虛擬蜜罐Honeyd的分析和研究

1、假造蜜罐Honeyd的闡發(fā)和研究摘要：該文先容一個新的主動型的網(wǎng)絡(luò)寧靜體系蜜罐。起首給出了蜜罐的界說和分類，然后詳細(xì)形貌了一個網(wǎng)絡(luò)條理上的模擬盤算機(jī)體系的假造蜜罐框架Hneyd，討論了Hneyd的原理、布局、特點、方案和實現(xiàn)，并對它的成效作了全面的測試評估。關(guān)鍵字：蜜罐，交互性，本性，路由拓?fù)洌０?蜜罐Hneypt的先容本日網(wǎng)絡(luò)寧靜題目正日益嚴(yán)峻。黑客利用主動化的大范圍的缺點掃描東西，可以在創(chuàng)造缺點后不久就使環(huán)球的盤算機(jī)體系遭受粉碎。但是顛末數(shù)十年的研究和探究，我們?nèi)耘f不克不及確保盤算機(jī)體系的寧靜，乃至無法正確評估它們的寧靜性。如今我們先容一種新的網(wǎng)絡(luò)寧靜預(yù)警體系：蜜罐Hneypt。蜜罐是指

2、受到精細(xì)監(jiān)控的網(wǎng)絡(luò)誘騙體系，它可以疑惑仇人，將打擊從網(wǎng)絡(luò)中比力緊張的呆板上轉(zhuǎn)移開，對新打擊發(fā)出預(yù)警，更緊張的是可以引誘黑客打擊而并對其打擊的舉動和歷程舉行深化的闡發(fā)研究。將蜜罐和入侵檢測體系、防火墻等結(jié)合利用，可以有效進(jìn)步體系寧靜性。Hneypt分為兩種范例：一種是低交互性蜜罐L-InteratinHneypt，另一種是高交互性蜜罐High-InteratinHneypt。低交互性蜜罐通常是運行于現(xiàn)有操縱體系上的仿真辦事，只容許少量的交互行動,黑客只能在仿真辦事預(yù)設(shè)的范疇內(nèi)行動，它的長處是布局簡樸，擺設(shè)輕易，風(fēng)險很低。高交互性蜜罐通常由真實的操縱體系來構(gòu)建，提供應(yīng)黑客的是真實的體系和辦事。接納

3、這種方法可以得到大量的有效信息，包羅我們完全不相識的新的網(wǎng)絡(luò)打擊方法。同時，它也帶來了更多的風(fēng)險-黑客大概通過這個完全開放的真實體系去打擊和滲出網(wǎng)絡(luò)中的其他呆板。設(shè)置高交互性的物理的蜜罐本錢很高，由于每個蜜罐是具有自已IP地點的真實呆板，要有它自已的操縱體系和相應(yīng)硬件。而假造蜜罐是由一臺呆板去模擬布局一個擁有的多個假造主機(jī)和假造辦事的網(wǎng)絡(luò)。相對而言，假造蜜罐必要較少的盤算機(jī)資源和維護(hù)用度。本文形貌的Hneyd，就是一個在網(wǎng)絡(luò)條理上模擬盤算機(jī)體系的假造蜜罐框架。2Hneyd的方案和實行Hneyd是一個輕型的開放源代碼的假造蜜罐的框架，可以模擬多個操縱體系和網(wǎng)絡(luò)辦事，支持IP協(xié)議族，創(chuàng)立恣意拓?fù)洳?/p>

4、局的假造網(wǎng)絡(luò)。同時，為了模擬拓?fù)涫枭⒌木W(wǎng)絡(luò)地點空間和共享負(fù)荷，該布局也支持網(wǎng)絡(luò)通道。圖1Hneyd的數(shù)據(jù)吸收圖2Hneyd的布局2.1網(wǎng)絡(luò)數(shù)據(jù)的吸收要使Hneyd可以對目的IP地點屬于假造蜜罐之一的網(wǎng)絡(luò)數(shù)據(jù)包正常的擔(dān)當(dāng)和回應(yīng)，有如下要領(lǐng)：對指向Hneyd主機(jī)的假造IP地點創(chuàng)立特定路由、利用ARP署理及利用網(wǎng)絡(luò)通道。在龐大的環(huán)境下，我們也可以應(yīng)用通用路由封裝GRE通道協(xié)議在網(wǎng)絡(luò)地點空間和hndyd主機(jī)間創(chuàng)立通道。2.2Hneyd布局Hneyd布局由幾部門組成：一個設(shè)置數(shù)據(jù)庫，一其中心包分派器，協(xié)議處置懲罰器，本性化引擎和隨機(jī)的路由組件，見圖2。Hneyd支持三種重要的互聯(lián)網(wǎng)協(xié)議：IP，TP和UD

5、P。輸入的包由中心包分派器處置懲罰，它起首檢測IP包的長度并驗證校驗，然后查詢設(shè)置數(shù)據(jù)庫尋到與目的IP地點相對應(yīng)的蜜罐設(shè)置，假設(shè)不存在專用的設(shè)置，那么應(yīng)用缺省模板。確定了設(shè)置后，數(shù)據(jù)包被傳送給相應(yīng)的協(xié)議處置懲罰器。IP協(xié)議處置懲罰器支持大多數(shù)IP哀求。缺省時，對EH哀求做出反響并給出目的地點不成達(dá)的信息。對TP和UDP來說，該布局能為恣意的辦事創(chuàng)立毗連，辦事是在STDIN上擔(dān)當(dāng)數(shù)據(jù)并把輸動身送到STDUT的外部應(yīng)用。Hneyd包羅一個簡化的TP狀態(tài)機(jī)，完全支持三次握手Three-ayHandshake的創(chuàng)立毗連和通過FIN或RST撤消毗連，但是擔(dān)當(dāng)器和擁塞窗口辦理沒有完全實現(xiàn)。UDP數(shù)據(jù)報直接

6、傳到應(yīng)用，當(dāng)收到一個發(fā)往封閉端口的UDP包的時間，默認(rèn)發(fā)出一個IP端口不成達(dá)的信息。Hneyd布局也支持毗連的重定向，重定向可以是靜態(tài)的或依靠于毗連四元組源地點，源端口，目的地點，目的端口。重定向容許我們把假造蜜罐上的一個辦事毗連哀求轉(zhuǎn)遞給一個在真正的辦事器上運行的辦事，比方，我們可以把DNS哀求重指向一個域名辦事器乃至可以把毗連反傳給仇人。2.3本性化引擎PersnalityEngine黑客通常會運用象Xprbe或Nap的指紋識別東西來網(wǎng)絡(luò)目的體系的信息，為了疑惑仇人，Hneyd可以模擬給定操縱體系的網(wǎng)絡(luò)堆棧舉動，我們把這稱為假造蜜罐的本性(Persnality)。本性化引擎使蜜罐的網(wǎng)絡(luò)堆棧

7、根據(jù)本性設(shè)置來改變每個外出包的協(xié)議頭，以便與被設(shè)置的操縱體系的特性符合。Hneyd布局應(yīng)用Nap指紋庫作為本性的TP和UP舉動的參照，用Xprbe的指紋據(jù)庫作為本性的IP舉動的參照。下面先容怎樣應(yīng)用Nap提供的指紋信息來改變蜜罐的網(wǎng)絡(luò)堆棧特性。FingerprintindsNT4.0SP6a+htfixesTSeq(lass=RI%gd=6%SI=40132290%IPID=BI|RPI%TS=U)T1(DF=Y%=2022%AK=S+%Flags=AS%ps=)T2(Resp=Y%DF=N%=0%AK=S%Flags=AR%ps=)T3(Resp=Y%DF=Y%=2022%AK=S+%Fla

8、gs=AS%ps=)T4(DF=N%=0%AK=%Flags=R%ps=)T5(DF=N%=00|800%AK=S+%Flags=AR%ps=NETL)T6(DF=N%=0%AK=%Flags=R%ps=NETL)T7(DF=N%=0%AK=%Flags=R%ps=NETL)PU(Resp=N|Y)圖3Nap指紋的例子每個Nap指紋有一個雷同于圖3中所示的格式，F(xiàn)ingerprint標(biāo)記后的字符串為本性化名字，反面的九行形貌九個差異測試的效果。第一個測試是最緊張的，它決定著長途操縱體系的網(wǎng)絡(luò)堆棧怎樣為TPSYN字段產(chǎn)生初始序列號ISN，在lass字段指明猜測ISN的難度，在gd和SI字段提供I

9、SN漫衍的更多詳細(xì)信息，同時它也決定IP報文標(biāo)識和TP時間戳。下七個測試確定到達(dá)開放和封閉的TP端口的包的堆棧舉動，末了的測試PU闡發(fā)了對封閉的UDP端口的IP反響包。2.4路由拓?fù)鋟tingTplgyHneyd可以或許模擬隨機(jī)的網(wǎng)絡(luò)路由拓?fù)?。通常假造的路由拓?fù)涫且恢陿洌?jié)點是數(shù)據(jù)包進(jìn)入假造網(wǎng)絡(luò)的入口。樹的每個內(nèi)部節(jié)點代表著一個路由器。每個邊代表著一個包羅著時間等候和包喪失等特性的毗連。樹的終端節(jié)點與網(wǎng)絡(luò)相對應(yīng)。當(dāng)Hneyd接到包時，它尋到準(zhǔn)確的入口路由樹并穿過它，從根開始直到創(chuàng)造包羅包的目的IP地點的一個節(jié)點為止，沿途的包喪失和全部邊的時間等候積聚起來，確定是否揚棄該包和它的傳送應(yīng)該耽誤多

10、長時間。數(shù)據(jù)包每通過一個假造路由器，就相應(yīng)淘汰的保存期TTL的值，當(dāng)TTL為零時，Hneyd發(fā)出包羅導(dǎo)致TTL為零的路由器IP的一個IP超時信息。Hneyd也可以把真正的體系與假造的路由拓?fù)浣Y(jié)合起來，當(dāng)布局收一個真實體系的包時，包沿著網(wǎng)絡(luò)拓?fù)湫凶咧钡剿鼊?chuàng)造直接對真正的呆板所屬的網(wǎng)絡(luò)空間賣力的一個假造路由器。認(rèn)真正的體系發(fā)出ARP哀求時，布局以相應(yīng)的假造路由器的ARP復(fù)興來相應(yīng)。2.5設(shè)置在Hneyd框架中，通過設(shè)置模板(Teplate)來設(shè)置假造的蜜罐。設(shè)置語言是一種上下文無關(guān)文法，可以設(shè)置假造網(wǎng)絡(luò)，操縱體系和辦事。下面是一個完備的inds模板設(shè)置典范：#indsputersreateinds

11、#創(chuàng)立一inds操縱體系模板setindspersnalityindsNT4.0ServerSP5-SP6#設(shè)置該模板的Nap指紋setindsdefaulttpatinreset#設(shè)置缺省的TP行動setindsdefaultudpatinreset#設(shè)置缺省的UDP行動addindstpprt80perlsripts/iis-0.95/iiseul8.pl#設(shè)置體系監(jiān)聽到80端口，而且調(diào)用足本sripts/iis-0.95/iiseul8.pl#處置懲罰對該端口的拜候addindstpprt139pen#翻開TP139端口addindstpprt138pen#翻開TP137端口addind

12、sudpprt137pen#翻開UDP137端口addindsudpprt135pen#翻開UDP135端口setindsuptie3284460#設(shè)置inds體系啟動時間3Hneyd的測試評估我們利用Hneyd模擬了的一個包羅五個路由器，10個假造蜜罐，兩個入口點和一個融入假造網(wǎng)絡(luò)的真實蜜罐呆板龐大網(wǎng)絡(luò)，然后用traerute來測試去恣意假造主機(jī)的途徑，效果表現(xiàn)Hneyd樂成地模擬了一個根底不存在的網(wǎng)絡(luò)拓?fù)?。為了更充實地測試Hneyd布局疑惑了Nap的本領(lǐng),我們創(chuàng)立了一個B類網(wǎng)絡(luò)，每個假造蜜罐設(shè)置有Nap指紋庫中一個指紋，剔除重復(fù)，我們利用了600個特別的指紋。蜜罐被設(shè)置只有開放一個端口，運行一個eb辦事。然后對全部設(shè)置的IP地點，啟動Nap來識別操縱體系。效果是，對555個指紋Nap正確簡直認(rèn)了模擬的操縱體系，對37個指紋Nap列出包羅模擬的本性在內(nèi)的多個大概選擇，Nap只有對8個指紋沒有識別出準(zhǔn)確的操縱體系。這大概是Hneyd的題目也大概是由于指紋數(shù)據(jù)庫構(gòu)造題目。4結(jié)語Hneyd通過假造主機(jī)，網(wǎng)絡(luò)和報酬設(shè)置的辦事，可以應(yīng)用在網(wǎng)絡(luò)寧靜的很多范疇。比方：病毒探測、反蠕蟲、制止垃