蜜罐與蜜網(wǎng)技術(shù)分析匯總

1、 第三篇 網(wǎng)絡(luò)防護篇o 第第11章章 安全掃描技術(shù)的原理與應用安全掃描技術(shù)的原理與應用o 第第12章章 操作系統(tǒng)安全防范操作系統(tǒng)安全防范o 第第13章章 密碼及認證技術(shù)密碼及認證技術(shù)o 第第14章章 防火墻的技術(shù)原理與應用防火墻的技術(shù)原理與應用o 第第15章章 入侵檢測技術(shù)的原理與應用入侵檢測技術(shù)的原理與應用o 第第16章章 蜜罐與蜜網(wǎng)技術(shù)蜜罐與蜜網(wǎng)技術(shù)o 第第17章章 數(shù)據(jù)備份與災難恢復技術(shù)數(shù)據(jù)備份與災難恢復技術(shù)o 第第18章章 網(wǎng)絡(luò)安全綜合防范平臺網(wǎng)絡(luò)安全綜合防范平臺第第16章章 蜜罐與蜜網(wǎng)技術(shù)蜜罐與蜜網(wǎng)技術(shù) 新興的蜜罐技術(shù)，基于主動防御理論而提出，新興的蜜罐技術(shù)，基于主動防御理論而提出，

2、日益受到網(wǎng)絡(luò)安全領(lǐng)域重視。蜜罐主要通過精心日益受到網(wǎng)絡(luò)安全領(lǐng)域重視。蜜罐主要通過精心布置的布置的誘騙環(huán)境來吸引和容忍入侵誘騙環(huán)境來吸引和容忍入侵，進而了解攻，進而了解攻擊思路、攻擊工具和攻擊目的等行為信息，特別擊思路、攻擊工具和攻擊目的等行為信息，特別是對各種未知攻擊行為信息的學習。是對各種未知攻擊行為信息的學習。 蜜網(wǎng)作為蜜罐技術(shù)的高級學習工具，不同于蜜網(wǎng)作為蜜罐技術(shù)的高級學習工具，不同于蜜罐技術(shù)的低級形式單機蜜罐，一般是蜜罐技術(shù)的低級形式單機蜜罐，一般是由防火墻、由防火墻、路由器、入侵檢測系統(tǒng)以及一臺或多臺蜜罐主機路由器、入侵檢測系統(tǒng)以及一臺或多臺蜜罐主機組成的網(wǎng)絡(luò)系統(tǒng)組成的網(wǎng)絡(luò)系統(tǒng)。第第

3、16章章 蜜罐與蜜網(wǎng)技術(shù)蜜罐與蜜網(wǎng)技術(shù)o 16.1概述概述o 16.2 蜜罐技術(shù)蜜罐技術(shù)o 16.3 蜜網(wǎng)工程蜜網(wǎng)工程o 16.4常見的網(wǎng)絡(luò)誘騙工具及產(chǎn)品常見的網(wǎng)絡(luò)誘騙工具及產(chǎn)品o 16.5 實驗：實驗：Honeyd的安裝和配置的安裝和配置16.1 概述概述 網(wǎng)絡(luò)誘騙技術(shù)是一種欺騙黑客攻擊的技術(shù)網(wǎng)絡(luò)誘騙技術(shù)是一種欺騙黑客攻擊的技術(shù),它用來它用來吸引吸引攻擊者攻擊者,使他們進入受控環(huán)境中使他們進入受控環(huán)境中,使使用各種用各種監(jiān)控技術(shù)監(jiān)控技術(shù)來捕獲攻擊者的行為來捕獲攻擊者的行為,網(wǎng)絡(luò)誘騙網(wǎng)絡(luò)誘騙技術(shù)的核心是強大的網(wǎng)絡(luò)和系統(tǒng)活動的監(jiān)視能技術(shù)的核心是強大的網(wǎng)絡(luò)和系統(tǒng)活動的監(jiān)視能力力,以及監(jiān)視機制的隱蔽

4、性以及監(jiān)視機制的隱蔽性,這是記錄黑客攻擊這是記錄黑客攻擊活動的根本條件?；顒拥母緱l件。 目前目前,對于網(wǎng)絡(luò)誘騙的研究有兩個大類。一類是對于網(wǎng)絡(luò)誘騙的研究有兩個大類。一類是蜜蜜罐罐(honeypot) 技術(shù)技術(shù),一類是一類是蜜網(wǎng)蜜網(wǎng)(honeynet) 工程工程。 蜜罐蜜罐(honeypot) 技術(shù)。國際上的一些安全組織技術(shù)。國際上的一些安全組織首先研究蜜罐首先研究蜜罐(honeypot) 技術(shù)。在一般情況技術(shù)。在一般情況下下,honeypot 模擬某些常見的漏洞模擬某些常見的漏洞,模擬其它操作系統(tǒng)模擬其它操作系統(tǒng)的特征或者在某個系統(tǒng)上做了一些設(shè)置的特征或者在某個系統(tǒng)上做了一些設(shè)置,使其成為一

5、臺使其成為一臺“牢籠牢籠”主機主機,來誘騙入侵者來誘騙入侵者,目的是增加黑客攻擊系統(tǒng)目的是增加黑客攻擊系統(tǒng)所花的開銷所花的開銷,使攻擊者勞而無功使攻擊者勞而無功,從而降低黑客攻擊系統(tǒng)從而降低黑客攻擊系統(tǒng)的興趣的興趣,減少重要系統(tǒng)被攻擊的危險。減少重要系統(tǒng)被攻擊的危險。16.1 概述概述 蜜網(wǎng)蜜網(wǎng)(honeynet )工程。工程。Honeynet 工程建立在工程建立在一個一個真實的網(wǎng)絡(luò)和主機環(huán)境真實的網(wǎng)絡(luò)和主機環(huán)境,所有系統(tǒng)都是標準的機器所有系統(tǒng)都是標準的機器,在在這些系統(tǒng)之上運行的是真實完整的操作系統(tǒng)及應用程序這些系統(tǒng)之上運行的是真實完整的操作系統(tǒng)及應用程序,沒有刻意地模擬某種環(huán)境或者故意地使

6、系統(tǒng)不安全沒有刻意地模擬某種環(huán)境或者故意地使系統(tǒng)不安全,這樣這樣可使建立的網(wǎng)絡(luò)環(huán)境看上去會更加真實可信可使建立的網(wǎng)絡(luò)環(huán)境看上去會更加真實可信,以增強其誘以增強其誘騙的效果。騙的效果。 在該工程中在該工程中,網(wǎng)絡(luò)和系統(tǒng)都隱藏在網(wǎng)絡(luò)和系統(tǒng)都隱藏在防火墻防火墻后面，所有后面，所有進出該網(wǎng)絡(luò)的數(shù)據(jù)和網(wǎng)絡(luò)誘騙主機上的行為都受到進出該網(wǎng)絡(luò)的數(shù)據(jù)和網(wǎng)絡(luò)誘騙主機上的行為都受到監(jiān)視、監(jiān)視、捕獲及控制捕獲及控制。16.1 概述概述16.2 蜜罐技術(shù)蜜罐技術(shù) “蜜罐蜜罐”這一概念最初出現(xiàn)在這一概念最初出現(xiàn)在1990 年出版的一本年出版的一本小說小說The Cuckoos Egg中中,在這本小說中描述了在這本小說中描

7、述了作者作為一個公司的網(wǎng)絡(luò)管理員作者作為一個公司的網(wǎng)絡(luò)管理員,如何追蹤并發(fā)現(xiàn)一起商如何追蹤并發(fā)現(xiàn)一起商業(yè)間諜案的故事。業(yè)間諜案的故事。 “蜜網(wǎng)項目組蜜網(wǎng)項目組”(The Honeynet Project)的創(chuàng)的創(chuàng)始人始人Lance Spitzner給出了對蜜罐的給出了對蜜罐的權(quán)威定義權(quán)威定義:蜜罐是蜜罐是一種安全資源一種安全資源,其價值在于被掃描、攻擊和攻陷。其價值在于被掃描、攻擊和攻陷。 這個定義表明蜜罐并無其他實際作用這個定義表明蜜罐并無其他實際作用,因此所有流入因此所有流入/流出蜜罐的網(wǎng)絡(luò)流量都可能預示了掃描、攻擊和攻陷，流出蜜罐的網(wǎng)絡(luò)流量都可能預示了掃描、攻擊和攻陷，而蜜罐的而蜜罐的核

8、心價值核心價值就在于對這些攻擊活動進行監(jiān)視、檢就在于對這些攻擊活動進行監(jiān)視、檢測和分析。測和分析。16.2 蜜罐技術(shù)蜜罐技術(shù)o 16.2.1 蜜罐的發(fā)展歷程蜜罐的發(fā)展歷程o 16.2.2 蜜罐的分類蜜罐的分類o 16.2.3 蜜罐的優(yōu)缺點蜜罐的優(yōu)缺點 蜜罐技術(shù)的發(fā)展歷程可以分為以下三個階段。蜜罐技術(shù)的發(fā)展歷程可以分為以下三個階段。o 從九十年代初蜜罐概念的提出直到從九十年代初蜜罐概念的提出直到1998 年左右，年左右，“蜜罐蜜罐”還僅僅還僅僅限于一種思想限于一種思想，通常由網(wǎng)絡(luò)管理，通常由網(wǎng)絡(luò)管理人員應用人員應用,通過欺騙黑客達到追蹤的目的。這一階通過欺騙黑客達到追蹤的目的。這一階段的蜜罐實質(zhì)

9、上是一些段的蜜罐實質(zhì)上是一些真正被黑客所攻擊的主機真正被黑客所攻擊的主機和系統(tǒng)和系統(tǒng)。16.2.1 蜜罐的發(fā)展歷程蜜罐的發(fā)展歷程o 從從1998 年開始，蜜罐技術(shù)開始吸引了一些安全研究年開始，蜜罐技術(shù)開始吸引了一些安全研究人員的注意，并開發(fā)出一些人員的注意，并開發(fā)出一些專門用于欺騙黑客的開源工專門用于欺騙黑客的開源工具具，如，如Fred Cohen 所開發(fā)的所開發(fā)的DTK(欺騙工具包欺騙工具包)、Niels Provos 開發(fā)的開發(fā)的Honeyd 等等,同時也出現(xiàn)了像同時也出現(xiàn)了像KFSensor、 Specter 等一些商業(yè)蜜罐產(chǎn)品。等一些商業(yè)蜜罐產(chǎn)品。o 這一階段的蜜罐可以稱為是這一階段的

10、蜜罐可以稱為是虛擬蜜罐虛擬蜜罐，即開發(fā)的這些蜜，即開發(fā)的這些蜜罐工具能夠模擬成罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡(luò)服務虛擬的操作系統(tǒng)和網(wǎng)絡(luò)服務，并對黑，并對黑客的攻擊行為做出回應，從而欺騙黑客。虛擬蜜罐工具客的攻擊行為做出回應，從而欺騙黑客。虛擬蜜罐工具的出現(xiàn)也使得部署蜜罐也變得比較方便。的出現(xiàn)也使得部署蜜罐也變得比較方便。16.2.1 蜜罐的發(fā)展歷程蜜罐的發(fā)展歷程o 但是由于虛擬蜜罐工具存在著交互程度低但是由于虛擬蜜罐工具存在著交互程度低,較容易被黑客較容易被黑客識別等問題，從識別等問題，從2000 年之后年之后,安全研究人員更傾向于使安全研究人員更傾向于使用用真實的主機、操作系統(tǒng)和應用程序

11、搭建蜜罐真實的主機、操作系統(tǒng)和應用程序搭建蜜罐，但與之，但與之前不同的是，融入了更強大的前不同的是，融入了更強大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制據(jù)控制的工具，并且將蜜罐納入到一個完整的蜜網(wǎng)體系的工具，并且將蜜罐納入到一個完整的蜜網(wǎng)體系中，使得研究人員能夠更方便地追蹤侵入到蜜網(wǎng)中的黑中，使得研究人員能夠更方便地追蹤侵入到蜜網(wǎng)中的黑客并對他們的攻擊行為進行分析?？筒λ麄兊墓粜袨檫M行分析。16.2.1 蜜罐的發(fā)展歷程蜜罐的發(fā)展歷程 蜜罐可以按照其部署目的分為蜜罐可以按照其部署目的分為o產(chǎn)品型蜜罐產(chǎn)品型蜜罐1. 研究型蜜罐研究型蜜罐 16.2.2. 蜜罐的分類蜜罐的分類 產(chǎn)品型

12、蜜罐的目的在于為一個組織的網(wǎng)絡(luò)提產(chǎn)品型蜜罐的目的在于為一個組織的網(wǎng)絡(luò)提供安全保護，包括檢測攻擊、防止攻擊造成破壞及供安全保護，包括檢測攻擊、防止攻擊造成破壞及幫助管理員對攻擊做出及時正確的響應等功能。幫助管理員對攻擊做出及時正確的響應等功能。 一般產(chǎn)品型蜜罐較容易部署一般產(chǎn)品型蜜罐較容易部署,而且不需要管理而且不需要管理員投入大量的工作。較具代表性的產(chǎn)品型蜜罐包括員投入大量的工作。較具代表性的產(chǎn)品型蜜罐包括DTK、honeyd等開源工具和等開源工具和KFSensor、ManTraq 等一系列的商業(yè)產(chǎn)品。等一系列的商業(yè)產(chǎn)品。16.2.2. 蜜罐的分類蜜罐的分類 研究型蜜罐則是研究型蜜罐則是專門用

13、于對黑客攻擊的捕獲和分析專門用于對黑客攻擊的捕獲和分析，通過部署研究型蜜罐通過部署研究型蜜罐,對黑客攻擊進行追蹤和分析，能夠?qū)诳凸暨M行追蹤和分析，能夠捕獲黑客的攻擊記錄；了解到黑客所使用的攻擊工具及攻捕獲黑客的攻擊記錄；了解到黑客所使用的攻擊工具及攻擊方法；甚至能夠監(jiān)聽到黑客之間的交談，從而掌握他們擊方法；甚至能夠監(jiān)聽到黑客之間的交談，從而掌握他們的心理狀態(tài)等信息。的心理狀態(tài)等信息。 研究型蜜罐需要研究人員投入大量的時間和精力進研究型蜜罐需要研究人員投入大量的時間和精力進行攻擊監(jiān)視和分析工作，行攻擊監(jiān)視和分析工作，具有代表性的工具具有代表性的工具是是“蜜網(wǎng)項目蜜網(wǎng)項目組組”所推出的第二代蜜

14、網(wǎng)技術(shù)。所推出的第二代蜜網(wǎng)技術(shù)。16.2.2. 蜜罐的分類蜜罐的分類 蜜罐還可以按照其交互度的等級劃分為蜜罐還可以按照其交互度的等級劃分為o低交互蜜罐低交互蜜罐o高交互蜜罐高交互蜜罐 交互度反應了交互度反應了黑客在蜜罐上進行攻擊活動的黑客在蜜罐上進行攻擊活動的自由度自由度。16.2.2. 蜜罐的分類蜜罐的分類 低交互蜜罐一般僅僅低交互蜜罐一般僅僅模擬操作系統(tǒng)和網(wǎng)絡(luò)模擬操作系統(tǒng)和網(wǎng)絡(luò)服務服務,較容易部署且風險較小較容易部署且風險較小,但黑客在低交互蜜但黑客在低交互蜜罐中能夠進行的攻擊活動較為有限罐中能夠進行的攻擊活動較為有限,因此通過低交因此通過低交互蜜罐能夠收集的信息也比較有限互蜜罐能夠收集的

15、信息也比較有限,同時由于低交同時由于低交互蜜罐通常是模擬的虛擬蜜罐互蜜罐通常是模擬的虛擬蜜罐,或多或少存在著一或多或少存在著一些容易被黑客所識別的指紋些容易被黑客所識別的指紋(Fingerprinting)信息。信息。產(chǎn)品型蜜罐產(chǎn)品型蜜罐一般屬于低交互蜜罐。一般屬于低交互蜜罐。16.2.2. 蜜罐的分類蜜罐的分類 高交互蜜罐則完全提供高交互蜜罐則完全提供真實的操作系統(tǒng)和網(wǎng)真實的操作系統(tǒng)和網(wǎng)絡(luò)服務絡(luò)服務，沒有任何的模擬。，沒有任何的模擬。 高交互蜜罐在提升黑客活動自由度的同時，高交互蜜罐在提升黑客活動自由度的同時，自然地加大了部署和維護的復雜度及風險的擴大。自然地加大了部署和維護的復雜度及風險的

16、擴大。研究型蜜罐一般都屬于高交互蜜罐，也有部分蜜研究型蜜罐一般都屬于高交互蜜罐，也有部分蜜罐產(chǎn)品，如罐產(chǎn)品，如ManTrap,屬于高交互蜜罐。屬于高交互蜜罐。16.2.2. 蜜罐的分類蜜罐的分類蜜罐技術(shù)的優(yōu)點包括蜜罐技術(shù)的優(yōu)點包括:(1)收集數(shù)據(jù)的保真度收集數(shù)據(jù)的保真度,由于蜜罐不提供任何實際的作用由于蜜罐不提供任何實際的作用,因因此其收集到的數(shù)據(jù)很少此其收集到的數(shù)據(jù)很少,同時收集到的數(shù)據(jù)很大可能就是同時收集到的數(shù)據(jù)很大可能就是由于黑客攻擊造成的由于黑客攻擊造成的,蜜罐不依賴于任何復雜的檢測技術(shù)蜜罐不依賴于任何復雜的檢測技術(shù)等等,因此減少了漏報率和誤報率。因此減少了漏報率和誤報率。n 使用蜜罐

17、技術(shù)能夠收集到新的攻擊工具和攻擊方法使用蜜罐技術(shù)能夠收集到新的攻擊工具和攻擊方法,而不像目前的大部分入侵檢測系統(tǒng)只能根據(jù)特征匹配而不像目前的大部分入侵檢測系統(tǒng)只能根據(jù)特征匹配的方法檢測到已知的攻擊。的方法檢測到已知的攻擊。16.2.3蜜罐的優(yōu)缺點蜜罐的優(yōu)缺點蜜罐技術(shù)的優(yōu)點包括：蜜罐技術(shù)的優(yōu)點包括：(2)蜜罐技術(shù)蜜罐技術(shù)不需要強大的資源支持不需要強大的資源支持,可以使用一可以使用一些低成本的設(shè)備構(gòu)建蜜罐些低成本的設(shè)備構(gòu)建蜜罐,不需要大量的資金不需要大量的資金投入。投入。16.2.3蜜罐的優(yōu)缺點蜜罐的優(yōu)缺點蜜罐技術(shù)的優(yōu)點包括：蜜罐技術(shù)的優(yōu)點包括：o (3)相對入侵檢測等其他技術(shù)相對入侵檢測等其他技

18、術(shù),蜜罐技術(shù)蜜罐技術(shù)比較比較簡單簡單,使得網(wǎng)絡(luò)管理人員能夠比較容易地掌握使得網(wǎng)絡(luò)管理人員能夠比較容易地掌握黑客攻擊的一些知識。黑客攻擊的一些知識。16.2.3蜜罐的優(yōu)缺點蜜罐的優(yōu)缺點蜜罐技術(shù)也存在著一些缺陷蜜罐技術(shù)也存在著一些缺陷,主要有主要有:o (1)需要較多的時間和精力投入需要較多的時間和精力投入。蜜罐技術(shù)只能。蜜罐技術(shù)只能對針對蜜罐的攻擊行為進行監(jiān)視和分析對針對蜜罐的攻擊行為進行監(jiān)視和分析,其視圖其視圖較為有限較為有限,不像入侵檢測系統(tǒng)能夠通過不像入侵檢測系統(tǒng)能夠通過旁路偵聽旁路偵聽等技術(shù)對整個網(wǎng)絡(luò)進行監(jiān)控。等技術(shù)對整個網(wǎng)絡(luò)進行監(jiān)控。o (2)蜜罐技術(shù)不能蜜罐技術(shù)不能直接防護有漏洞的信

19、息系統(tǒng)直接防護有漏洞的信息系統(tǒng)。16.2.3蜜罐的優(yōu)缺點蜜罐的優(yōu)缺點 (3)部署蜜罐會帶來一定的安全風險部署蜜罐會帶來一定的安全風險。部署蜜罐。部署蜜罐所帶來的安全風險主要有蜜罐可能被黑客識別和所帶來的安全風險主要有蜜罐可能被黑客識別和黑客把蜜罐作為跳板從而對第三方發(fā)起攻擊，一黑客把蜜罐作為跳板從而對第三方發(fā)起攻擊，一旦黑客識別出蜜罐后旦黑客識別出蜜罐后,他將可能通知黑客社團他將可能通知黑客社團,從從而避開蜜罐而避開蜜罐,甚至他會向蜜罐甚至他會向蜜罐提供錯誤和虛假的提供錯誤和虛假的數(shù)據(jù)數(shù)據(jù),從而從而誤導安全防護和研究人員誤導安全防護和研究人員。防止蜜罐。防止蜜罐被識別的解決方法是被識別的解決方

20、法是盡量消除蜜罐的指紋盡量消除蜜罐的指紋,并使并使得蜜罐與真實的漏洞主機毫無差異。得蜜罐與真實的漏洞主機毫無差異。16.2.3蜜罐的優(yōu)缺點蜜罐的優(yōu)缺點16.3 蜜網(wǎng)工程 蜜網(wǎng)是在蜜網(wǎng)是在蜜罐技術(shù)蜜罐技術(shù)上逐步發(fā)展起來的一個上逐步發(fā)展起來的一個新的概念新的概念,又可成為誘捕網(wǎng)絡(luò)。又可成為誘捕網(wǎng)絡(luò)。 其主要目的是收集黑客的攻擊信息其主要目的是收集黑客的攻擊信息，但與，但與傳統(tǒng)蜜罐技術(shù)的差異在于，蜜網(wǎng)構(gòu)成了一個傳統(tǒng)蜜罐技術(shù)的差異在于，蜜網(wǎng)構(gòu)成了一個黑黑客誘捕網(wǎng)絡(luò)體系架構(gòu)客誘捕網(wǎng)絡(luò)體系架構(gòu)，在這個架構(gòu)中，在這個架構(gòu)中,我們可以我們可以包含一個或多個蜜罐，同時保證了網(wǎng)絡(luò)的高度包含一個或多個蜜罐，同時保證

21、了網(wǎng)絡(luò)的高度可控性，以及提供多種工具以方便對攻擊信息可控性，以及提供多種工具以方便對攻擊信息的采集和分析。的采集和分析。16.3 蜜網(wǎng)工程o 16.3.1蜜網(wǎng)項目組蜜網(wǎng)項目組o 16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案 “蜜網(wǎng)項目組蜜網(wǎng)項目組”是一個是一個非贏利性的研究組織非贏利性的研究組織，其，其目標目標為學習黑客社團所使用的工具、戰(zhàn)術(shù)和為學習黑客社團所使用的工具、戰(zhàn)術(shù)和 動機，并將這些學習到的信息共享給安全防護人員。動機，并將這些學習到的信息共享給安全防護人員。 為了聯(lián)合和協(xié)調(diào)各國的蜜網(wǎng)研究組織共同對黑客社為了聯(lián)合和協(xié)調(diào)各國的蜜網(wǎng)研究組織共同對黑客社團的攻擊進行追蹤和學習，團的攻擊進行追

22、蹤和學習，2002年年1月成立了月成立了“蜜網(wǎng)蜜網(wǎng)研究聯(lián)盟研究聯(lián)盟”(Honeynet Research Alliance)，到，到2002 年年12月為止月為止,該聯(lián)盟已經(jīng)擁有了該聯(lián)盟已經(jīng)擁有了10個來自不同國個來自不同國家的研究組織。聯(lián)盟目前的執(zhí)行委員會主席為來自家的研究組織。聯(lián)盟目前的執(zhí)行委員會主席為來自Sun公司的公司的Lance Spitzner。 16.3.1蜜網(wǎng)項目組蜜網(wǎng)項目組 “蜜網(wǎng)項目組蜜網(wǎng)項目組”目前的規(guī)劃分為四個階段：目前的規(guī)劃分為四個階段： 第一個階段即第一個階段即1999年年2001年年,主要針對主要針對蜜網(wǎng)技術(shù)進行一些原理證明性蜜網(wǎng)技術(shù)進行一些原理證明性(Proof

23、 of Concept)的實驗的實驗,提出了提出了第一代蜜網(wǎng)架構(gòu)第一代蜜網(wǎng)架構(gòu)； 第二階段從第二階段從2001年到年到2003年年,對蜜網(wǎng)技術(shù)對蜜網(wǎng)技術(shù)進行發(fā)展進行發(fā)展,并提出了并提出了第二代蜜網(wǎng)架構(gòu)第二代蜜網(wǎng)架構(gòu),開發(fā)了其中開發(fā)了其中的關(guān)鍵工具的關(guān)鍵工具HoneyWall 和和Sebek；16.3.1蜜網(wǎng)項目組蜜網(wǎng)項目組 第三階段從第三階段從2003年到年到2004年，其任務著重年，其任務著重于于將所有相關(guān)的數(shù)據(jù)控制和數(shù)據(jù)捕獲工具集成到將所有相關(guān)的數(shù)據(jù)控制和數(shù)據(jù)捕獲工具集成到一張自啟動的光盤中一張自啟動的光盤中，使得比較容易地部署第二，使得比較容易地部署第二代蜜網(wǎng)，并規(guī)范化所搜集到的攻擊信息

24、格式；代蜜網(wǎng)，并規(guī)范化所搜集到的攻擊信息格式； 第四階段從第四階段從2004 年到年到2005年，主要目標為年，主要目標為將各個部署的蜜網(wǎng)項目所采集到的黑客攻擊信息將各個部署的蜜網(wǎng)項目所采集到的黑客攻擊信息匯總到一個中央管理系統(tǒng)中匯總到一個中央管理系統(tǒng)中，并提供容易使用的，并提供容易使用的人機交互界面，使得研究人員能夠比較容易地分人機交互界面，使得研究人員能夠比較容易地分析黑客攻擊信息，并從中獲得一些價值。析黑客攻擊信息，并從中獲得一些價值。16.3.1蜜網(wǎng)項目組蜜網(wǎng)項目組 一個蜜網(wǎng)是由許多用來與攻擊者進行交互的一個蜜網(wǎng)是由許多用來與攻擊者進行交互的蜜罐組成的網(wǎng)絡(luò)，其中的這些靶子（蜜網(wǎng)內(nèi)的蜜蜜

25、罐組成的網(wǎng)絡(luò)，其中的這些靶子（蜜網(wǎng)內(nèi)的蜜罐）可以是你想提供的任何類型的系統(tǒng)，服務或罐）可以是你想提供的任何類型的系統(tǒng)，服務或是信息。此外，是信息。此外，虛擬蜜網(wǎng)通過應用虛擬操作系統(tǒng)虛擬蜜網(wǎng)通過應用虛擬操作系統(tǒng)軟件軟件(如如VMWare 和和User Mode Linux等等)使得我們可以在使得我們可以在單一的主機上實現(xiàn)整個蜜網(wǎng)的體單一的主機上實現(xiàn)整個蜜網(wǎng)的體系架構(gòu)系架構(gòu)。16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案 虛擬蜜網(wǎng)的引入虛擬蜜網(wǎng)的引入使得架設(shè)蜜網(wǎng)的代價大幅降使得架設(shè)蜜網(wǎng)的代價大幅降低，也較容易部署和管理低，也較容易部署和管理,但同時也帶來了更大但同時也帶來了更大的風險，黑客有可能識別出

26、虛擬操作系統(tǒng)軟件的的風險，黑客有可能識別出虛擬操作系統(tǒng)軟件的指紋，也可能攻破虛擬操作系統(tǒng)軟件從而獲得對指紋，也可能攻破虛擬操作系統(tǒng)軟件從而獲得對整個虛擬蜜網(wǎng)的控制權(quán)。整個虛擬蜜網(wǎng)的控制權(quán)。16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案 蜜網(wǎng)有著三大核心需求：蜜網(wǎng)有著三大核心需求：o 數(shù)據(jù)控制；數(shù)據(jù)控制；o 數(shù)據(jù)捕獲；數(shù)據(jù)捕獲；o 數(shù)據(jù)分析。數(shù)據(jù)分析。 通過通過數(shù)據(jù)控制數(shù)據(jù)控制能夠確保黑客不能利用蜜網(wǎng)危害第能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡(luò)的安全，以減輕蜜網(wǎng)架設(shè)的風險；三方網(wǎng)絡(luò)的安全，以減輕蜜網(wǎng)架設(shè)的風險；數(shù)據(jù)捕獲數(shù)據(jù)捕獲技技術(shù)能夠檢測并審計黑客攻擊的所有行為數(shù)據(jù)；而術(shù)能夠檢測并審計黑客攻擊的所

27、有行為數(shù)據(jù)；而數(shù)據(jù)分數(shù)據(jù)分析析技術(shù)則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出黑客技術(shù)則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動、使用工具及其意圖。的具體活動、使用工具及其意圖。16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案 目前目前“蜜網(wǎng)項目組蜜網(wǎng)項目組”已經(jīng)開發(fā)出較為完善的已經(jīng)開發(fā)出較為完善的第二代蜜網(wǎng)架構(gòu)，并以第二代蜜網(wǎng)架構(gòu)，并以一張可啟動光盤的形式一張可啟動光盤的形式提提供部署和維護第二代蜜網(wǎng)所需的關(guān)鍵工具：供部署和維護第二代蜜網(wǎng)所需的關(guān)鍵工具： HoneyWall 和和Sebek。 以下結(jié)合以下結(jié)合“蜜網(wǎng)項目組蜜網(wǎng)項目組” 及其推出的第二及其推出的第二代蜜網(wǎng)技術(shù)方案對蜜網(wǎng)的核心需求進

28、行分析。代蜜網(wǎng)技術(shù)方案對蜜網(wǎng)的核心需求進行分析。16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案 第二代蜜網(wǎng)方案的整體架構(gòu)如下圖所示，其第二代蜜網(wǎng)方案的整體架構(gòu)如下圖所示，其中最為關(guān)鍵的部件為稱為中最為關(guān)鍵的部件為稱為HoneyWall的蜜網(wǎng)網(wǎng)的蜜網(wǎng)網(wǎng)關(guān)，包括三個網(wǎng)絡(luò)接口，關(guān)，包括三個網(wǎng)絡(luò)接口，eth0接入外網(wǎng)，接入外網(wǎng)，eth1 連接蜜網(wǎng)連接蜜網(wǎng),而而eth2 作為一個秘密通道，連接到一作為一個秘密通道，連接到一個監(jiān)控網(wǎng)絡(luò)。個監(jiān)控網(wǎng)絡(luò)。16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案第二代蜜網(wǎng)體系架構(gòu)16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案 HoneyWall 是一個對是一個對黑客不可見的鏈路層橋接設(shè)

29、黑客不可見的鏈路層橋接設(shè)備備，作為蜜網(wǎng)與其他網(wǎng)絡(luò)的唯一連接點作為蜜網(wǎng)與其他網(wǎng)絡(luò)的唯一連接點，所有流入流出，所有流入流出蜜網(wǎng)的網(wǎng)絡(luò)流量都將蜜網(wǎng)的網(wǎng)絡(luò)流量都將通過通過HoneyWall，并受其控制和，并受其控制和審計審計. 同時由于同時由于HoneyWall 是一個工作在鏈路層的橋接是一個工作在鏈路層的橋接設(shè)備，不會對網(wǎng)絡(luò)數(shù)據(jù)包進行設(shè)備，不會對網(wǎng)絡(luò)數(shù)據(jù)包進行TTL 遞減和網(wǎng)絡(luò)路由，也遞減和網(wǎng)絡(luò)路由，也不會提供本身的不會提供本身的MAC 地址，因此對黑客而言，地址，因此對黑客而言，HoneyWall 是完全不可見的，因此黑客不會識別出其是完全不可見的，因此黑客不會識別出其所攻擊的網(wǎng)絡(luò)是一個蜜網(wǎng)。所攻

30、擊的網(wǎng)絡(luò)是一個蜜網(wǎng)。16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案 HoneyWall 實現(xiàn)了蜜網(wǎng)的第一大核心需實現(xiàn)了蜜網(wǎng)的第一大核心需求數(shù)據(jù)控制，如下圖所示，求數(shù)據(jù)控制，如下圖所示，HoneyWall 對對流入的網(wǎng)絡(luò)包不進行任何限制流入的網(wǎng)絡(luò)包不進行任何限制，使得黑客能攻入，使得黑客能攻入蜜網(wǎng)，但對蜜網(wǎng)，但對黑客使用蜜網(wǎng)對外發(fā)起的跳板攻擊進黑客使用蜜網(wǎng)對外發(fā)起的跳板攻擊進行嚴格控制行嚴格控制，控制的方法包括，控制的方法包括攻擊包抑制和對外攻擊包抑制和對外連接數(shù)連接數(shù)限制兩種手段。限制兩種手段。16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案HoneyWall 的數(shù)據(jù)控制機制16.3.2 第二代蜜網(wǎng)方案

31、第二代蜜網(wǎng)方案 攻擊包抑制主要針對使用少量連接即能奏攻擊包抑制主要針對使用少量連接即能奏效的已知攻擊效的已知攻擊(如權(quán)限提升攻擊等如權(quán)限提升攻擊等)，在，在HoneyWall 中使用了中使用了snort_inline 網(wǎng)絡(luò)入網(wǎng)絡(luò)入侵防御系統(tǒng)侵防御系統(tǒng)(NIPS)作為攻擊包抑制器，檢測出作為攻擊包抑制器，檢測出從蜜網(wǎng)向外發(fā)出的含有的攻擊特征的攻擊數(shù)據(jù)包，從蜜網(wǎng)向外發(fā)出的含有的攻擊特征的攻擊數(shù)據(jù)包，發(fā)出報警信息并對攻擊數(shù)據(jù)包加以拋棄或修改，發(fā)出報警信息并對攻擊數(shù)據(jù)包加以拋棄或修改，使其不能對第三方網(wǎng)絡(luò)構(gòu)成危害。使其不能對第三方網(wǎng)絡(luò)構(gòu)成危害。16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案 而對外連接數(shù)限

32、制則主要針對而對外連接數(shù)限制則主要針對網(wǎng)絡(luò)探測和網(wǎng)絡(luò)探測和拒絕服務攻擊拒絕服務攻擊。HoneyWall 通過在通過在IPTables 防火墻中設(shè)置規(guī)則防火墻中設(shè)置規(guī)則，當黑客發(fā)起的，當黑客發(fā)起的連接數(shù)超過預先設(shè)置的閾值，則連接數(shù)超過預先設(shè)置的閾值，則IPTables 將將其記錄到日志，并阻斷其后繼連接，從而避免其記錄到日志，并阻斷其后繼連接，從而避免蜜網(wǎng)中被攻陷的蜜罐作為黑客的跳板對第三方蜜網(wǎng)中被攻陷的蜜罐作為黑客的跳板對第三方網(wǎng)絡(luò)進行探測或拒絕服務攻擊。網(wǎng)絡(luò)進行探測或拒絕服務攻擊。16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案 下圖給出了下圖給出了HoneyWall 中實現(xiàn)的數(shù)據(jù)中實現(xiàn)的數(shù)據(jù)控制

33、機制控制機制(即攻擊包抑制和對外連接數(shù)限制即攻擊包抑制和對外連接數(shù)限制)的的具體工作流程。具體工作流程。Swatch 監(jiān)視工具將監(jiān)視工具將snort_inline 和和IPTables 產(chǎn)生的報警日志產(chǎn)生的報警日志通過通過Email 等方式通知管理員。等方式通知管理員。16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案IPTableseth0Snort_inlineIPTableseth1Sebek ClientHoneyWall蜜罐主機蜜罐主機Sebek Client蜜罐主機蜜罐主機SwatchIPTables日志日志Snort報警信息報警信息eth2管理員管理員對攻擊者隱蔽對攻擊者隱蔽丟棄丟棄 修

34、改修改無效化無效化向外已知攻擊方法向外已知攻擊方法網(wǎng)絡(luò)連接數(shù)網(wǎng)絡(luò)連接數(shù)限制限制掃描、掃描、DoS攻擊攻擊Email報警報警Sebek SvrSnort for SniffHoneyWall 中數(shù)據(jù)控制的具體流程16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案 HoneyWall 中實現(xiàn)的數(shù)據(jù)捕獲機制的具體工作中實現(xiàn)的數(shù)據(jù)捕獲機制的具體工作流程，黑客攻擊數(shù)據(jù)包從流程，黑客攻擊數(shù)據(jù)包從eth0 流入流入后后,通過通過IPTables 防火墻防火墻，根據(jù)防火墻規(guī)則，根據(jù)防火墻規(guī)則,將對流入的連接活動進行記錄，將對流入的連接活動進行記錄，由于我們無需對流入的攻擊進行過濾，因此可以直接跳由于我們無需對流入的攻

35、擊進行過濾，因此可以直接跳過過snort_inline，但，但在在eth1 流出流出的時候的時候,由一個作為由一個作為網(wǎng)絡(luò)監(jiān)聽器使用的網(wǎng)絡(luò)監(jiān)聽器使用的snort 記錄全部的網(wǎng)絡(luò)流量，以供后記錄全部的網(wǎng)絡(luò)流量，以供后繼的攻擊分析所使用。繼的攻擊分析所使用。16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案 在蜜網(wǎng)中的各個蜜罐上，通過安裝在蜜網(wǎng)中的各個蜜罐上，通過安裝Sebek 的客戶端的客戶端，能夠?qū)诳驮诿酃奚系幕顒舆M行記錄，能夠?qū)诳驮诿酃奚系幕顒舆M行記錄，并通過對黑客隱蔽的通道將收集到的鍵擊記錄等并通過對黑客隱蔽的通道將收集到的鍵擊記錄等信息傳送到位于信息傳送到位于HoneyWall 的的Sebe

36、k 服務器。服務器。管理員可以通過管理員可以通過eth2 隱蔽通道隱蔽通道對對HoneyWall 中收集到的數(shù)據(jù)進行分析，從而學習到黑客所發(fā)中收集到的數(shù)據(jù)進行分析，從而學習到黑客所發(fā)動的攻擊方法。動的攻擊方法。16.3.2 第二代蜜網(wǎng)方案第二代蜜網(wǎng)方案16.4 常見的網(wǎng)絡(luò)誘騙工具及產(chǎn)品常見的網(wǎng)絡(luò)誘騙工具及產(chǎn)品o 16.4.1 DTK 欺騙工具包欺騙工具包o 16.4.2 Honeydo 16.4.3 Honeynet16.4.1 DTK 欺騙工具包欺騙工具包 DTK(Deception Toolkit)是在是在1997 年面世的年面世的首個首個開放源碼的蜜罐技術(shù)開放源碼的蜜罐技術(shù),它組合了它組

37、合了Perl手稿程序和手稿程序和C源源碼。碼。 DTK旨在使運行旨在使運行DTK的系統(tǒng)在攻擊者看來好像存在的系統(tǒng)在攻擊者看來好像存在許多已知的缺陷。許多已知的缺陷。DTK 監(jiān)聽輸入監(jiān)聽輸入并做出似乎真的存在缺并做出似乎真的存在缺陷的反應。陷的反應。 在這個過程中它在這個過程中它記錄所有動作記錄所有動作,提供合情合理的回答提供合情合理的回答,使攻擊者有系統(tǒng)不安全的錯覺。使攻擊者有系統(tǒng)不安全的錯覺。DTK 的主要目的是的主要目的是引誘引誘攻擊者攻擊者。 DTK 被用來提供足以能夠欺騙當前市面被用來提供足以能夠欺騙當前市面上的自動攻擊工具的虛構(gòu)服務，使其相信抵御上的自動攻擊工具的虛構(gòu)服務，使其相信抵

38、御者就是他們所偽裝的那個樣子。者就是他們所偽裝的那個樣子。 但是，但是，DTK 并不是作為信息系統(tǒng)欺騙的最并不是作為信息系統(tǒng)欺騙的最終目標來設(shè)計的終目標來設(shè)計的。它只是一個產(chǎn)生欺騙的簡單。它只是一個產(chǎn)生欺騙的簡單工具，來迷惑單純化的攻擊工具，來迷惑單純化的攻擊,擊敗自動攻擊系統(tǒng)，擊敗自動攻擊系統(tǒng)，向有利于防御者的方向改變攻防工作量的平衡。向有利于防御者的方向改變攻防工作量的平衡。 16.4.1 DTK 欺騙工具包欺騙工具包 DTK 實際上就是一個實際上就是一個有窮狀態(tài)機的集合有窮狀態(tài)機的集合，它能虛擬任何服務，并可方便地利用其中的功能它能虛擬任何服務，并可方便地利用其中的功能直接模仿許多服務程

39、序。它監(jiān)聽輸入并做出似乎直接模仿許多服務程序。它監(jiān)聽輸入并做出似乎真的存在缺陷的反應。在這個過程中它記錄所有真的存在缺陷的反應。在這個過程中它記錄所有動作，提供合情合理的回答，使攻擊者有系統(tǒng)不動作，提供合情合理的回答，使攻擊者有系統(tǒng)不安全的錯覺。在設(shè)計產(chǎn)生欺騙的狀態(tài)機時可以很安全的錯覺。在設(shè)計產(chǎn)生欺騙的狀態(tài)機時可以很容易的揭示攻擊者惡意攻擊的程度和意圖。容易的揭示攻擊者惡意攻擊的程度和意圖。16.4.1 DTK 欺騙工具包欺騙工具包 DTK 有效的增加了攻擊者的工作量。減少有效的增加了攻擊者的工作量。減少“噪音噪音”水平的攻擊，使我們能夠更清晰的看到更有水平的攻擊，水平的攻擊，使我們能夠更清晰

40、的看到更有水平的攻擊，并追捕它們。并追捕它們。 DTK 欺騙是可編程的，但是它受限于要在攻擊者欺騙是可編程的，但是它受限于要在攻擊者的輸入的基礎(chǔ)上做出反應給出輸出，來模仿易受攻擊的的輸入的基礎(chǔ)上做出反應給出輸出，來模仿易受攻擊的系統(tǒng)的行為，這使得它系統(tǒng)的行為，這使得它在可以提供的在可以提供的deception 種類種類的豐富程度上受到很大限制的豐富程度上受到很大限制。另外，很容易區(qū)分真的計。另外，很容易區(qū)分真的計算機環(huán)境和通過由少數(shù)狀態(tài)組成的狀態(tài)機所實現(xiàn)的有限算機環(huán)境和通過由少數(shù)狀態(tài)組成的狀態(tài)機所實現(xiàn)的有限能力，所以能力，所以DTK 對大多數(shù)自動攻擊工具是適用的，對大多數(shù)自動攻擊工具是適用的，

41、但很但很容易被一個真正的攻擊者區(qū)分容易被一個真正的攻擊者區(qū)分出來。出來。16.4.1 DTK 欺騙工具包欺騙工具包 Honeyd 是一個很酷很小巧的用于是一個很酷很小巧的用于創(chuàng)建虛擬的網(wǎng)絡(luò)上的主機創(chuàng)建虛擬的網(wǎng)絡(luò)上的主機的后臺程序，這些虛擬主機的后臺程序，這些虛擬主機可以配置使得它們提供任意的服務可以配置使得它們提供任意的服務，利，利用個性處理可以使得這些主機顯示為在某個特定版本的操作系統(tǒng)上用個性處理可以使得這些主機顯示為在某個特定版本的操作系統(tǒng)上運行。運行。 Honeyd 是是GNU General Public License 下發(fā)布的開源下發(fā)布的開源軟件，目前也有一些商業(yè)公司在使用這個軟件

42、。其最初面向的是類軟件，目前也有一些商業(yè)公司在使用這個軟件。其最初面向的是類linux 操作系統(tǒng)，可以運行在操作系統(tǒng)，可以運行在*BSD 系統(tǒng)，系統(tǒng)，Solaris,GNU/Linux等操作系統(tǒng)上，由等操作系統(tǒng)上，由Niels Provos 開發(fā)和維開發(fā)和維護。最新版本是護。最新版本是2004 年年4 月月19 日發(fā)布的日發(fā)布的Honeyd 0.8b。應用。應用于于Windows 系統(tǒng)的系統(tǒng)的Honeyd 程序也已經(jīng)出現(xiàn)，其開發(fā)者為程序也已經(jīng)出現(xiàn)，其開發(fā)者為Mike Davis.最新版本為最新版本為windows ports for Honeyd 0.5。16.4.2Honeyd Honeyd

43、 能讓一臺主機在一個模擬的局域能讓一臺主機在一個模擬的局域網(wǎng)環(huán)境中配有多個地址網(wǎng)環(huán)境中配有多個地址(曾測試過的最多可以達曾測試過的最多可以達到到65536個個)，外界的主機可以對虛似的主機進，外界的主機可以對虛似的主機進行行ping、traceroute 等網(wǎng)絡(luò)操作，虛擬主機等網(wǎng)絡(luò)操作，虛擬主機上任何類型的服務都可以依照一個簡單的配置文上任何類型的服務都可以依照一個簡單的配置文件進行模擬，也可以為真實主機的服務提供代理。件進行模擬，也可以為真實主機的服務提供代理。16.4.2 Honeyd Honeyd 可以通過提供威脅檢測與評估機制來可以通過提供威脅檢測與評估機制來提高計算機系統(tǒng)的安全性，也

44、可以通過將真實系統(tǒng)隱藏提高計算機系統(tǒng)的安全性，也可以通過將真實系統(tǒng)隱藏在虛擬系統(tǒng)中來阻止外來的攻擊者。在虛擬系統(tǒng)中來阻止外來的攻擊者。 因為因為Honeyd 只能進行網(wǎng)絡(luò)級的模擬，不能提只能進行網(wǎng)絡(luò)級的模擬，不能提供真實的交互環(huán)境，能獲取的有價值的攻擊者的信息比供真實的交互環(huán)境，能獲取的有價值的攻擊者的信息比較有限，所以較有限，所以Honeyd 所模擬的蜜罐系統(tǒng)常常是作為真所模擬的蜜罐系統(tǒng)常常是作為真實應用的網(wǎng)絡(luò)中轉(zhuǎn)移攻擊者目標的設(shè)施，或者是與其他實應用的網(wǎng)絡(luò)中轉(zhuǎn)移攻擊者目標的設(shè)施，或者是與其他高交互的蜜罐系統(tǒng)一起部署，組成功能強大但花費又相高交互的蜜罐系統(tǒng)一起部署，組成功能強大但花費又相對較

45、少的網(wǎng)絡(luò)攻擊信息收集系統(tǒng)。對較少的網(wǎng)絡(luò)攻擊信息收集系統(tǒng)。16.4.2Honeyd Honeyd 的實現(xiàn)主要考慮了以下要點的實現(xiàn)主要考慮了以下要點:o 如何將發(fā)送到虛擬蜜罐的數(shù)據(jù)引入到如何將發(fā)送到虛擬蜜罐的數(shù)據(jù)引入到Honeyd 主機主機o 如何使得模擬主機對攻擊者看上去真實可信同時還保證如何使得模擬主機對攻擊者看上去真實可信同時還保證honeyd 主機的安全主機的安全o 如何模擬任意的網(wǎng)絡(luò)拓撲如何模擬任意的網(wǎng)絡(luò)拓撲o 如何支持如何支持Honeyd 主機利用網(wǎng)絡(luò)隧道與其他系統(tǒng)中的主主機利用網(wǎng)絡(luò)隧道與其他系統(tǒng)中的主機通信機通信o 如何記錄網(wǎng)絡(luò)連接和惡意的攻擊行為如何記錄網(wǎng)絡(luò)連接和惡意的攻擊行為o

46、如何使用盡量簡單的配置語法來配置如何使用盡量簡單的配置語法來配置Honeyd16.4.2 Honeyd Honeynet 是一種高交互的是一種高交互的Honeypot,它不是一個單一的產(chǎn)品它不是一個單一的產(chǎn)品,而是一個被設(shè)計讓攻擊者而是一個被設(shè)計讓攻擊者攻擊的攻擊的有機的網(wǎng)絡(luò)架構(gòu)有機的網(wǎng)絡(luò)架構(gòu)。它的目的是捕獲黑客的。它的目的是捕獲黑客的行為并記錄相關(guān)信息行為并記錄相關(guān)信息,并方便部署者對這些記錄進并方便部署者對這些記錄進行分析行分析,以獲取黑客的攻擊方法以獲取黑客的攻擊方法,了解黑客的攻擊工了解黑客的攻擊工具具,洞悉黑客的攻擊心理洞悉黑客的攻擊心理,通過了解、學習黑客的攻通過了解、學習黑客的攻

47、擊技術(shù)擊技術(shù),反過來對網(wǎng)絡(luò)做出更好的保護。反過來對網(wǎng)絡(luò)做出更好的保護。16.4.3Honeynet Honeynet 是一種是一種Honeypot，但它跟普通，但它跟普通Honeypot有著有著很大的區(qū)別很大的區(qū)別：普通的：普通的Honeypot都是一都是一臺機器，但是臺機器，但是Honeynet 則是一個有機網(wǎng)絡(luò)，一般來說則是一個有機網(wǎng)絡(luò)，一般來說由數(shù)臺電腦組成由數(shù)臺電腦組成(除了在一臺電腦上通過虛擬機來模擬數(shù)除了在一臺電腦上通過虛擬機來模擬數(shù)臺電腦的情況臺電腦的情況)，并配以各種必要的軟、硬件，使它看起，并配以各種必要的軟、硬件，使它看起來象是一個真實的產(chǎn)品系統(tǒng)網(wǎng)絡(luò)，這個來象是一個真實的產(chǎn)

48、品系統(tǒng)網(wǎng)絡(luò)，這個“產(chǎn)品系統(tǒng)產(chǎn)品系統(tǒng)”網(wǎng)絡(luò)網(wǎng)絡(luò)包括各種服務和操作系統(tǒng)，這里的服務可以包括包括各種服務和操作系統(tǒng)，這里的服務可以包括Http、FTP、Mail等服務，而操作系統(tǒng)則可以包括等服務，而操作系統(tǒng)則可以包括Windows、Linux、BSD、Solaries等流行系統(tǒng)。等流行系統(tǒng)。16.4.3Honeynet 相對于相對于DTK,Honeyd等低交互性的等低交互性的Honeypot來說的，來說的，Honeynet具有高交互性具有高交互性。DTK、Honeyd等低交互性等低交互性Honeypot通過通過模模擬服務和操作系統(tǒng)擬服務和操作系統(tǒng)，而不真正的裝上真實的服務，而不真正的裝上真實的服務和

49、操作系統(tǒng)來捕獲黑客行動記錄，而和操作系統(tǒng)來捕獲黑客行動記錄，而Honeynet則通過各種真實的服務和操作系統(tǒng)則通過各種真實的服務和操作系統(tǒng)來提供來提供“服務服務”以獲取黑客行動記錄，黑客面對以獲取黑客行動記錄，黑客面對的是一個完整的的是一個完整的“產(chǎn)品系統(tǒng)產(chǎn)品系統(tǒng)”網(wǎng)絡(luò)，而不是虛擬網(wǎng)絡(luò)，而不是虛擬的網(wǎng)絡(luò)。的網(wǎng)絡(luò)。16.4.3Honeynet 在這個網(wǎng)絡(luò)內(nèi)安裝有各種數(shù)據(jù)控制工具，把黑客的行在這個網(wǎng)絡(luò)內(nèi)安裝有各種數(shù)據(jù)控制工具，把黑客的行為為控制在允許的范圍內(nèi)控制在允許的范圍內(nèi)，但又保證不讓黑客知道他的行，但又保證不讓黑客知道他的行為已經(jīng)受到監(jiān)視和約束，但是由于這個網(wǎng)絡(luò)采用了嚴密為已經(jīng)受到監(jiān)視和約束

50、，但是由于這個網(wǎng)絡(luò)采用了嚴密的數(shù)據(jù)控制，黑客忙了半天，用盡了他掌握的各種技術(shù)、的數(shù)據(jù)控制，黑客忙了半天，用盡了他掌握的各種技術(shù)、工具，不僅沒能達到攻擊目標，卻讓部署者輕松的獲取工具，不僅沒能達到攻擊目標，卻讓部署者輕松的獲取了這些信息。了這些信息。一旦黑客的行為的后果超出了部署者可承一旦黑客的行為的后果超出了部署者可承受的范圍之后，可以馬上中斷聯(lián)接受的范圍之后，可以馬上中斷聯(lián)接，由于這個網(wǎng)絡(luò)不是，由于這個網(wǎng)絡(luò)不是一個真實的產(chǎn)品系統(tǒng)網(wǎng)絡(luò)，即使一個真實的產(chǎn)品系統(tǒng)網(wǎng)絡(luò)，即使Honeynet受到破壞，受到破壞，部署者最大的損失至多是重裝系統(tǒng)而已。部署者最大的損失至多是重裝系統(tǒng)而已。16.4.3Hone

51、ynet 其他各種安全防御措施，如其他各種安全防御措施，如IDS、防火墻，、防火墻，部署者要么需要在大量的日志中搜索有價值的少部署者要么需要在大量的日志中搜索有價值的少數(shù)信息，要么只有在系統(tǒng)遭到破壞后才能知道系數(shù)信息，要么只有在系統(tǒng)遭到破壞后才能知道系統(tǒng)已經(jīng)遭到黑客入侵。統(tǒng)已經(jīng)遭到黑客入侵。 而由于而由于Honeynet在正常情況下的任何數(shù)在正常情況下的任何數(shù)據(jù)包都是異常數(shù)據(jù)包，所以它記錄的內(nèi)容相對于據(jù)包都是異常數(shù)據(jù)包，所以它記錄的內(nèi)容相對于IDS 非常少。通過日志記錄，非常少。通過日志記錄，Honeynet可以可以把部署者感興趣的事件以各種方便的途徑發(fā)送給把部署者感興趣的事件以各種方便的途徑

52、發(fā)送給部署者，可以讓部署者不需要部署者，可以讓部署者不需要24小時全天候的小時全天候的守候。守候。16.4.3 Honeynet16.5 實驗：Honeyd的安裝和配置的安裝和配置 Honeyd 是一款非常優(yōu)秀的虛擬蜜罐軟件，是一款非常優(yōu)秀的虛擬蜜罐軟件，能完成蜜罐的大部分功能，花費的資源相對較少，能完成蜜罐的大部分功能，花費的資源相對較少，并能完成對網(wǎng)絡(luò)拓撲的模擬。并能完成對網(wǎng)絡(luò)拓撲的模擬。Honeyd 的使用的使用也很方便，僅需要一個配置文件，就可以完成響也很方便，僅需要一個配置文件，就可以完成響應的部署。此外，應的部署。此外，Honeyd 的使用也是相當廣的使用也是相當廣泛。在引誘黑客攻

53、擊，反蠕蟲，遏制垃圾郵件等泛。在引誘黑客攻擊，反蠕蟲，遏制垃圾郵件等方面都有廣泛的應用。下面對方面都有廣泛的應用。下面對Honeyd 進行安進行安裝，配置，運行和測試。裝，配置，運行和測試。 Honeyd 能夠使單個主機擁有許多能夠使單個主機擁有許多IP（多達（多達65536 個）。個）。Honeyd 不能單獨運行，不能單獨運行，需要如下三個函數(shù)庫作為配套，需要如下三個函數(shù)庫作為配套，libenvent, ibdnet, ibdcap.下載地址分別：下載地址分別：/provos/libevent-1.1a.tar.gz，http:/ 16.5 實驗：Ho

54、neyd的安裝和配置的安裝和配置 在運行在運行Honeyd 之前，為了保證之前，為了保證honeyd 的主機對配置的的主機對配置的honeypot 的的IP 做做出出arp 請求的應答?？梢酝ㄟ^運行請求的應答?？梢酝ㄟ^運行arpd 軟件來軟件來做出做出arp 應答。應答。arpd 將對指定的將對指定的IP 地址范圍地址范圍內(nèi)未使用的內(nèi)未使用的IP 用用honeyd 主機的主機的MAC 地址做地址做出出arp 應答。下載地址：應答。下載地址：/u/provos/honeyd/arpd-0.2.tar.gz。16.5 實驗：Honeyd的安裝和配置的

55、安裝和配置下面介紹在下面介紹在linux 下安裝下安裝honeyd 的方法，下載的方法，下載honeyd：o/u/provos/honeyd/honeyd-1.0a-rc2.tar.gz。 將上面的文件復制到將上面的文件復制到Linux根目錄下，解壓安裝根目錄下，解壓安裝libdnet-1.10.tar.gz：otar -xvzf libdnet-1.10.tar.gzo進入進入libdnet-1.10目錄：目錄：ocd / libdnet-1.10o開始安裝，運行開始安裝，運行o/configureomakeomake installo同上分別完成其它文件的安裝。同上分別完成其它文件的安裝。16.5 實驗：Honeyd的安裝和配置的安裝和配置o libevent, libdnet, libdcap 安裝在安裝在/usr 目錄下，目錄下，在