蜜罐技術(shù)講解

蜜罐技術(shù)背景描述針對(duì)目前網(wǎng)絡(luò)嚴(yán)重的安全威脅，網(wǎng)絡(luò)安全人員和管理員卻仍然對(duì)黑客社團(tuán)所知甚少。當(dāng)網(wǎng)絡(luò)被攻陷破壞后，甚至還不知道幕后黑手是誰(shuí)。對(duì)他們使用了哪些工具、以何種方式達(dá)成攻擊目標(biāo)，以及為什么進(jìn)行攻擊更是一無(wú)所知。“知己知彼，百戰(zhàn)不殆”，安全防護(hù)工作者，無(wú)論是安全研究人員、安全產(chǎn)品研發(fā)人員、安全管理人員和安全響應(yīng)服務(wù)人員，都需要首先對(duì)黑客社團(tuán)有深入的了解，包括他們所掌握的攻擊技術(shù)、技巧和戰(zhàn)術(shù)、甚至心理和習(xí)慣等。只有在充分了解對(duì)手的前提下，安全技術(shù)人員和網(wǎng)絡(luò)管理員才能更有效地維護(hù)互聯(lián)網(wǎng)安全。而蜜罐和蜜網(wǎng)技術(shù)為捕獲黑客的攻擊行為，并深入分析黑客提供了基礎(chǔ)。工作原理1.蜜罐蜜罐(Honeypot)是一種在互聯(lián)網(wǎng)上運(yùn)行的計(jì)算機(jī)系統(tǒng)，它是專門(mén)為吸引并“誘騙”那些試圖非法闖入他人計(jì)算機(jī)系統(tǒng)的人而設(shè)計(jì)的。蜜罐系統(tǒng)是一個(gè)包含漏洞的誘騙系統(tǒng)，它通過(guò)模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給攻擊者提供一個(gè)容易攻擊的目標(biāo)。蜜罐的另一個(gè)用途是拖延攻擊者對(duì)真正目標(biāo)的攻擊，讓攻擊者在蜜罐上浪費(fèi)時(shí)間。此外，蜜罐也可以為追蹤攻擊者提供有力的線索，為起訴攻擊者搜集有力的證據(jù)。簡(jiǎn)單地說(shuō)，蜜罐就是誘捕攻擊者的一個(gè)陷阱。一些專門(mén)用于欺騙黑客的開(kāi)源工具，如FredCohen所開(kāi)發(fā)的DTK(欺騙工具包)、NielsProvos開(kāi)發(fā)的Honeyd等，同時(shí)也出現(xiàn)了像KFSensor、Specter等一些商業(yè)蜜罐產(chǎn)品。這一階段的蜜罐可以稱為是虛擬蜜罐，即開(kāi)發(fā)的這些蜜罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，并對(duì)黑客的攻擊行為做出回應(yīng)，從而欺騙黑客。虛擬蜜罐工具的出現(xiàn)也使得部署蜜罐也變得比較方便。但是由于虛擬蜜罐工具存在著交互程度低，較容易被黑客識(shí)別等問(wèn)題，從2000年之后，安全研究人員更傾向于使用真實(shí)的主機(jī)、操作系統(tǒng)和應(yīng)用程序搭建蜜罐，但與之前不同的是，融入了更強(qiáng)大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制的工具，并且將蜜罐納入到一個(gè)完整的蜜網(wǎng)體系中，使得研究人員能夠更方便地追蹤侵入到蜜網(wǎng)中的黑客并對(duì)他們的攻擊行為進(jìn)行分析。蜜罐可以按照其部署目的分為產(chǎn)品型蜜罐和研究型蜜罐兩類。產(chǎn)品型蜜罐的目的在于為一個(gè)組織的網(wǎng)絡(luò)提供安全保護(hù)，包括檢測(cè)攻擊、防止攻擊造成破壞及幫助管理員對(duì)攻擊做出及時(shí)正確的響應(yīng)等功能。一般產(chǎn)品型蜜罐較容易部署，而且不需要管理員投入大量的工作。較具代表性的產(chǎn)品型蜜罐包括DTK、honeyd等開(kāi)源工具和KFSensor、ManTraq等一系列的商業(yè)產(chǎn)品。研究型蜜罐則是專門(mén)用于對(duì)黑客攻擊的捕獲和分析，通過(guò)部署研究型蜜罐，對(duì)黑客攻擊進(jìn)行追蹤和分析，能夠捕獲黑客的鍵擊記錄，了解到黑客所使用的攻擊工具及攻擊方法，甚至能夠監(jiān)聽(tīng)到黑客之間的交談，從而掌握他們的心理狀態(tài)等信息。研究型蜜罐需要研究人員投入大量的時(shí)間和精力進(jìn)行攻擊監(jiān)視和分析工作，具有代表性的工具是“蜜網(wǎng)項(xiàng)目組”所推出的第二代蜜網(wǎng)技術(shù)。蜜罐技術(shù)的優(yōu)點(diǎn)：收集數(shù)據(jù)的保真度，由于蜜罐不提供任何實(shí)際的作用，因此其收集到的數(shù)據(jù)很少，同時(shí)收集到的數(shù)據(jù)很大可能就是由于黑客攻擊造成的，蜜罐不依賴于任何復(fù)雜的檢測(cè)技術(shù)等，因此減少了漏報(bào)率和誤報(bào)率。

使用蜜罐技術(shù)能夠收集到新的攻擊工具和攻擊方法，而不像目前的大部分入侵檢測(cè)系統(tǒng)只能根據(jù)特征匹配的方法檢測(cè)到已知的攻擊。蜜罐技術(shù)不需要強(qiáng)大的資源支持，可以使用一些低成本的設(shè)備構(gòu)建蜜罐，不需要大量的資金投入。相對(duì)入侵檢測(cè)等其他技術(shù)，蜜罐技術(shù)比較簡(jiǎn)單，使得網(wǎng)絡(luò)管理人員能夠比較容易地掌握黑客攻擊的一些知識(shí)。蜜罐技術(shù)的缺陷：需要較多的時(shí)間和精力投入。蜜罐技術(shù)只能對(duì)針對(duì)蜜罐的攻擊行為進(jìn)行監(jiān)視和分析，其視圖較為有限，不像入侵檢測(cè)系統(tǒng)能夠通過(guò)旁路偵聽(tīng)等技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控。蜜罐技術(shù)不能直接防護(hù)有漏洞的信息系統(tǒng)。部署蜜罐會(huì)帶來(lái)一定的安全風(fēng)險(xiǎn)。部署蜜罐所帶來(lái)的安全風(fēng)險(xiǎn)主要有蜜罐可能被黑客識(shí)別和黑客把蜜罐作為跳板從而對(duì)第三方發(fā)起攻擊。2.蜜網(wǎng)蜜網(wǎng)是在蜜罐技術(shù)上逐步發(fā)展起來(lái)的一個(gè)新的概念，又可成為誘捕網(wǎng)絡(luò)。其主要目的是收集黑客的攻擊信息，但與傳統(tǒng)蜜罐技術(shù)的差異在于，蜜網(wǎng)構(gòu)成了一個(gè)黑客誘捕網(wǎng)絡(luò)體系架構(gòu)，在這個(gè)架構(gòu)中，我們可以包含一個(gè)或多個(gè)蜜罐，同時(shí)保證了網(wǎng)絡(luò)的高度可控性，以及提供多種工具以方便對(duì)攻擊信息的采集和分析。一個(gè)蜜網(wǎng)是由許多用來(lái)與攻擊者進(jìn)行交互的蜜罐組成的網(wǎng)絡(luò)，其中的這些靶子（蜜網(wǎng)內(nèi)的蜜罐）可以是你想提供的任何類型的系統(tǒng)，服務(wù)或是信息。此外，虛擬蜜網(wǎng)通過(guò)應(yīng)用虛擬操作系統(tǒng)軟件(如VMWare和UserModeLinux等)使得我們可以在單一的主機(jī)上實(shí)現(xiàn)整個(gè)蜜網(wǎng)的體系架構(gòu)。虛擬蜜網(wǎng)的引入使得架設(shè)蜜網(wǎng)的代價(jià)大幅降低，也較容易部署和管理,蜜網(wǎng)有著三大核心需求：（1）數(shù)據(jù)控制；（2）數(shù)據(jù)捕獲；（3）數(shù)據(jù)分析。通過(guò)數(shù)據(jù)控制能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡(luò)的安全，以減輕蜜網(wǎng)架設(shè)的風(fēng)險(xiǎn)；數(shù)據(jù)捕獲技術(shù)能夠檢測(cè)并審計(jì)黑客攻擊的所有行為數(shù)據(jù)；而數(shù)據(jù)分析技術(shù)則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動(dòng)、使用工具及其意圖。以下結(jié)合“蜜網(wǎng)項(xiàng)目組”及其推出的第二代蜜網(wǎng)技術(shù)方案對(duì)蜜網(wǎng)的核心需求進(jìn)行分析。第二代蜜網(wǎng)方案的整體架構(gòu)如下圖16-1-1所示，其中最為關(guān)鍵的部件為稱為HoneyWall的蜜網(wǎng)網(wǎng)關(guān)，包括三個(gè)網(wǎng)絡(luò)接口，eth0接入外網(wǎng)，eth1連接蜜網(wǎng),而eth2作為一個(gè)秘密通道，連接到一個(gè)監(jiān)控網(wǎng)絡(luò)。HoneyWall是一個(gè)對(duì)黑客不可見(jiàn)的鏈路層橋接設(shè)備，作為蜜網(wǎng)與其他網(wǎng)絡(luò)的唯一連接點(diǎn)，所有流入流出蜜網(wǎng)的網(wǎng)絡(luò)流量都將通過(guò)HoneyWall，并受其控制和審計(jì)，對(duì)黑客而言，HoneyWall是完全不可見(jiàn)的，因此黑客不會(huì)識(shí)別出其所攻擊的網(wǎng)絡(luò)是一個(gè)蜜網(wǎng)。HoneyWall實(shí)現(xiàn)了蜜網(wǎng)的第一大核心需求－數(shù)據(jù)控制，如下圖16-1-2所示，HoneyWall對(duì)流入的網(wǎng)絡(luò)包不進(jìn)行任何限制，使得黑客能攻入蜜網(wǎng)，但對(duì)黑客使用蜜網(wǎng)對(duì)外發(fā)起的跳板攻擊進(jìn)行嚴(yán)格控制，控制的方法包括攻擊包抑制和對(duì)外連接數(shù)限制兩種手段。圖14-1-1圖14-1-2攻擊包抑制主要針對(duì)使用少量連接即能奏效的已知攻擊(如權(quán)限提升攻擊等)，在HoneyWall中使用網(wǎng)絡(luò)入侵防御系統(tǒng)(NIPS)作為攻擊包抑制器，檢測(cè)出從蜜網(wǎng)向外發(fā)出的含有的攻擊特征的攻擊數(shù)據(jù)包，發(fā)出報(bào)警信息并對(duì)攻擊數(shù)據(jù)包加以拋棄或修改，使其不能對(duì)第三方網(wǎng)絡(luò)構(gòu)成危害。而對(duì)外連接數(shù)限制則主要針對(duì)網(wǎng)絡(luò)探測(cè)和拒絕服務(wù)攻擊。HoneyWall通過(guò)在IPTables防火墻中設(shè)置規(guī)則，當(dāng)黑客發(fā)起的連接數(shù)超過(guò)預(yù)先設(shè)置的閾值，則IPTables將其記錄到日志，并阻斷其后繼連接，從而避免蜜網(wǎng)中被攻陷的蜜罐作為黑客的跳板對(duì)第三方網(wǎng)絡(luò)進(jìn)行探測(cè)或拒絕服務(wù)攻擊。圖16-1-3給出了HoneyWall中實(shí)現(xiàn)的數(shù)據(jù)控制機(jī)制(即攻擊包抑制和對(duì)外連接數(shù)限制)的具體工作流程。Swatch監(jiān)視工具將snort_inline和IPTables產(chǎn)生的報(bào)警日志通過(guò)Email等方式通知管理員。HoneyWall中實(shí)現(xiàn)的數(shù)據(jù)捕獲機(jī)制的具體工作流程，黑客攻擊數(shù)據(jù)包從eth0流入后,通過(guò)IPTables防火墻，根據(jù)防火墻規(guī)則,將對(duì)流入的連接活動(dòng)進(jìn)行記錄，由于我們無(wú)需對(duì)流入的攻擊進(jìn)行過(guò)濾，因此可以直接跳過(guò)snort_inline，但在eth1流出的時(shí)候,由一個(gè)作為網(wǎng)絡(luò)監(jiān)聽(tīng)器使用的snort記錄全部的網(wǎng)絡(luò)流量，以供后繼的攻擊分析所使用。在蜜網(wǎng)中的各個(gè)蜜罐上，通過(guò)安裝Sebek的客戶端，能夠?qū)诳驮诿酃奚系幕顒?dòng)進(jìn)行記錄，并通過(guò)對(duì)黑客隱蔽的通道將收集到的鍵擊記錄等信息傳送到位于HoneyWall的Sebek服務(wù)器。管理員可以通過(guò)eth2隱蔽通道對(duì)HoneyWall中收集到的數(shù)據(jù)進(jìn)行分析，從而學(xué)習(xí)到黑客所發(fā)動(dòng)的攻擊方法。圖14-1-33.常見(jiàn)的網(wǎng)絡(luò)誘騙工具及產(chǎn)品DTKDTK對(duì)大多數(shù)自動(dòng)攻擊工具是適用的，但很容易被一個(gè)真正的攻擊者區(qū)分出來(lái)。Honeyd。Honeyd是一個(gè)很酷很小巧的用于創(chuàng)建虛擬的網(wǎng)絡(luò)上的主機(jī)的后臺(tái)程序，這些虛擬主機(jī)可以配置使得它們提供任意的服務(wù)，利用個(gè)性處理可以使得這些主機(jī)顯示為在某個(gè)特定版本的操作系統(tǒng)上運(yùn)行。Honeyd能讓一臺(tái)主機(jī)在一個(gè)模擬的局域網(wǎng)環(huán)境中配有多個(gè)地址(曾測(cè)試過(guò)的最多可以達(dá)到65536個(gè))，外界的主機(jī)可以對(duì)虛似的主機(jī)進(jìn)行ping、traceroute等網(wǎng)絡(luò)操作，虛擬主機(jī)上任何類型的服務(wù)都可以依照一個(gè)簡(jiǎn)單的配置文件進(jìn)行模擬，。Honeyd可以通過(guò)提供威脅檢測(cè)與評(píng)估機(jī)制來(lái)提高計(jì)算機(jī)系統(tǒng)的安全性，也可以通過(guò)將真實(shí)系統(tǒng)隱藏在虛擬系統(tǒng)中來(lái)阻止外來(lái)的攻擊者。因?yàn)镠oneyd只能進(jìn)行網(wǎng)絡(luò)級(jí)的模擬，不能提供真實(shí)的交互環(huán)境，能獲取的有價(jià)值的攻擊者的信息比較有限，所以Honeyd所模擬的蜜罐系統(tǒng)常常是作為真實(shí)應(yīng)用的網(wǎng)絡(luò)中轉(zhuǎn)移攻擊者目標(biāo)的設(shè)施，或者是與其他高交互的蜜罐系統(tǒng)一起