網(wǎng)絡(luò)安全ch6(2)網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全

張磊華東師范大學(xué)軟件學(xué)院第6章網(wǎng)絡(luò)防御技術(shù)VPN入侵檢測防火墻網(wǎng)絡(luò)防御技術(shù)概述IDS主要內(nèi)容入侵檢測技術(shù)概述入侵檢測系統(tǒng)體系結(jié)構(gòu)IDS存在問題IDS發(fā)展方向SnortIDS與蜜罐技術(shù)一、入侵檢測技術(shù)概述IDS:IntrusionDetectionSystem對系統(tǒng)的運行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)主要功能監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異常現(xiàn)象實時報警主動響應(yīng)為什么需要IDS入侵檢測系統(tǒng)是防火墻之后的第二道防線假如防火墻是一幢大樓的門衛(wèi)，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破粗粒度檢測不是所有的威脅來自防火墻外部入侵很容易入侵教程隨處可見各種工具唾手可得只有防火墻的網(wǎng)絡(luò)：被動防御；無法防御內(nèi)部攻擊。擁有IDS和防火墻的網(wǎng)絡(luò)：防火墻：被動防御；IDS：主動檢測可以防御內(nèi)部攻擊。為什么需要IDS（續(xù)）入侵檢測的任務(wù)檢測來自內(nèi)部的攻擊事件和越權(quán)訪問80％以上的攻擊事件來自于內(nèi)部的攻擊防火墻只能防外，難于防內(nèi)入侵檢測系統(tǒng)作為防火墻系統(tǒng)的一個有效的補充入侵檢測系統(tǒng)可以有效的防范防火墻開放的服務(wù)入侵入侵檢測的任務(wù)（續(xù)）檢測其它安全工具沒有發(fā)現(xiàn)的網(wǎng)絡(luò)工具事件。提供有效的審計信息，詳細(xì)記錄黑客的入侵過程，從而幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性。在一些大型的網(wǎng)絡(luò)中，管理員沒有時間跟蹤系統(tǒng)漏洞并且安裝相應(yīng)的系統(tǒng)補丁程序。對于一些存在安全漏洞的服務(wù)、協(xié)議和軟件，用戶有時候不得不使用。入侵檢測的任務(wù)（續(xù)）入侵檢測的起源1980年，JamesAnderson最早提出入侵檢測概念1987年，D．E．Denning首次給出了一個入侵檢測的抽象模型，并將入侵檢測作為一種新的安全防御措施提出。1988年，Morris蠕蟲事件直接刺激了IDS的研究1988年，創(chuàng)建了基于主機(jī)的系統(tǒng),有IDES，Haystack等1989年，提出基于網(wǎng)絡(luò)的IDS系統(tǒng),有NSM，NADIR，DIDS等入侵檢測的起源（續(xù)）90年代，不斷有新的思想提出，如將人工智能、神經(jīng)網(wǎng)絡(luò)、模糊理論、證據(jù)理論、分布計算技術(shù)等引入IDS系統(tǒng)2000年2月，對Yahoo！、Amazon、CNN等大型網(wǎng)站的DDOS攻擊引發(fā)了對IDS系統(tǒng)的新一輪研究熱潮2001年～今，RedCode、求職信等新型病毒的不斷出現(xiàn)，進(jìn)一步促進(jìn)了IDS的發(fā)展。按檢測對象區(qū)分：主機(jī)入侵檢測（HostbasedIDS)網(wǎng)絡(luò)入侵檢測（NetworkbasedIDS）分布式的入侵檢測系統(tǒng)這種入侵檢測系統(tǒng)一般為分布式結(jié)構(gòu)，由多個部件組成在關(guān)鍵主機(jī)上采用主機(jī)入侵檢測，在網(wǎng)絡(luò)關(guān)鍵節(jié)點上采用網(wǎng)絡(luò)入侵檢測，同時分析來自主機(jī)系統(tǒng)的審計日志和來自網(wǎng)絡(luò)的數(shù)據(jù)流，判斷被保護(hù)系統(tǒng)是否受到攻擊入侵檢測技術(shù)分類主機(jī)入侵檢測系統(tǒng)（HIDS）安裝于被保護(hù)的主機(jī)中主要分析主機(jī)內(nèi)部活動：系統(tǒng)調(diào)用端口調(diào)用系統(tǒng)日志安全審計應(yīng)用日志發(fā)現(xiàn)主機(jī)出現(xiàn)可疑行為，HIDS采取措施占用一定的系統(tǒng)資源InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartners主機(jī)入侵檢測系統(tǒng)（HIDS）（續(xù)）HackerHost-basedIDSHost-basedIDSInternet基于主機(jī)入侵檢測系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容：

系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志HIDSXHIDS主機(jī)入侵檢測系統(tǒng)優(yōu)缺點優(yōu)點對分析“可能的攻擊行為”非常有用審計內(nèi)容全面，得到的信息詳盡誤報率低適用于加密環(huán)境缺點必須安裝在要保護(hù)的設(shè)備上，出現(xiàn)額外的安全風(fēng)險依賴服務(wù)器固有的日志與監(jiān)視能力部署代價大，易出現(xiàn)盲點不能監(jiān)控網(wǎng)絡(luò)上的情況網(wǎng)絡(luò)入侵檢測系統(tǒng)安裝在被保護(hù)的網(wǎng)段中混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實時檢測和響應(yīng)操作系統(tǒng)無關(guān)性不會增加網(wǎng)絡(luò)中主機(jī)的負(fù)載發(fā)現(xiàn)問題可以切斷網(wǎng)絡(luò)目前IDS大多數(shù)是NIDSInternetNIDS基于網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容：

包頭信息+有效數(shù)據(jù)部分網(wǎng)絡(luò)入侵檢測系統(tǒng)（續(xù)）優(yōu)點檢測范圍廣不需要改變服務(wù)器的配置不影響業(yè)務(wù)系統(tǒng)的性能部署風(fēng)險小具有專門設(shè)備缺點不能檢測不同網(wǎng)段的網(wǎng)絡(luò)包很難檢測復(fù)雜的需要大量計算的攻擊難以處理加密的會話二、IDS體系結(jié)構(gòu)標(biāo)準(zhǔn)CIDF(公共入侵檢測框架）（美國國防部提出）事件產(chǎn)生器（Eventgenerators）事件分析器（Eventanalyzers）事件數(shù)據(jù)庫（Eventdatabases）響應(yīng)單元（Responseunits）

IDS體系結(jié)構(gòu)標(biāo)準(zhǔn)（續(xù)）事件產(chǎn)生器事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。

事件分析器事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。

響應(yīng)單元響應(yīng)單元則是對分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應(yīng),甚至發(fā)動對攻擊者的反擊，也可以只是簡單的報警。

事件數(shù)據(jù)庫事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。

三、IDS存在的問題1）布局問題IDS布局位置決定安全檢測程度IDS的布局問題FirewallRouterSwitch-1Switch-2ServersNetworkIDSServerInternet1234①檢測所有通信，可由Fw阻斷②檢測所有通信，但已無法阻斷③檢測交換機(jī)1的通信④檢測網(wǎng)段2所有通信IDS的布局問題（續(xù)）檢測器部署位置放在邊界防火墻之外放在邊界防火墻之內(nèi)防火墻內(nèi)外都裝有入侵檢測器將入侵檢測器安裝在其它關(guān)鍵位置IDS的布局問題（續(xù)）入侵檢測引擎放在防火墻之外在這種情況下，入侵檢測系統(tǒng)能接收到防火墻外網(wǎng)口的所有信息，管理員可以清楚地看到所有來自Internet的攻擊當(dāng)與防火墻聯(lián)動時，防火墻可以動態(tài)阻斷發(fā)生攻擊的連接。IDS的布局問題（續(xù)）入侵檢測引擎放在防火墻之內(nèi)在這種情況下，穿透防火墻的攻擊與來自于局域網(wǎng)內(nèi)部的攻擊都可以被入侵檢測系統(tǒng)監(jiān)聽到管理員可以清楚地看到哪些攻擊真正對自己的網(wǎng)絡(luò)構(gòu)成了威脅。IDS的布局問題（續(xù)）防火墻內(nèi)外都裝有入侵檢測器在這種情況下，可以檢測來自內(nèi)部和外部的所有攻擊管理員可以清楚地看出是否有攻擊穿透防火墻，對自己網(wǎng)絡(luò)所面對的安全威脅了如指掌。IDS的布局問題（續(xù)）檢測器放在其它關(guān)鍵位置:主要的網(wǎng)絡(luò)中樞監(jiān)控大量的網(wǎng)絡(luò)數(shù)據(jù)，可提高檢測黑客攻擊的可能性可通過授權(quán)用戶的權(quán)利周界來發(fā)現(xiàn)未授權(quán)用戶的行為IDS的布局問題（續(xù)）檢測器放在其它關(guān)鍵位置:安全級別高的子網(wǎng)對非常重要的系統(tǒng)和資源的入侵檢測IDS的布局問題（續(xù)）檢測器放置于其它關(guān)鍵位置:防火墻的DMZ區(qū)域可以查看受保護(hù)區(qū)域主機(jī)被攻擊狀態(tài)可以看出防火墻系統(tǒng)的策略是否合理可以看出DMZ區(qū)域被黑客攻擊的重點三、IDS存在的問題2）檢測問題信息獲取的局限（網(wǎng)絡(luò)、網(wǎng)段和主機(jī)）檢測算法、模型、加速算法、規(guī)則（特征）庫智能檢測和確認(rèn)問題多協(xié)議和多類型檢測檢測系統(tǒng)與操作系統(tǒng)的接口問題三、IDS存在的問題3）分析問題由于網(wǎng)段信號分流，帶寬增加，功能會下降極增的網(wǎng)絡(luò)流量導(dǎo)致檢測分析難度加大由于網(wǎng)絡(luò)隨時擴(kuò)展，無法觀測到所有通信數(shù)據(jù)之特征各異智能化不夠，無法理解壓縮、加密數(shù)據(jù)包容易出現(xiàn)漏報、誤報和錯報高速網(wǎng)絡(luò)使數(shù)據(jù)的實時分析更加困難四、IDS發(fā)展方向研究方向解決誤報和漏報IDS發(fā)展方向（續(xù)）DOS攻擊日漸升級；DDoS現(xiàn)在成為“黑客的終極武器”；解決方法：負(fù)載均衡雙機(jī)熱備份服務(wù)器RandomDrop、帶寬限制防護(hù)算法、IDS與防火墻聯(lián)動但始終會出現(xiàn)資源耗盡、丟失合法訪問的時候IDS發(fā)展方向（續(xù)）新概念-IPS（入侵防御系統(tǒng)）特點：檢測并阻止入侵流量進(jìn)入網(wǎng)絡(luò)入侵分析算法采用協(xié)議分析技術(shù)，提高報警的準(zhǔn)確率和性能將IDS與抵抗DOS結(jié)合IPS系統(tǒng)IPS的提出將IDS與防火墻等的功能集中在一起，形成一種新的產(chǎn)品：入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS），有時又稱入侵檢測和防御系統(tǒng)（IntrusionDetectionandPrevention，IDP）

IDS在以下方面存在著不足：

①較高的誤警率；②系統(tǒng)的管理和維護(hù)比較難；③當(dāng)IDS遭受拒絕服務(wù)攻擊時，它的失效開放機(jī)制使得黑客可以實施攻擊而不被發(fā)現(xiàn)IPS系統(tǒng)（續(xù)）IPS概述IPS提供了主動防護(hù)，它會預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而對于IDS來說，它是在惡意流量傳送時或傳送后才發(fā)出警報。它的部署情況如下圖所示： IPS采用串接的工作方式，通常部署在防火墻之后，對通過防火墻的數(shù)據(jù)包進(jìn)行進(jìn)一步檢查過濾。

IPS系統(tǒng)（續(xù)）IPS的使用IPS作為一種新技術(shù)仍然存在著很多不足：它的串聯(lián)工作方式會影響網(wǎng)絡(luò)性能和可靠性。對于IPS采用失效開放還是失效關(guān)閉存在爭議：如果IPS停止運轉(zhuǎn)后線路仍暢通，則相當(dāng)于沒有任何防御效果。如果停止運轉(zhuǎn)后網(wǎng)絡(luò)斷開，企業(yè)網(wǎng)絡(luò)就與外部網(wǎng)路完全切斷，相當(dāng)于IPS自己產(chǎn)生了拒絕服務(wù)攻擊。同IDS一樣，IPS在檢測效果、報警處理機(jī)制、特征庫優(yōu)化等方面還有待提高。

因此，在實際應(yīng)用中，通常是將IPS、IDS和防火墻配合起來使用。千兆IDS的實現(xiàn)負(fù)載均衡技術(shù)負(fù)載均衡設(shè)備＋多臺100M入侵檢測設(shè)備典型產(chǎn)品如ISS的realsecure協(xié)議分析技術(shù)＋優(yōu)化算法＋高配置硬件五、SnortSnort是MartinRoesch等人開發(fā)的一種開放源碼的入侵檢測系統(tǒng)。MartinRoesch把snort定位為一個輕量級的入侵檢測系統(tǒng)。它具有實時數(shù)據(jù)流量分析和IP數(shù)據(jù)包日志分析的能力，具有跨平臺特征，能夠進(jìn)行協(xié)議分析和對內(nèi)容的搜索/匹配。它能夠檢測不同的攻擊行為，如緩沖區(qū)溢出、端口掃描、DoS攻擊等，并進(jìn)行實時報警Snort（續(xù)）snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、入侵檢測系統(tǒng)。做嗅探器時，它只讀取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，然后顯示在控制臺上。作數(shù)據(jù)包記錄器時，它可以將數(shù)據(jù)包記錄到硬盤上，已備分析之用。入侵檢測模式功能強大，可通過配置實現(xiàn)，但稍顯復(fù)雜，snort可以根據(jù)用戶事先定義的一些規(guī)則分析網(wǎng)絡(luò)數(shù)據(jù)流，并根據(jù)檢測結(jié)果采取一定的動作使用控制臺查看檢測結(jié)果打開:50080/acid/acid_main.php網(wǎng)頁，啟動snort并打開acid檢測控制臺主界面使用控制臺查看檢測結(jié)果（續(xù)）使用控制臺查看檢測結(jié)果（續(xù)）點擊右側(cè)圖示中TCP后的數(shù)字“80%”，將顯示所有檢測到的TCP協(xié)議日志詳細(xì)情況，如下圖所示。TCP協(xié)議日志網(wǎng)頁中的選項依次為：流量類型、時間戳、源地址、目標(biāo)地址以及協(xié)議。由于snort主機(jī)所在的內(nèi)網(wǎng)為，可以看出，日志中只記錄了外網(wǎng)IP對內(nèi)網(wǎng)的連接（即目標(biāo)地址均為內(nèi)網(wǎng)）使用控制臺查看檢測結(jié)果（續(xù)）使用控制臺查看檢測結(jié)果（續(xù)）選擇控制條中的“home”返回控制臺主界面，在主界面的下部有流量分析及歸類選項，如下圖。acid檢測控制臺主界面:使用控制臺查看檢測結(jié)果（續(xù)）使用控制臺查看檢測結(jié)果（續(xù)）選擇“l(fā)ast24hours:alertsunique”，可以看到24小時內(nèi)特殊流量的分類記錄和分析，如下圖所示?？梢钥吹剑碇性敿?xì)記錄了各類型流量的種類、在總?cè)罩局兴嫉谋壤?、出現(xiàn)該類流量的起始和終止時間等詳細(xì)分析（在控制臺主界面中還有其他功能選項，請自己練習(xí)使用）使用控制臺查看檢測結(jié)果（續(xù)）六、蜜罐主機(jī)和欺騙網(wǎng)絡(luò)網(wǎng)絡(luò)誘騙技術(shù)的核心是蜜罐（HoneyPot）。蜜罐（HoneyPot）技術(shù)模擬存在漏洞的系統(tǒng)，為攻擊者提供攻擊目標(biāo)。其目標(biāo)是尋找一種有效的方法來影響入侵者，使得入侵者將技術(shù)、精力集中到蜜罐而不是其他真正有價值的正常系統(tǒng)和資源中。蜜罐技術(shù)還能做到一旦入侵企圖被檢測到時，迅速地將其切換。蜜罐主機(jī)和欺騙網(wǎng)絡(luò)（續(xù)）蜜罐主機(jī)(Honeypot)連累等級(LevelofInvolvement)蜜罐主機(jī)的布置DefnetHoneyPot欺騙網(wǎng)絡(luò)(Honeynet)

1、蜜罐主機(jī)(Honeypot)術(shù)語“蜜罐主機(jī)”現(xiàn)在是隨處可見，不同的廠商都聲稱他們可以提供蜜罐主機(jī)類產(chǎn)品。但到底什么是蜜罐主機(jī)，一直沒有確切的定義。在此，我們把蜜罐主機(jī)定義為：蜜罐主機(jī)是一種資源，它被偽裝成一個實際目標(biāo)；蜜罐主機(jī)希望人們?nèi)ス艋蛉肭炙?；它的主要目的在于分散攻擊者的注意力和收集與攻擊和攻擊者有關(guān)的信息。蜜罐主機(jī)的價值蜜罐主機(jī)不能直接解決任何網(wǎng)絡(luò)安全問題，甚至于會引來更多的入侵者來進(jìn)攻自己的網(wǎng)絡(luò)。那么，蜜罐主機(jī)到底能給我們提供什么有用信息？我們又如何利用這些信息？有兩種類型的蜜罐主機(jī)：產(chǎn)品型(Production)蜜罐主機(jī)和研究型(Research)蜜罐主機(jī)。產(chǎn)品型蜜罐主機(jī)用于降低網(wǎng)絡(luò)的安全風(fēng)險；研究型蜜罐主機(jī)則用于收集盡可能多的信息。這些蜜罐主機(jī)不會為網(wǎng)絡(luò)增加任何安全價值，但它們確實可以幫助我們明確黑客社團(tuán)以及他們的攻擊行為，以便更好地抵御安全威脅。蜜罐主機(jī)(Honeypot)（續(xù)）蜜罐主機(jī)是專門用來被人入侵的一種資源。所有通過蜜罐主機(jī)的通信流量都被認(rèn)為是可疑的因為在蜜罐主機(jī)上不會運行額外的、會產(chǎn)生其它通信流量的系統(tǒng)。通常，進(jìn)出蜜罐主機(jī)的通信都是非授權(quán)的因此蜜罐主機(jī)所收集的信息也是我們所感興趣的數(shù)據(jù)而且這些信息不會摻雜有其它系統(tǒng)所產(chǎn)生的額外通信數(shù)據(jù)，因此分析起來相對容易一些。它所收集的數(shù)據(jù)的價值相對較高。蜜罐主機(jī)(Honeypot)（續(xù)）但是如果一臺蜜罐主機(jī)沒有被攻擊，那么它就毫無意義。蜜罐主機(jī)通常位于網(wǎng)絡(luò)的某點(SinglePoint)，因此它被攻擊者發(fā)現(xiàn)的概率是很小的。蜜罐主機(jī)有可能增加額外的風(fēng)險：入侵者有可能被整個網(wǎng)絡(luò)所吸引或者蜜罐主機(jī)可能被攻陷。蜜罐主機(jī)(Honeypot)（續(xù)）2、連累等級(LevelofInvolvement)蜜罐主機(jī)的一個重要特性就是連累等級。連累等級是指攻擊者同蜜罐主機(jī)所在的操作系統(tǒng)的交互程度。低連累蜜罐主機(jī)低連累蜜罐主機(jī)低連累蜜罐主機(jī)一臺典型的低連累蜜罐主機(jī)只提供某些偽裝的服務(wù)。低連累蜜罐主機(jī)（續(xù)）在一個低連累蜜罐主機(jī)上，由于攻擊者并不與實際的操作系統(tǒng)打交道，從而可以大大降低蜜罐主機(jī)所帶來的安全風(fēng)險。不過這種蜜罐也有其缺點，那就是蜜罐無法看到攻擊者同操作系統(tǒng)的交互過程。一個低連累蜜罐主機(jī)就如同一條單向連接，我們只能聽，無法提出問題。這是一種被動式蜜罐。低連累蜜罐主機(jī)類似于一個被動的入侵檢測系統(tǒng)，它們不對通信流進(jìn)行修改或者同攻擊者進(jìn)行交互。如果進(jìn)入的包匹配某種實現(xiàn)定義的模式，它們就會產(chǎn)生日志和告警信息。低連累蜜罐主機(jī)（續(xù)）中連累蜜罐主機(jī)同攻擊者進(jìn)行交互中連累蜜罐主機(jī)中連累蜜罐主機(jī)提供更多接口同底層的操作系統(tǒng)進(jìn)行交互，偽裝的后臺服務(wù)程序也要復(fù)雜一些，對其所提供的特定服務(wù)需要的知識也更多，同時風(fēng)險也在增加。隨著蜜罐主機(jī)復(fù)雜度的提升，攻擊者發(fā)現(xiàn)其中的安全漏洞的機(jī)會也在增加，攻擊者可以采取的攻擊技術(shù)也相應(yīng)更多。由于協(xié)議和服務(wù)眾多，開發(fā)中連累蜜罐主機(jī)要更復(fù)雜和花費更多時間。必須特別注意的是，所有開發(fā)的偽裝后臺服務(wù)程序必須足夠安全，不應(yīng)該存在出現(xiàn)在實際服務(wù)中的漏洞。中連累蜜罐主機(jī)（續(xù)）高連累蜜罐主機(jī)高連累蜜罐主機(jī)高連累蜜罐主機(jī)，由于高連累蜜罐主機(jī)與底層操作系統(tǒng)的交互是“實實在在”的，所以隨著操作系統(tǒng)復(fù)雜性的提高，由蜜罐主機(jī)所帶來的安全風(fēng)險也不斷增高。同時，蜜罐主機(jī)所能夠收集到的信息越多，也就越容易吸引入侵者?？刂泼酃拗鳈C(jī)，而高連累蜜罐主機(jī)也確實為黑客提供了這樣的工作環(huán)境。此時，整個系統(tǒng)已經(jīng)不能再被當(dāng)作是安全的，雖然，蜜罐主機(jī)通常運行在一個受限制的虛擬環(huán)境中(所謂的沙箱或者VMWare)，但入侵者總會有辦法突破這個軟件邊界。

高連累蜜罐主機(jī)（續(xù)）由于高連累蜜罐主機(jī)的高安全風(fēng)險，因而我們有必要對蜜罐一直進(jìn)行監(jiān)視，否則蜜罐主機(jī)本身可能成為另一個安全漏洞。因此，蜜罐主機(jī)可以訪問的資源和范圍必須受到一定的限制，對于進(jìn)出蜜罐主機(jī)的通信流必須進(jìn)行過濾，以防止成為黑客發(fā)動其它攻擊的跳板。高連累蜜罐主機(jī)（續(xù)）由于高連累蜜罐主機(jī)給攻擊者提供的是完整的操作系統(tǒng)，攻擊者不僅可以同蜜罐主機(jī)交互，還可以同操作系統(tǒng)交互，因此它可以成功入侵系統(tǒng)的概率也就很大。當(dāng)然，我們從蜜罐主機(jī)獲得的信息也就越多。高連累蜜罐主機(jī)（續(xù)）各連累等級蜜罐的優(yōu)缺點比較等級

低中高交互等級低中高真實操作系統(tǒng)——√安全風(fēng)險低中高信息收集按連接按請求全面希望被入侵——√運行所需知識低低高開發(fā)所需知識低高中高維護(hù)時間低低很高3、蜜罐主機(jī)的布置蜜罐主機(jī)對于其運行環(huán)境并沒有太多限制，正如一臺標(biāo)準(zhǔn)服務(wù)器一樣，可以位于網(wǎng)絡(luò)的任何位置，但對于不同的擺放位置有其不同的優(yōu)缺點。根據(jù)所需要的服務(wù)，蜜罐主機(jī)既可以放置于互聯(lián)網(wǎng)中，也可以放置在內(nèi)聯(lián)網(wǎng)中。如果把密罐主機(jī)放置于內(nèi)聯(lián)網(wǎng)，那么對于檢測內(nèi)部網(wǎng)的攻擊者會有一定的幫助。但是必須注意的是，一旦蜜罐主機(jī)被突破，它就像一把尖刀直插你的心臟，因此要盡量降低其運行等級。據(jù)統(tǒng)計,80%的攻擊來自組織內(nèi)部,因此此位置的蜜罐對于捕獲來自內(nèi)部的掃描和攻擊作用最大.可以部署低交互度蜜罐用于檢測,高交互度蜜罐用于響應(yīng);目前大多數(shù)蜜罐部署的常用位置.蜜罐主機(jī)的布置（續(xù)）如果你更加關(guān)心互聯(lián)網(wǎng)，那么蜜罐主機(jī)可以放置在另外的地方：①防火墻外面(Internet)②DMZ(非軍事區(qū))③防火墻后面(Intranet)每種擺放方式都有各自的優(yōu)缺點。蜜罐主機(jī)的布置（續(xù)）蜜罐主機(jī)的布置蜜罐主機(jī)的布置（續(xù)）蜜罐主機(jī)放在防火墻外面蜜罐1部署在組織的防火墻之外,目標(biāo)是研究每天有多少針對組織的攻擊企圖。如果把蜜罐主機(jī)放在防火墻外面，那么對內(nèi)部網(wǎng)絡(luò)的安全風(fēng)險不會有任何影響。這樣就可以消除在防火墻后面出現(xiàn)一臺失陷主機(jī)的可能性。此位置適于部署低連累蜜罐，能夠檢測對系統(tǒng)漏洞的所有攻擊行為。蜜罐1容易被攻擊者識別,被攻破的風(fēng)險很大,而且有時檢測的數(shù)據(jù)量大使用戶難于處理。不推薦使用的部署位置.蜜罐主機(jī)有可能吸引和產(chǎn)生大量的不可預(yù)期的通信量，如端口掃描或網(wǎng)絡(luò)攻擊所導(dǎo)致的通信流。如果把蜜罐主機(jī)放在防火墻外面，這些事件就不會被防火墻記錄或者導(dǎo)致內(nèi)部入侵檢測系統(tǒng)產(chǎn)生告警信息。對于防火墻或者入侵檢測系統(tǒng)，以及任何其它資源來說，最大的好處莫過于在防火墻外面運行的蜜罐主機(jī)不會影響它們，不會給它們帶來額外的安全威脅。缺點是外面的蜜罐主機(jī)無法定位內(nèi)部攻擊信息。特別是如果防火墻本身就限制內(nèi)部通信流直接通向互聯(lián)網(wǎng)的話，那么蜜罐主機(jī)基本上看不到內(nèi)部網(wǎng)的通信流。蜜罐主機(jī)放在防火墻外面（續(xù)）蜜罐主機(jī)放在DMZ目標(biāo)是檢測或者響應(yīng)高風(fēng)險網(wǎng)絡(luò)上的攻擊或者未授權(quán)活動.蜜罐2隱藏于DMZ區(qū)域的各種服務(wù)器之中,將其工作狀態(tài)類似于網(wǎng)絡(luò)內(nèi)的其他系統(tǒng)(如Web服務(wù)器),當(dāng)攻擊者順序掃描和攻擊各服務(wù)器時,蜜罐2可以檢測到攻擊行為,并通過與攻擊者的交互響應(yīng)取證其攻擊行為;當(dāng)攻擊者隨機(jī)選取服務(wù)器進(jìn)行攻擊時,蜜罐2有被避開的可能性。蜜罐2不易被攻擊者發(fā)現(xiàn),因此只要有出入蜜罐2的活動流量均可判定為可疑的未授權(quán)行為,從而可以捕獲到高價值的非法活動.在此位置可以部署低連累蜜罐用于檢測,高連累蜜罐用于響應(yīng),是目前大多數(shù)蜜罐部署的常用位置把蜜罐主機(jī)放在DMZ似乎是一種較好的解決方案，但這必須首先保證DMZ內(nèi)的其它服務(wù)器是安全的。大多數(shù)DMZ內(nèi)的服務(wù)器只提供所必需的服務(wù)，也就是防火墻只允許與這些服務(wù)相關(guān)的通信經(jīng)過，而蜜罐主機(jī)通常會偽裝盡可能多的服務(wù)，因此，如何處理好這個矛盾是放置在DMZ內(nèi)的密罐主機(jī)需要解決的關(guān)鍵問題所在。蜜罐主機(jī)放在DMZ（續(xù)）目標(biāo)是檢測和響應(yīng)突破安全防線后的攻擊行為,阻止攻擊行為的蔓延。如果把蜜罐主機(jī)置于防火墻后面，那么就有可能給內(nèi)部網(wǎng)絡(luò)引入新的安全威脅，特別是在蜜罐主機(jī)和內(nèi)部網(wǎng)絡(luò)之間沒有額外的防火墻保護(hù)的情況下。正如前面所述的，蜜罐主機(jī)通常都提供大量的偽裝服務(wù)，因此不可避免地必須修改防火墻的過濾規(guī)則，對進(jìn)出內(nèi)部網(wǎng)絡(luò)的通信流和蜜罐主機(jī)的通信流加以區(qū)別對待。否則，一旦蜜罐主機(jī)失陷，那么整個內(nèi)部網(wǎng)絡(luò)將完全暴露在攻擊者面前。從互聯(lián)網(wǎng)經(jīng)由防火墻到達(dá)蜜罐主機(jī)的通信流是暢通無阻的，因此對于內(nèi)部網(wǎng)中的蜜罐主機(jī)的安全性要求相對較高，特別是對高連累型蜜罐主機(jī)。該位置適于部署高連累蜜罐,因為通過防火墻可以很好地進(jìn)行數(shù)據(jù)控制蜜罐主機(jī)置于防火墻后面4、DefnetHoneyPot“DefnetHoneyPot”是一個著名的“蜜罐”虛擬系統(tǒng)，它會虛擬一臺有“缺陷”的電腦，等著惡意攻擊者上鉤。這種通過DefnetHoneyPot虛擬出來的系統(tǒng)和真正的系統(tǒng)看起來沒有什么兩樣，但它是為惡意攻擊者布置的陷阱。只不過，這個陷阱只能套住惡意攻擊者，看看他都執(zhí)行了哪些命令，進(jìn)行了哪些操作，使用了哪些惡意攻擊工具。通過陷阱的記錄，可以了解攻擊者的習(xí)慣，掌握足夠的攻擊證據(jù)，甚至反擊攻擊者。模擬環(huán)境虛擬機(jī)AIP:0(蜜罐系統(tǒng))虛擬機(jī)BIP:(攻擊主機(jī))設(shè)置虛擬系統(tǒng)虛擬一個FTPServer服務(wù)TelnetServer的設(shè)置幕后監(jiān)視幕后監(jiān)視（續(xù)）

例如，蜜罐中顯示信息如下：

(9:20:52)TheIP()triedinvasionbytelnet(CONNECTION)

(9:21:31)TheIP()triedinvasionbytelnet(USERadministrator)

(9:21:53)TheIP()triedinvasionbytelnet(PASSWORD)

(9:22:21)TheIP()triedinvasionbytelnet(USERadmin)

(9:22:42)TheIP()triedinvasionbytelnet(PASSWORD)

(9:23:08)TheIP()triedinvasionbytelnet(USERroot)

(9:23:29)TheIP()triedinvasionbytelnet(PASSWORD)

Theinvasordisconnectedfromthetelnetserver

幕后監(jiān)視（續(xù)）(9:23:58)TheIP()triedinvasionbytelnet(CONNECTION)

(9:24:22)TheIP()triedinvasionbytelnet(USERroot)

(9:24:44)TheIP()triedinvasionbytelnet(PASSWORDroot)

(9:25:08)TheIP()triedinvasionbytelnet(dir)

(9:25:41)TheIP()triedinvasionbytelnet(cdfiles)

(9:26:20)TheIP()triedinvasionbytelnet(netuser)

(9:26:49)TheIP()triedinvasionbytelnet(netuser)

(9:27:38)TheIP()triedinvasionbytelnet(netuserasp$test168/add)

(9:28:32)TheIP()triedinvasionbytelnet(netu)

(9:29:12)TheIP()triedinvasionbytelnet(netlocalgroupadministratorsasp$/add)

(9:29:36)TheIP()triedinvasionbytelnet(exit)幕后監(jiān)視（續(xù)）從信息中，我們可以看到攻擊者Telnet到服務(wù)器分別用administrator、admin、root空密碼進(jìn)行探視均告失敗，然后再次連接用root用戶和root密碼進(jìn)入系統(tǒng)。接下來用dir命令查看了目錄，創(chuàng)建了一個用戶