很快，用戶每時每刻所面對的都是海量的垃圾信息。如何在大量的信息和資料中找到所需要的部分，越來越成為人們關(guān)注的問題。蜜罐技術(shù)的一個最大優(yōu)點，就是能使用戶簡單快速地收集到最關(guān)鍵的信息

5、，并對問題進(jìn)行最直接的分析和理解。 許多安全工具在應(yīng)用時往往會受到網(wǎng)絡(luò)帶寬和存儲容量的限制。丑志服務(wù)器也很難收集所有的系統(tǒng)日志，而會流失一些有用的日志記錄。蜜罐技術(shù)則沒有這個問題，因為它僅僅去截取與陷阱網(wǎng)絡(luò)和系統(tǒng)有密切關(guān)系的行為，并且可以自由設(shè)置檢測和記錄對象，所以更為靈活和易用。 但是蜜罐技術(shù)的一個缺點是消息收集點不能太多。如果蜜罐技術(shù)設(shè)置了一個很大的系統(tǒng)漏洞，但如果沒有黑客進(jìn)行攻擊，蜜罐技術(shù)一點價值都沒有了。另外，蜜罐技術(shù)也無法得知任何未授權(quán)的行為。再有，蜜罐技術(shù)也可能為用戶招致風(fēng)險，可能被高明的黑客作為另外次攻擊的平臺。所以在檔案系統(tǒng)網(wǎng)絡(luò)管理工作中合理設(shè)定和利用蜜罐技術(shù)也是至關(guān)重要的。

6、2蜜網(wǎng)技術(shù)。蜜網(wǎng)技術(shù)是一個故意設(shè)計的存在缺陷的系統(tǒng)，可以用來對檔案信息網(wǎng)絡(luò)入侵者的行為進(jìn)行誘騙，以保護(hù)檔案信息的安全。傳統(tǒng)的蜜罐技術(shù)用來模擬系統(tǒng)一些常見漏洞，而蜜網(wǎng)技術(shù)則有所不同，它是一個學(xué)習(xí)的工具，是一個網(wǎng)絡(luò)系統(tǒng)，并非是一臺單一主機(jī)，這一網(wǎng)絡(luò)系統(tǒng)隱藏在防火墻的后面，所有進(jìn)出的資料都受到監(jiān)控、捕獲及控制。這些被捕獲的資料用于研究分析檔案網(wǎng)絡(luò)入侵者所使用的工具、方法及動機(jī)。在蜜網(wǎng)技術(shù)中，一般都安裝使用了各種不同的操作系統(tǒng)，如Linux和windowsNT等。這樣的網(wǎng)絡(luò)環(huán)境看上去更加真實可怕，不同的系統(tǒng)平臺運行著不同的服務(wù)，如Linux運行DNS服務(wù)，WindowsNT上運行WebServer，而

7、Solaris運行FTPServer,用戶可以學(xué)習(xí)不同的工具以及不同的安全策略。在蜜網(wǎng)技術(shù)中所有的系統(tǒng)都是標(biāo)準(zhǔn)的配置，上面運行的都是完整的操作系統(tǒng)及應(yīng)用程序并不去刻意地模仿某種環(huán)境或故意使系統(tǒng)不安全。蜜網(wǎng)技術(shù)是一個用來研究如何入侵系統(tǒng)的工具，是一個設(shè)計合理的實驗網(wǎng)絡(luò)系統(tǒng)。蜜網(wǎng)技術(shù)第一個組成部分是防火墻，它記錄了所有與本地主機(jī)的聯(lián)接并且提供NAT服務(wù)和DOS保護(hù)、入侵偵測系統(tǒng)(IDS)。IDS和防火墻有時會放置在同一個位置，用來記錄網(wǎng)絡(luò)上的流量且尋找攻擊和入侵的線索。第二個組成部分是遠(yuǎn)程日志主機(jī)，所有的入侵指令能夠被監(jiān)控并且傳送到通常設(shè)定成遠(yuǎn)程的系統(tǒng)日志。這兩個部分為檔案系統(tǒng)安全的防護(hù)和治理都起

8、著不可忽視的作用。 蜜網(wǎng)技術(shù)是一個很有價值的研究、學(xué)習(xí)和教育工具，借著這個工具，使人們能更好地理解入侵者的攻擊方式，以便準(zhǔn)確及時地檢測到入侵行為。分析從蜜網(wǎng)技術(shù)收集的信息，可以監(jiān)視并預(yù)測攻擊發(fā)生和發(fā)展的趨勢，從而可以早做預(yù)防，避免更大的損失。 二、空間欺騙技術(shù) 空問欺騙技術(shù)是通過增加搜索空間來顯著增加檔案系統(tǒng)網(wǎng)絡(luò)入侵者的工作量，從而達(dá)到安全防護(hù)的目的。該技術(shù)運用的前提是計算機(jī)系統(tǒng)可以在一塊網(wǎng)卡上實現(xiàn)具有眾多IP地址，每個lP地址都具有自己的MAC地址。這項技術(shù)可用于建立填充一大段地址空間的欺騙，且花費極低。這樣許許多多不同的欺騙，就可以在一臺計算機(jī)上實現(xiàn)。當(dāng)網(wǎng)絡(luò)入侵者的掃描器訪問到網(wǎng)絡(luò)系統(tǒng)的外

9、部路由器并探測到這一欺騙服務(wù)時，還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上，使得接下來的遠(yuǎn)程訪問變成這個欺騙的繼續(xù)。當(dāng)然，采用這種欺騙時，網(wǎng)絡(luò)流量和服務(wù)的切換必須嚴(yán)格保密，因為一旦暴露就將招致入侵，從而導(dǎo)致入侵者很容易將任一個已知有效的服務(wù)和這種用于測試網(wǎng)絡(luò)入侵者的掃描探測及其響應(yīng)的欺騙區(qū)分開來。 三、信息迷惑技術(shù) 1網(wǎng)絡(luò)信息迷惑技術(shù)：網(wǎng)絡(luò)動態(tài)配置和網(wǎng)絡(luò)流量仿真。產(chǎn)生仿真流量的目的是使流量分析不能檢測到欺騙的存在。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法。一種方法是采用實時方式或重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量，這使得欺騙系統(tǒng)與真實系統(tǒng)十分相似，因為所有的訪問鏈接都被復(fù)制。第二種方法是從遠(yuǎn)程產(chǎn)生偽造流量，使

10、網(wǎng)絡(luò)入侵者可以發(fā)現(xiàn)和利用。面對網(wǎng)絡(luò)入侵技術(shù)的不斷提高，一種網(wǎng)絡(luò)欺騙技術(shù)肯定不能做到總是成功，必須不斷地提高欺騙質(zhì)量，才能使網(wǎng)絡(luò)入侵者難以將合法服務(wù)和欺騙服務(wù)進(jìn)行區(qū)分。 真實的檔案信息網(wǎng)絡(luò)是隨時間而改變的，是不斷地發(fā)生著信息接收和傳遞的，如果欺騙是靜態(tài)的，那么在入侵者長期監(jiān)視的情況下就會導(dǎo)致欺騙無效。因此，需要動態(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)行為，使欺騙網(wǎng)絡(luò)也和真實網(wǎng)絡(luò)一樣隨時間而改變。為使之有效，欺騙特性也應(yīng)該盡可能地反映出真實系統(tǒng)的特性。例如，計算機(jī)在下班之后關(guān)機(jī)，那么欺騙計算機(jī)也應(yīng)該同時關(guān)機(jī)。其他如周末等特殊時刻也必須考慮，否則人侵者將很可能發(fā)現(xiàn)被欺騙。 2用戶信息迷惑技術(shù)：組織信息欺騙。

11、如果檔案機(jī)構(gòu)提供有關(guān)個人和系統(tǒng)信息而訪問，那么欺騙也必須以某種方式反映出這些信息。例如，如果檔案系統(tǒng)的DNS服務(wù)器包含了個人系統(tǒng)擁有者及其位置的詳細(xì)信息，那就需要在欺騙的DNS列表中具有偽造的擁有者及其位置，否則欺騙很容易被發(fā)現(xiàn)。偽造的人和位置也需要有偽造的信息，如薪酬、個人記錄等。地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡(luò)和真實網(wǎng)絡(luò)分離開來，這樣就能利用真實的計算機(jī)替換低可信度的欺騙，增加了間接性和隱蔽性。該技術(shù)出發(fā)點就是重定向代理服務(wù)(通過改寫代理服務(wù)器程序?qū)崿F(xiàn))，由代理服務(wù)進(jìn)行地址轉(zhuǎn)換，使相同的源和目的地址像真實系統(tǒng)那樣被維護(hù)在欺騙系統(tǒng)中。 高可信度的網(wǎng)絡(luò)欺騙，使系統(tǒng)存在的安全弱點有了很好的隱藏偽裝場所，真實服務(wù)與欺騙服務(wù)幾乎融為一體，使網(wǎng)絡(luò)入侵者難以區(qū)分。在網(wǎng)絡(luò)入侵和安全防護(hù)的相互促進(jìn)發(fā)展過程中，網(wǎng)絡(luò)欺騙技術(shù)將具有廣闊的發(fā)展前景。還可以利用前面介紹的網(wǎng)絡(luò)欺騙方法，結(jié)合網(wǎng)絡(luò)分析系統(tǒng)進(jìn)行分析，從而識別網(wǎng)絡(luò)攻擊特征，還可