網(wǎng)絡安全ch6(2)網(wǎng)絡安全技術

網(wǎng)絡安全

張磊華東師范大學軟件學院第6章網(wǎng)絡防御技術VPN入侵檢測防火墻網(wǎng)絡防御技術概述IDS主要內(nèi)容入侵檢測技術概述入侵檢測系統(tǒng)體系結(jié)構IDS存在問題IDS發(fā)展方向SnortIDS與蜜罐技術一、入侵檢測技術概述IDS:IntrusionDetectionSystem對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)主要功能監(jiān)控網(wǎng)絡和系統(tǒng)發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象實時報警主動響應為什么需要IDS入侵檢測系統(tǒng)是防火墻之后的第二道防線假如防火墻是一幢大樓的門衛(wèi)，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)關于防火墻網(wǎng)絡邊界的設備自身可以被攻破粗粒度檢測不是所有的威脅來自防火墻外部入侵很容易入侵教程隨處可見各種工具唾手可得只有防火墻的網(wǎng)絡：被動防御；無法防御內(nèi)部攻擊。擁有IDS和防火墻的網(wǎng)絡：防火墻：被動防御；IDS：主動檢測可以防御內(nèi)部攻擊。為什么需要IDS（續(xù)）入侵檢測的任務檢測來自內(nèi)部的攻擊事件和越權訪問80％以上的攻擊事件來自于內(nèi)部的攻擊防火墻只能防外，難于防內(nèi)入侵檢測系統(tǒng)作為防火墻系統(tǒng)的一個有效的補充入侵檢測系統(tǒng)可以有效的防范防火墻開放的服務入侵入侵檢測的任務（續(xù)）檢測其它安全工具沒有發(fā)現(xiàn)的網(wǎng)絡工具事件。提供有效的審計信息，詳細記錄黑客的入侵過程，從而幫助管理員發(fā)現(xiàn)網(wǎng)絡的脆弱性。在一些大型的網(wǎng)絡中，管理員沒有時間跟蹤系統(tǒng)漏洞并且安裝相應的系統(tǒng)補丁程序。對于一些存在安全漏洞的服務、協(xié)議和軟件，用戶有時候不得不使用。入侵檢測的任務（續(xù)）入侵檢測的起源1980年，JamesAnderson最早提出入侵檢測概念1987年，D．E．Denning首次給出了一個入侵檢測的抽象模型，并將入侵檢測作為一種新的安全防御措施提出。1988年，Morris蠕蟲事件直接刺激了IDS的研究1988年，創(chuàng)建了基于主機的系統(tǒng),有IDES，Haystack等1989年，提出基于網(wǎng)絡的IDS系統(tǒng),有NSM，NADIR，DIDS等入侵檢測的起源（續(xù)）90年代，不斷有新的思想提出，如將人工智能、神經(jīng)網(wǎng)絡、模糊理論、證據(jù)理論、分布計算技術等引入IDS系統(tǒng)2000年2月，對Yahoo！、Amazon、CNN等大型網(wǎng)站的DDOS攻擊引發(fā)了對IDS系統(tǒng)的新一輪研究熱潮2001年～今，RedCode、求職信等新型病毒的不斷出現(xiàn)，進一步促進了IDS的發(fā)展。按檢測對象區(qū)分：主機入侵檢測（HostbasedIDS)網(wǎng)絡入侵檢測（NetworkbasedIDS）分布式的入侵檢測系統(tǒng)這種入侵檢測系統(tǒng)一般為分布式結(jié)構，由多個部件組成在關鍵主機上采用主機入侵檢測，在網(wǎng)絡關鍵節(jié)點上采用網(wǎng)絡入侵檢測，同時分析來自主機系統(tǒng)的審計日志和來自網(wǎng)絡的數(shù)據(jù)流，判斷被保護系統(tǒng)是否受到攻擊入侵檢測技術分類主機入侵檢測系統(tǒng)（HIDS）安裝于被保護的主機中主要分析主機內(nèi)部活動：系統(tǒng)調(diào)用端口調(diào)用系統(tǒng)日志安全審計應用日志發(fā)現(xiàn)主機出現(xiàn)可疑行為，HIDS采取措施占用一定的系統(tǒng)資源InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartners主機入侵檢測系統(tǒng)（HIDS）（續(xù)）HackerHost-basedIDSHost-basedIDSInternet基于主機入侵檢測系統(tǒng)工作原理網(wǎng)絡服務器1客戶端網(wǎng)絡服務器2X檢測內(nèi)容：

系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應用日志HIDSXHIDS主機入侵檢測系統(tǒng)優(yōu)缺點優(yōu)點對分析“可能的攻擊行為”非常有用審計內(nèi)容全面，得到的信息詳盡誤報率低適用于加密環(huán)境缺點必須安裝在要保護的設備上，出現(xiàn)額外的安全風險依賴服務器固有的日志與監(jiān)視能力部署代價大，易出現(xiàn)盲點不能監(jiān)控網(wǎng)絡上的情況網(wǎng)絡入侵檢測系統(tǒng)安裝在被保護的網(wǎng)段中混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實時檢測和響應操作系統(tǒng)無關性不會增加網(wǎng)絡中主機的負載發(fā)現(xiàn)問題可以切斷網(wǎng)絡目前IDS大多數(shù)是NIDSInternetNIDS基于網(wǎng)絡入侵檢測系統(tǒng)工作原理網(wǎng)絡服務器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶端網(wǎng)絡服務器2X檢測內(nèi)容：

包頭信息+有效數(shù)據(jù)部分網(wǎng)絡入侵檢測系統(tǒng)（續(xù)）優(yōu)點檢測范圍廣不需要改變服務器的配置不影響業(yè)務系統(tǒng)的性能部署風險小具有專門設備缺點不能檢測不同網(wǎng)段的網(wǎng)絡包很難檢測復雜的需要大量計算的攻擊難以處理加密的會話二、IDS體系結(jié)構標準CIDF(公共入侵檢測框架）（美國國防部提出）事件產(chǎn)生器（Eventgenerators）事件分析器（Eventanalyzers）事件數(shù)據(jù)庫（Eventdatabases）響應單元（Responseunits）

IDS體系結(jié)構標準（續(xù)）事件產(chǎn)生器事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。

事件分析器事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。

響應單元響應單元則是對分析結(jié)果作出作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應,甚至發(fā)動對攻擊者的反擊，也可以只是簡單的報警。

事件數(shù)據(jù)庫事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復雜的數(shù)據(jù)庫，也可以是簡單的文本文件。

三、IDS存在的問題1）布局問題IDS布局位置決定安全檢測程度IDS的布局問題FirewallRouterSwitch-1Switch-2ServersNetworkIDSServerInternet1234①檢測所有通信，可由Fw阻斷②檢測所有通信，但已無法阻斷③檢測交換機1的通信④檢測網(wǎng)段2所有通信IDS的布局問題（續(xù)）檢測器部署位置放在邊界防火墻之外放在邊界防火墻之內(nèi)防火墻內(nèi)外都裝有入侵檢測器將入侵檢測器安裝在其它關鍵位置IDS的布局問題（續(xù)）入侵檢測引擎放在防火墻之外在這種情況下，入侵檢測系統(tǒng)能接收到防火墻外網(wǎng)口的所有信息，管理員可以清楚地看到所有來自Internet的攻擊當與防火墻聯(lián)動時，防火墻可以動態(tài)阻斷發(fā)生攻擊的連接。IDS的布局問題（續(xù)）入侵檢測引擎放在防火墻之內(nèi)在這種情況下，穿透防火墻的攻擊與來自于局域網(wǎng)內(nèi)部的攻擊都可以被入侵檢測系統(tǒng)監(jiān)聽到管理員可以清楚地看到哪些攻擊真正對自己的網(wǎng)絡構成了威脅。IDS的布局問題（續(xù)）防火墻內(nèi)外都裝有入侵檢測器在這種情況下，可以檢測來自內(nèi)部和外部的所有攻擊管理員可以清楚地看出是否有攻擊穿透防火墻，對自己網(wǎng)絡所面對的安全威脅了如指掌。IDS的布局問題（續(xù)）檢測器放在其它關鍵位置:主要的網(wǎng)絡中樞監(jiān)控大量的網(wǎng)絡數(shù)據(jù)，可提高檢測黑客攻擊的可能性可通過授權用戶的權利周界來發(fā)現(xiàn)未授權用戶的行為IDS的布局問題（續(xù)）檢測器放在其它關鍵位置:安全級別高的子網(wǎng)對非常重要的系統(tǒng)和資源的入侵檢測IDS的布局問題（續(xù)）檢測器放置于其它關鍵位置:防火墻的DMZ區(qū)域可以查看受保護區(qū)域主機被攻擊狀態(tài)可以看出防火墻系統(tǒng)的策略是否合理可以看出DMZ區(qū)域被黑客攻擊的重點三、IDS存在的問題2）檢測問題信息獲取的局限（網(wǎng)絡、網(wǎng)段和主機）檢測算法、模型、加速算法、規(guī)則（特征）庫智能檢測和確認問題多協(xié)議和多類型檢測檢測系統(tǒng)與操作系統(tǒng)的接口問題三、IDS存在的問題3）分析問題由于網(wǎng)段信號分流，帶寬增加，功能會下降極增的網(wǎng)絡流量導致檢測分析難度加大由于網(wǎng)絡隨時擴展，無法觀測到所有通信數(shù)據(jù)之特征各異智能化不夠，無法理解壓縮、加密數(shù)據(jù)包容易出現(xiàn)漏報、誤報和錯報高速網(wǎng)絡使數(shù)據(jù)的實時分析更加困難四、IDS發(fā)展方向研究方向解決誤報和漏報IDS發(fā)展方向（續(xù)）DOS攻擊日漸升級；DDoS現(xiàn)在成為“黑客的終極武器”；解決方法：負載均衡雙機熱備份服務器RandomDrop、帶寬限制防護算法、IDS與防火墻聯(lián)動但始終會出現(xiàn)資源耗盡、丟失合法訪問的時候IDS發(fā)展方向（續(xù)）新概念-IPS（入侵防御系統(tǒng)）特點：檢測并阻止入侵流量進入網(wǎng)絡入侵分析算法采用協(xié)議分析技術，提高報警的準確率和性能將IDS與抵抗DOS結(jié)合IPS系統(tǒng)IPS的提出將IDS與防火墻等的功能集中在一起，形成一種新的產(chǎn)品：入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS），有時又稱入侵檢測和防御系統(tǒng)（IntrusionDetectionandPrevention，IDP）

IDS在以下方面存在著不足：

①較高的誤警率；②系統(tǒng)的管理和維護比較難；③當IDS遭受拒絕服務攻擊時，它的失效開放機制使得黑客可以實施攻擊而不被發(fā)現(xiàn)IPS系統(tǒng)（續(xù)）IPS概述IPS提供了主動防護，它會預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截，避免其造成損失，而對于IDS來說，它是在惡意流量傳送時或傳送后才發(fā)出警報。它的部署情況如下圖所示： IPS采用串接的工作方式，通常部署在防火墻之后，對通過防火墻的數(shù)據(jù)包進行進一步檢查過濾。

IPS系統(tǒng)（續(xù)）IPS的使用IPS作為一種新技術仍然存在著很多不足：它的串聯(lián)工作方式會影響網(wǎng)絡性能和可靠性。對于IPS采用失效開放還是失效關閉存在爭議：如果IPS停止運轉(zhuǎn)后線路仍暢通，則相當于沒有任何防御效果。如果停止運轉(zhuǎn)后網(wǎng)絡斷開，企業(yè)網(wǎng)絡就與外部網(wǎng)路完全切斷，相當于IPS自己產(chǎn)生了拒絕服務攻擊。同IDS一樣，IPS在檢測效果、報警處理機制、特征庫優(yōu)化等方面還有待提高。

因此，在實際應用中，通常是將IPS、IDS和防火墻配合起來使用。千兆IDS的實現(xiàn)負載均衡技術負載均衡設備＋多臺100M入侵檢測設備典型產(chǎn)品如ISS的realsecure協(xié)議分析技術＋優(yōu)化算法＋高配置硬件五、SnortSnort是MartinRoesch等人開發(fā)的一種開放源碼的入侵檢測系統(tǒng)。MartinRoesch把snort定位為一個輕量級的入侵檢測系統(tǒng)。它具有實時數(shù)據(jù)流量分析和IP數(shù)據(jù)包日志分析的能力，具有跨平臺特征，能夠進行協(xié)議分析和對內(nèi)容的搜索/匹配。它能夠檢測不同的攻擊行為，如緩沖區(qū)溢出、端口掃描、DoS攻擊等，并進行實時報警Snort（續(xù)）snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、入侵檢測系統(tǒng)。做嗅探器時，它只讀取網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包，然后顯示在控制臺上。作數(shù)據(jù)包記錄器時，它可以將數(shù)據(jù)包記錄到硬盤上，已備分析之用。入侵檢測模式功能強大，可通過配置實現(xiàn)，但稍顯復雜，snort可以根據(jù)用戶事先定義的一些規(guī)則分析網(wǎng)絡數(shù)據(jù)流，并根據(jù)檢測結(jié)果采取一定的動作使用控制臺查看檢測結(jié)果打開:50080/acid/acid_main.php網(wǎng)頁，啟動snort并打開acid檢測控制臺主界面使用控制臺查看檢測結(jié)果（續(xù)）使用控制臺查看檢測結(jié)果（續(xù)）點擊右側(cè)圖示中TCP后的數(shù)字“80%”，將顯示所有檢測到的TCP協(xié)議日志詳細情況，如下圖所示。TCP協(xié)議日志網(wǎng)頁中的選項依次為：流量類型、時間戳、源地址、目標地址以及協(xié)議。由于snort主機所在的內(nèi)網(wǎng)為，可以看出，日志中只記錄了外網(wǎng)IP對內(nèi)網(wǎng)的連接（即目標地址均為內(nèi)網(wǎng)）使用控制臺查看檢測結(jié)果（續(xù)）使用控制臺查看檢測結(jié)果（續(xù)）選擇控制條中的“home”返回控制臺主界面，在主界面的下部有流量分析及歸類選項，如下圖。acid檢測控制臺主界面:使用控制臺查看檢測結(jié)果（續(xù)）使用控制臺查看檢測結(jié)果（續(xù)）選擇“l(fā)ast24hours:alertsunique”，可以看到24小時內(nèi)特殊流量的分類記錄和分析，如下圖所示?？梢钥吹剑碇性敿氂涗浟烁黝愋土髁康姆N類、在總?cè)罩局兴嫉谋壤?、出現(xiàn)該類流量的起始和終止時間等詳細分析（在控制臺主界面中還有其他功能選項，請自己練習使用）使用控制臺查看檢測結(jié)果（續(xù)）六、蜜罐主機和欺騙網(wǎng)絡網(wǎng)絡誘騙技術的核心是蜜罐（HoneyPot）。蜜罐（HoneyPot）技術模擬存在漏洞的系統(tǒng)，為攻擊者提供攻擊目標。其目標是尋找一種有效的方法來影響入侵者，使得入侵者將技術、精力集中到蜜罐而不是其他真正有價值的正常系統(tǒng)和資源中。蜜罐技術還能做到一旦入侵企圖被檢測到時，迅速地將其切換。蜜罐主機和欺騙網(wǎng)絡（續(xù)）蜜罐主機(Honeypot)連累等級(LevelofInvolvement)蜜罐主機的布置DefnetHoneyPot欺騙網(wǎng)絡(Honeynet)

1、蜜罐主機(Honeypot)術語“蜜罐主機”現(xiàn)在是隨處可見，不同的廠商都聲稱他們可以提供蜜罐主機類產(chǎn)品。但到底什么是蜜罐主機，一直沒有確切的定義。在此，我們把蜜罐主機定義為：蜜罐主機是一種資源，它被偽裝成一個實際目標；蜜罐主機希望人們?nèi)ス艋蛉肭炙凰闹饕康脑谟诜稚⒐粽叩淖⒁饬褪占c攻擊和攻擊者有關的信息。蜜罐主機的價值蜜罐主機不能直接解決任何網(wǎng)絡安全問題，甚至于會引來更多的入侵者來進攻自己的網(wǎng)絡。那么，蜜罐主機到底能給我們提供什么有用信息？我們又如何利用這些信息？有兩種類型的蜜罐主機：產(chǎn)品型(Production)蜜罐主機和研究型(Research)蜜罐主機。產(chǎn)品型蜜罐主機用于降低網(wǎng)絡的安全風險；研究型蜜罐主機則用于收集盡可能多的信息。這些蜜罐主機不會為網(wǎng)絡增加任何安全價值，但它們確實可以幫助我們明確黑客社團以及他們的攻擊行為，以便更好地抵御安全威脅。蜜罐主機(Honeypot)（續(xù)）蜜罐主機是專門用來被人入侵的一種資源。所有通過蜜罐主機的通信流量都被認為是可疑的因為在蜜罐主機上不會運行額外的、會產(chǎn)生其它通信流量的系統(tǒng)。通常，進出蜜罐主機的通信都是非授權的因此蜜罐主機所收集的信息也是我們所感興趣的數(shù)據(jù)而且這些信息不會摻雜有其它系統(tǒng)所產(chǎn)生的額外通信數(shù)據(jù)，因此分析起來相對容易一些。它所收集的數(shù)據(jù)的價值相對較高。蜜罐主機(Honeypot)（續(xù)）但是如果一臺蜜罐主機沒有被攻擊，那么它就毫無意義。蜜罐主機通常位于網(wǎng)絡的某點(SinglePoint)，因此它被攻擊者發(fā)現(xiàn)的概率是很小的。蜜罐主機有可能增加額外的風險：入侵者有可能被整個網(wǎng)絡所吸引或者蜜罐主機可能被攻陷。蜜罐主機(Honeypot)（續(xù)）2、連累等級(LevelofInvolvement)蜜罐主機的一個重要特性就是連累等級。連累等級是指攻擊者同蜜罐主機所在的操作系統(tǒng)的交互程度。低連累蜜罐主機低連累蜜罐主機低連累蜜罐主機一臺典型的低連累蜜罐主機只提供某些偽裝的服務。低連累蜜罐主機（續(xù)）在一個低連累蜜罐主機上，由于攻擊者并不與實際的操作系統(tǒng)打交道，從而可以大大降低蜜罐主機所帶來的安全風險。不過這種蜜罐也有其缺點，那就是蜜罐無法看到攻擊者同操作系統(tǒng)的交互過程。一個低連累蜜罐主機就如同一條單向連接，我們只能聽，無法提出問題。這是一種被動式蜜罐。低連累蜜罐主機類似于一個被動的入侵檢測系統(tǒng)，它們不對通信流進行修改或者同攻擊者進行交互。如果進入的包匹配某種實現(xiàn)定義的模式，它們就會產(chǎn)生日志和告警信息。低連累蜜罐主機（續(xù)）中連累蜜罐主機同攻擊者進行交互中連累蜜罐主機中連累蜜罐主機提供更多接口同底層的操作系統(tǒng)進行交互，偽裝的后臺服務程序也要復雜一些，對其所提供的特定服務需要的知識也更多，同時風險也在增加。隨著蜜罐主機復雜度的提升，攻擊者發(fā)現(xiàn)其中的安全漏洞的機會也在增加，攻擊者可以采取的攻擊技術也相應更多。由于協(xié)議和服務眾多，開發(fā)中連累蜜罐主機要更復雜和花費更多時間。必須特別注意的是，所有開發(fā)的偽裝后臺服務程序必須足夠安全，不應該存在出現(xiàn)在實際服務中的漏洞。中連累蜜罐主機（續(xù)）高連累蜜罐主機高連累蜜罐主機高連累蜜罐主機，由于高連累蜜罐主機與底層操作系統(tǒng)的交互是“實實在在”的，所以隨著操作系統(tǒng)復雜性的提高，由蜜罐主機所帶來的安全風險也不斷增高。同時，蜜罐主機所能夠收集到的信息越多，也就越容易吸引入侵者。控制蜜罐主機，而高連累蜜罐主機也確實為黑客提供了這樣的工作環(huán)境。此時，整個系統(tǒng)已經(jīng)不能再被當作是安全的，雖然，蜜罐主機通常運行在一個受限制的虛擬環(huán)境中(所謂的沙箱或者VMWare)，但入侵者總會有辦法突破這個軟件邊界。

高連累蜜罐主機（續(xù)）由于高連累蜜罐主機的高安全風險，因而我們有必要對蜜罐一直進行監(jiān)視，否則蜜罐主機本身可能成為另一個安全漏洞。因此，蜜罐主機可以訪問的資源和范圍必須受到一定的限制，對于進出蜜罐主機的通信流必須進行過濾，以防止成為黑客發(fā)動其它攻擊的跳板。高連累蜜罐主機（續(xù)）由于高連累蜜罐主機給攻擊者提供的是完整的操作系統(tǒng)，攻擊者不僅可以同蜜罐主機交互，還可以同操作系統(tǒng)交互，因此它可以成功入侵系統(tǒng)的概率也就很大。當然，我們從蜜罐主機獲得的信息也就越多。高連累蜜罐主機（續(xù)）各連累等級蜜罐的優(yōu)缺點比較等級

低中高交互等級低中高真實操作系統(tǒng)——√安全風險低中高信息收集按連接按請求全面希望被入侵——√運行所需知識低低高開發(fā)所需知識低高中高維護時間低低很高3、蜜罐主機的布置蜜罐主機對于其運行環(huán)境并沒有太多限制，正如一臺標準服務器一樣，可以位于網(wǎng)絡的任何位置，但對于不同的擺放位置有其不同的優(yōu)缺點。根據(jù)所需要的服務，蜜罐主機既可以放置于互聯(lián)網(wǎng)中，也可以放置在內(nèi)聯(lián)網(wǎng)中。如果把密罐主機放置于內(nèi)聯(lián)網(wǎng)，那么對于檢測內(nèi)部網(wǎng)的攻擊者會有一定的幫助。但是必須注意的是，一旦蜜罐主機被突破，它就像一把尖刀直插你的心臟，因此要盡量降低其運行等級。據(jù)統(tǒng)計,80%的攻擊來自組織內(nèi)部,因此此位置的蜜罐對于捕獲來自內(nèi)部的掃描和攻擊作用最大.可以部署低交互度蜜罐用于檢測,高交互度蜜罐用于響應;目前大多數(shù)蜜罐部署的常用位置.蜜罐主機的布置（續(xù)）如果你更加關心互聯(lián)網(wǎng)，那么蜜罐主機可以放置在另外的地方：①防火墻外面(Internet)②DMZ(非軍事區(qū))③防火墻后面(Intranet)每種擺放方式都有各自的優(yōu)缺點。蜜罐主機的布置（續(xù)）蜜罐主機的布置蜜罐主機的布置（續(xù)）蜜罐主機放在防火墻外面蜜罐1部署在組織的防火墻之外,目標是研究每天有多少針對組織的攻擊企圖。如果把蜜罐主機放在防火墻外面，那么對內(nèi)部網(wǎng)絡的安全風險不會有任何影響。這樣就可以消除在防火墻后面出現(xiàn)一臺失陷主機的可能性。此位置適于部署低連累蜜罐，能夠檢測對系統(tǒng)漏洞的所有攻擊行為。蜜罐1容易被攻擊者識別,被攻破的風險很大,而且有時檢測的數(shù)據(jù)量大使用戶難于處理。不推薦使用的部署位置.蜜罐主機有可能吸引和產(chǎn)生大量的不可預期的通信量，如端口掃描或網(wǎng)絡攻擊所導致的通信流。如果把蜜罐主機放在防火墻外面，這些事件就不會被防火墻記錄或者導致內(nèi)部入侵檢測系統(tǒng)產(chǎn)生告警信息。對于防火墻或者入侵檢測系統(tǒng)，以及任何其它資源來說，最大的好處莫過于在防火墻外面運行的蜜罐主機不會影響它們，不會給它們帶來額外的安全威脅。缺點是外面的蜜罐主機無法定位內(nèi)部攻擊信息。特別是如果防火墻本身就限制內(nèi)部通信流直接通向互聯(lián)網(wǎng)的話，那么蜜罐主機基本上看不到內(nèi)部網(wǎng)的通信流。蜜罐主機放在防火墻外面（續(xù)）蜜罐主機放在DMZ目標是檢測或者響應高風險網(wǎng)絡上的攻擊或者未授權活動.蜜罐2隱藏于DMZ區(qū)域的各種服務器之中,將其工作狀態(tài)類似于網(wǎng)絡內(nèi)的其他系統(tǒng)(如Web服務器),當攻擊者順序掃描和攻擊各服務器時,蜜罐2可以檢測到攻擊行為,并通過與攻擊者的交互響應取證其攻擊行為;當攻擊者隨機選取服務器進行攻擊時,蜜罐2有被避開的可能性。蜜罐2不易被攻擊者發(fā)現(xiàn),因此只要有出入蜜罐2的活動流量均可判定為可疑的未授權行為,從而可以捕獲到高價值的非法活動.在此位置可以部署低連累蜜罐用于檢測,高連累蜜罐用于響應,是目前大多數(shù)蜜罐部署的常用位置把蜜罐主機放在DMZ似乎是一種較好的解決方案，但這必須首先保證DMZ內(nèi)的其它服務器是安全的。大多數(shù)DMZ內(nèi)的服務器只提供所必需的服務，也就是防火墻只允許與這些服務相關的通信經(jīng)過，而蜜罐主機通常會偽裝盡可能多的服務，因此，如何處理好這個矛盾是放置在DMZ內(nèi)的密罐主機需要解決的關鍵問題所在。蜜罐主機放在DMZ（續(xù)）目標是檢測和響應突破安全防線后的攻擊行為,阻止攻擊行為的蔓延。如果把蜜罐主機置于防火墻后面，那么就有可能給內(nèi)部網(wǎng)絡引入新的安全威脅，特別是在蜜罐主機和內(nèi)部網(wǎng)絡之間沒有額外的防火墻保護的情況下。正如前面所述的，蜜罐主機通常都提供大量的偽裝服務，因此不可避免地必須修改防火墻的過濾規(guī)則，對進出內(nèi)部網(wǎng)絡的通信流和蜜罐主機的通信流加以區(qū)別對待。否則，一旦蜜罐主機失陷，那么整個內(nèi)部網(wǎng)絡將完全暴露在攻擊者面前。從互聯(lián)網(wǎng)經(jīng)由防火墻到達蜜罐主機的通信流是暢通無阻的，因此對于內(nèi)部網(wǎng)中的蜜罐主機的安全性要求相對較高，特別是對高連累型蜜罐主機。該位置適于部署高連累蜜罐,因為通過防火墻可以很好地進行數(shù)據(jù)控制蜜罐主機置于防火墻后面4、DefnetHoneyPot“DefnetHoneyPot”是一個著名的“蜜罐”虛擬系統(tǒng)，它會虛擬一臺有“缺陷”的電腦，等著惡意攻擊者上鉤。這種通過DefnetHoneyPot虛擬出來的系統(tǒng)和真正的系統(tǒng)看起來沒有什么兩樣，但它是為惡意攻擊者布置的陷阱。只不過，這個陷阱只能套住惡意攻擊者，看看他都執(zhí)行了哪些命令，進行了哪些操作，使用了哪些惡意攻擊工具。通過陷阱的記錄，可以了解攻擊者的習慣，掌握足夠的攻擊證據(jù)，甚至反擊攻擊者。模擬環(huán)境虛擬機AIP:0(蜜罐系統(tǒng))虛擬機BIP:(攻擊主機)設置虛擬系統(tǒng)虛擬一個FTPServer服務TelnetServer的設置幕后監(jiān)視幕后監(jiān)視（續(xù)）

例如，蜜罐中顯示信息如下：

(9:20:52)TheIP()triedinvasionbytelnet(CONNECTION)

(9:21:31)TheIP()triedinvasionbytelnet(USERadministrator)

(9:21:53)TheIP()triedinvasionbytelnet(PASSWORD)

(9:22:21)TheIP()triedinvasionbytelnet(USERadmin)

(9:22:42)TheIP()triedinvasionbytelnet(PASSWORD)

(9:23:08)TheIP()triedinvasionbytelnet(USERroot)

(9:23:29)TheIP()triedinvasionbytelnet(PASSWORD)

Theinvasordisconnectedfromthetelnetserver

幕后監(jiān)視（續(xù)）(9:23:58)TheIP()triedinvasionbytelnet(CONNECTION)

(9:24:22)TheIP()triedinvasionbytelnet(USERroot)

(9:24:44)TheIP()triedinvasionbytelnet(PASSWORDroot)

(9:25:08)TheIP()triedinvasionbytelnet(dir)

(9:25:41)TheIP()triedinvasionbytelnet(cdfiles)

(9:26:20)TheIP()triedinvasionbytelnet(netuser)

(9:26:49)TheIP()triedinvasionbytelnet(netuser)

(9:27:38)TheIP()triedinvasionbytelnet(netuserasp$test168/add)

(9:28:32)TheIP()triedinvasionbytelnet(netu)

(9:29:12)TheIP()triedinvasionbytelnet(netlocalgroupadministratorsasp$/add)

(9:29:36)TheIP()triedinvasionbytelnet(exit)幕后監(jiān)視（續(xù)）從信息中，我們可以看到攻擊者Telnet到服務器分別用administrator、admin、root空密碼進行探視均告失敗，然后再次連接用root用戶和root密碼進入系統(tǒng)。接下來用dir命令查看了目錄，創(chuàng)建了一個用戶