蜜罐技術論文

1、蜜罐技術論文摘要：蜜罐(Honeypot)是一種在互聯(lián)網(wǎng)上運行的計算機系統(tǒng)。它是專門為吸引并誘騙那些試圖非法闖入他 人計算機系統(tǒng)的人(如電腦黑客)而設計的，蜜罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng)，它通過模擬一個或多個 易受攻擊的主機，給攻擊者提供一個容易攻擊的目標。由于蜜罐并沒有向外界提供真正有價值的服務，因 此所有對蜜罐嘗試都被視為可疑的。蜜罐的另一個用途是拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐 上浪費時間。簡單點一說：蜜罐就是誘捕攻擊者的一個陷阱。關鍵詞：設計蜜罐；蜜罐的分類；拓撲位置；安全價值；信息收集一、設計蜜罐現(xiàn)在網(wǎng)絡安全面臨的一個大問題是缺乏對入侵者的了解。即誰正在攻擊、攻擊的目的是

2、什么、如何攻 擊以及何時進行攻擊等，而蜜罐為安全專家們提供一個研究各種攻擊的平臺。它是采取主動的方式，用定 制好的特征吸引和誘騙攻擊者，將攻擊從網(wǎng)絡中比較重要的機器上轉(zhuǎn)移開，同時在黑客攻擊蜜罐期間對其 行為和過程進行深入的分析和研究，從而發(fā)現(xiàn)新型攻擊，檢索新型黑客工具，了解黑客和黑客團體的背景、 目的、活動規(guī)律等。蜜罐在編寫新的IDS特征庫、發(fā)現(xiàn)系統(tǒng)漏洞、分析分布式拒絕服務(DDOS)攻擊等方面是很有價值的。蜜 罐本身并不直接增強網(wǎng)絡的安全性，將蜜罐和現(xiàn)有的安全防衛(wèi)手段如入侵檢測系統(tǒng)(IDS)、防火墻 (Firewall)、殺毒軟件等結合使用，可以有效提高系統(tǒng)安全性。設置蜜罐并不難，只要在外部

3、因特網(wǎng)上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。因為黑客可能會設陷阱，以獲取計算機的日志和審查功能，你就要在計算機和因特網(wǎng)連接之間 安置一套網(wǎng)絡監(jiān)控系統(tǒng)，以便悄悄記錄下進出計算機的所有流量。然后只要坐下來，等待攻擊者自投羅網(wǎng)。不過，設置蜜罐并不是說沒有風險。這是因為，大部分安全遭到危及的系統(tǒng)會被黑客用來攻擊其它系 統(tǒng)。這就是下游責任(downstream liability)，由此引出了蜜網(wǎng)(honeynet)這一話題。蜜網(wǎng)是指另外采用了技術的蜜罐，從而以合理方式記錄下黑客的行動，同時盡量減小或排除對因特網(wǎng) 上其它系統(tǒng)造成的風險。建立在反向防火墻后面

4、的蜜罐就是一個例子。防火墻的目的不是防止入站連接， 而是防止蜜罐建立出站連接。不過，雖然這種方法使蜜罐不會破壞其它系統(tǒng)，但同時很容易被黑客發(fā)現(xiàn)。二、蜜罐的分類根據(jù)蜜罐的交互程度，可以將蜜罐分為3類：蜜罐的交互程度(Level of Involvement)指攻擊者與蜜罐相互作用的程度。低交互蜜罐只是運行于現(xiàn)有系統(tǒng)上的一個仿真服務，在特定的端口監(jiān)聽記錄所有進入的數(shù)據(jù)包，提供少量的交互 功能，黑客只能在仿真服務預設的范圍內(nèi)動作。低交互蜜罐上沒有真正的操作系統(tǒng)和服務，結構簡單， 部署容易，風險很低，所能收集的信息也是有限的。中交互蜜罐也不提供真實的操作系統(tǒng)，而是應用腳本或小程序來模擬服務行為，提供的

5、功能主要取決于腳本。在 不同的端口進行監(jiān)聽，通過更多和更復雜的互動，讓攻擊者會產(chǎn)生是一個真正操作系統(tǒng)的錯覺，能夠 收集更多數(shù)據(jù)。開發(fā)中交互蜜罐，要確保在模擬服務和漏洞時并不產(chǎn)生新的真實漏洞，而給黑客滲透 和攻擊真實系統(tǒng)的機會。高交互蜜罐由真實的操作系統(tǒng)來構建，提供給黑客的是真實的系統(tǒng)和服務。給黑客提供一個真實的操作系統(tǒng)，可 以學習黑客運行的全部動作，獲得大量的有用信息，包括完全不了解的新的網(wǎng)絡攻擊方式。正因為高 交互蜜罐提供了完全開放的系統(tǒng)給黑客，也就帶來了更高的風險，即黑客可能通過這個開放的系統(tǒng)去 攻擊其他的系統(tǒng)。三、蜜罐的拓撲位置蜜罐本身作為一個標準服務器對周圍網(wǎng)絡環(huán)境并沒有什么特別需要。

6、理論上可以布置在網(wǎng)絡的任 何位置。但是不同的位置其作用和功能也是不盡相同。如果用于內(nèi)部或私有網(wǎng)絡，可以放置在任何一個公共數(shù)據(jù)流經(jīng)的節(jié)點。如用于互聯(lián)網(wǎng)的連接，蜜罐可 以位于防火墻前面，也可以是后面。 防火墻之前：如見圖1中蜜罐（1），蜜罐會吸引象端口掃描等大量的攻擊，而這些攻擊不會被 防火墻記錄也不讓內(nèi)部IDS系統(tǒng)產(chǎn)生警告，只會由蜜罐本身來記錄。因為位于防火墻之外，可被視為外部網(wǎng)絡中的任何一臺普通的機器，不用調(diào)整防火墻及其它的資源的 配置，不會給內(nèi)部網(wǎng)增加新的風險，缺點是無法定位或捕捉到內(nèi)部攻擊者，防火墻限制外向交通，也 限制了蜜罐的對內(nèi)網(wǎng)信息收集。防火墻之后：如圖1中蜜罐（2），會給內(nèi)部網(wǎng)帶來

7、安全威脅，尤其是內(nèi)部網(wǎng)沒有附加的防火 墻來與蜜罐相隔離。蜜罐提供的服務，有些是互聯(lián)網(wǎng)的輸出服務，要求由防火墻把回饋轉(zhuǎn)給蜜罐不可 避免地調(diào)整防火墻規(guī)則，因此要謹慎設置，保證這些數(shù)據(jù)可以通過防火墻進入蜜罐而不引入更多的風 險。優(yōu)點是既可以收集到已經(jīng)通過防火墻的有害數(shù)據(jù)，還可以探查內(nèi)部攻擊者。缺點是一旦蜜罐被外 部攻擊者攻陷就會危害整個內(nèi)網(wǎng)。還有一種方法，把蜜罐置于隔離區(qū)DMZ內(nèi)，如圖1中蜜罐（3）。隔離區(qū)只有需要的服務才被允許通 過防火墻，因此風險相對較低。DMZ內(nèi)的其它系統(tǒng)要安全地和蜜罐隔離。此方法增加了隔離區(qū)的負擔， 具體實施也比較困難。四、蜜罐的安全價值蜜罐是增強現(xiàn)有安全性的強大工具，是一種

8、了解黑客常用工具和攻擊策略的有效手段。根據(jù)P2DR 動態(tài)安全模型，從防護、檢測和響應三方面分析蜜罐的安全價值。防護蜜罐在防護中所做的貢獻很少，并不會將那些試圖攻擊的入侵者拒之門外。事實上蜜罐 設計的初衷就是妥協(xié)，希望有人闖入系統(tǒng)，從而進行記錄和分析。有些學者認為誘騙也是一種防護。因為誘騙使攻擊者花費大量的時間和資源對蜜罐進行攻擊，從而防 止或減緩了對真正系統(tǒng)的攻擊。檢測蜜罐的防護功能很弱，卻有很強的檢測功能。因為蜜罐本身沒有任何生產(chǎn)行為，所有與 蜜罐的連接都可認為是可疑行為而被紀錄。這就大大降低誤報率和漏報率，也簡化了檢測的過程?，F(xiàn)在的網(wǎng)絡主要是使用入侵檢測系統(tǒng)IDS來檢測攻擊。面對大量正常通

9、信與可疑攻擊行為相混雜 的網(wǎng)絡，要從海量的網(wǎng)絡行為中檢測出攻擊是很困難的，有時并不能及時發(fā)現(xiàn)和處理真正的攻擊。高 誤報率使IDS失去有效的報警作用，蜜罐的誤報率遠遠低于大部分IDS工具。另外目前的IDS還不能夠有效地對新型攻擊方法進行檢測，無論是基于異常的還是基于誤用的，都有 可能遺漏新型或未知的攻擊。蜜罐可以有效解決漏報問題，使用蜜罐的主要目的就是檢測新的攻擊。 響應 蜜罐檢測到入侵后可以進行響應，包括模擬回應來引誘黑客進一步攻擊，發(fā)出報警通知 系統(tǒng)管理員，讓管理員適時的調(diào)整入侵檢測系統(tǒng)和防火墻配置，來加強真實系統(tǒng)的保護等。五、蜜罐的信息收集要進行信息分析，首先要進行信息收集，下面分析蜜罐的

10、數(shù)據(jù)捕獲和記錄機制。根據(jù)信息捕獲部 件的位置，可分為基于主機的信息收集和基于網(wǎng)絡的信息收集?；谥鳈C的信息收集基于主機的信息收集有兩種方式，一是直接記錄進出主機的數(shù)據(jù)流，二是以系統(tǒng)管理員身份嵌入 操作系統(tǒng)內(nèi)部來監(jiān)視蜜罐的狀態(tài)信息，即所謂“Peeking”機制。記錄數(shù)據(jù)流直接記錄數(shù)據(jù)流實現(xiàn)一般比較簡單，主要問題是在哪里存儲這些數(shù)據(jù)。收集到的數(shù)據(jù)可以本地存放在密罐主機中，例如把日志文件用加密技術放在一個隱藏的分區(qū)中。本地 存儲的缺點是系統(tǒng)管理員不能及時研究這些數(shù)據(jù)，同時保留的日志空間可能用盡，系統(tǒng)就會降低交互 程度甚至變?yōu)椴皇鼙O(jiān)控。攻擊者也會了解日志區(qū)域并且試圖控制它，而使日志文件中的數(shù)據(jù)不再是可

11、 信數(shù)據(jù)。因此，將攻擊者的信息存放在一個安全的、遠程的地方相對更合理。以通過串行設備、并行設備、 USB或Firewire技術和網(wǎng)絡接口將連續(xù)數(shù)據(jù)存儲到遠程日志服務器，也可以使用專門的日志記錄硬件 設備。數(shù)據(jù)傳輸時采用加密措施。采用“Peeking”機制這種方式和操作系統(tǒng)密切相關，實現(xiàn)相對比較復雜。對于微軟系列操作系統(tǒng)來說，系統(tǒng)的源代碼是很難得到，對操作系統(tǒng)的更改很困難，無法以透明的方 式將數(shù)據(jù)收集結構與系統(tǒng)內(nèi)核相結合，記錄功能必須與攻擊者可見的用戶空間代碼相結合。蜜罐管理 員一般只能察看運行的進程，檢查日志和應用MD-5檢查系統(tǒng)文件的一致性。對于UNIX系列操作系統(tǒng)，幾乎所有的組件都可以以源

12、代碼形式得到，則為數(shù)據(jù)收集提供更多的 機會，可以在源代碼級上改寫記錄機制，再重新編譯加入蜜罐系統(tǒng)中。需要說明，盡管對于攻擊者來 說二進制文件的改變是很難察覺，一個高級黑客還是可能通過如下的方法探測到：MD-5檢驗和檢查：如果攻擊者有一個和蜜罐對比的參照系統(tǒng)，就會計算所有標準的系統(tǒng)二進 制文件的MD-5校驗和來測試蜜罐。庫的依賴性和進程相關性檢查：即使攻擊者不知道原始的二進制系統(tǒng)的確切結構，仍然能應用 特定程序觀察共享庫的依賴性和進程的相關性。例如，在UNIX操作系統(tǒng)中，超級用戶能應用truss 或strace命令來監(jiān)督任何進程，當一個象grep （用來文本搜索）的命令突然開始與系統(tǒng)日志記錄進程

13、 通信，攻擊者就會警覺。庫的依賴性問題可以通過使用靜態(tài)聯(lián)接庫來解決。另外如果黑客攻陷一臺機器，一般會安裝所謂的后門工具包，這些文件會代替機器上原有的文件， 可能會使蜜罐收集數(shù)據(jù)能力降低或干脆失去。因此應直接把數(shù)據(jù)收集直接融入UNIX內(nèi)核，這樣攻擊 者很難探測到。修改UNIX內(nèi)核不象修改UNIX系統(tǒng)文件那么容易，而且不是所有的UNIX版本都有 源代碼形式的內(nèi)核。不過一旦源代碼可用，這是布置和隱藏數(shù)據(jù)收集機制有效的方法?；诰W(wǎng)絡的信息收集基于主機的信息收集定位于主機本身，這就很容易被探測并終止?；诰W(wǎng)絡的信息收集將收集機制設置在蜜罐之外，以一種不可見的方式運行，很難被探測到，即使探測到也難被終止比

14、基于主機的 信息收集更為安全。可以利用防火墻和入侵檢測系統(tǒng)從網(wǎng)絡上來收集進出蜜罐的信息。防火墻可以配置防火墻記錄所有的出入數(shù)據(jù)，供以后仔細地檢查。用標準文件格式來記錄，如Linux系統(tǒng)的 tcpdump兼容格式，可以有很多工具軟件來分析和解碼錄制的數(shù)據(jù)包。也可以配置防火墻針對進出蜜 罐數(shù)據(jù)包觸發(fā)報警，這些警告可以被進一步提煉而提交給更復雜的報警系統(tǒng)，來分析哪些服務己被攻 擊。例如，大部分利用漏洞的程序都會建立一個shell或打開某端口等待外來連接，防火墻可以記錄 那些試圖與后門和非常規(guī)端口建立連接的企圖并且對發(fā)起源的IP告警。防火墻也是數(shù)據(jù)統(tǒng)計的好地 方，進出數(shù)據(jù)包可被計數(shù)，研究黑客攻擊時的網(wǎng)

15、絡流量是很有意義的。入侵檢測系統(tǒng)網(wǎng)絡入侵檢測系統(tǒng)NIDS在網(wǎng)絡中的放置方式使得它能夠?qū)W(wǎng)絡中所有機器進行監(jiān)控?？梢杂?HIDS記錄進出蜜罐的所有數(shù)據(jù)包，也可以配置NIDS只去捕獲我們感興趣的數(shù)據(jù)流。在基于主機的信息收集中，高明的入侵者會嘗試闖入遠程的日志服務器試圖刪除他們的入侵記錄，而 這些嘗試也正是蜜罐想要了解和捕獲的信息。即使他們成功刪除了主機內(nèi)的日志，NIDS還是在網(wǎng)內(nèi) 靜靜地被動捕獲著進出蜜罐的所有數(shù)據(jù)包和入侵者的所有活動，此時NIDS充當了第二重的遠程日志 系統(tǒng)，進一步確保了網(wǎng)絡日志記錄的完整性。當然，不論是基于誤用還是基于異常的NIDS都不會探測不到所有攻擊，對于新的攻擊方式，特

16、征庫里將不會有任何的特征，而只要攻擊沒有反常情況，基于異常的NIDS就不會觸發(fā)任何警告，例 如慢速掃描，因此要根據(jù)蜜罐的實際需要來調(diào)整IDS配置。始終實時觀察蜜罐費用很高，因此將優(yōu)秀的網(wǎng)絡入侵檢測系統(tǒng)和蜜罐結合使用是很有用的。主動的信息收集信息也是可以主動獲得，使用第三方的機器或服務甚至直接針對攻擊者反探測，如Whois， Portscan等。這種方式很危險，容易被攻擊者察覺并離開蜜罐，而且不是蜜罐所研究的主要范疇。降低蜜罐的風險首先，要根據(jù)實際需要選擇最低安全風險的蜜罐。事實上并不總是需要高交互蜜罐，如只想發(fā)現(xiàn) 公司內(nèi)部的攻擊者及誰探查了內(nèi)部網(wǎng)，中低交互的蜜罐就足夠了。如確實需要高交互蜜罐可

17、嘗試利用 帶防火墻的蜜網(wǎng)而不是單一的蜜罐。其次，要保證攻擊蜜罐所觸發(fā)的警告應當能夠立即發(fā)送給蜜罐管理員。如探測到對root權限的嘗 試攻擊就應當在記錄的同時告知管理員，以便采取行動。要保證能隨時關閉蜜罐，作為最后的手段， 關閉掉失去控制的蜜罐，阻止了各種攻擊，也停止了信息收集。相對而言保護第三方比較困難，蜜罐要與全球的網(wǎng)絡交互作用才具有吸引力而返回一些有用的信息， 拒絕向外的網(wǎng)絡交通就不會引起攻擊者太大的興趣，而一個開放的蜜罐資源在黑客手里會成為有力的 攻擊跳板，要在二者之間找到平衡，可以設置防火墻對外向連接做必要的限定：在給定時間間隔只允許定量的IP數(shù)據(jù)包通過。 在給定時間間隔只允許定量的TCP SYN數(shù)據(jù)包。限定同時的TCP連接數(shù)量。 隨機地丟掉外向IP包。這樣既允許外向交通，又避免了蜜罐系統(tǒng)成為入侵者攻擊他人的跳板。如需要完全拒絕到某個端 口的外向交通也是可以的。另一個限制方法是布置基于包過濾器的IDS，丟棄與指定特征相符的包， 如使用Hogwash包過濾器。隨著網(wǎng)絡入侵類型的多樣化發(fā)展，蜜罐也必須進行多樣化的演繹，否則它有一天將無法面對入侵者的 肆虐。這也對網(wǎng)絡管理員的技術能力有了更高的要求，因為蜜罐一一這個活躍在安全領域的虛