版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
網(wǎng)絡(luò)安全
張磊華東師范大學(xué)軟件學(xué)院第6章網(wǎng)絡(luò)防御技術(shù)VPN入侵檢測(cè)防火墻網(wǎng)絡(luò)防御技術(shù)概述IDS主要內(nèi)容入侵檢測(cè)技術(shù)概述入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)IDS存在問(wèn)題IDS發(fā)展方向SnortIDS與蜜罐技術(shù)一、入侵檢測(cè)技術(shù)概述IDS:IntrusionDetectionSystem對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視,發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證系統(tǒng)資源的機(jī)密性、完整性和可用性進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)主要功能監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異?,F(xiàn)象實(shí)時(shí)報(bào)警主動(dòng)響應(yīng)為什么需要IDS入侵檢測(cè)系統(tǒng)是防火墻之后的第二道防線假如防火墻是一幢大樓的門(mén)衛(wèi),那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破粗粒度檢測(cè)不是所有的威脅來(lái)自防火墻外部入侵很容易入侵教程隨處可見(jiàn)各種工具唾手可得只有防火墻的網(wǎng)絡(luò):被動(dòng)防御;無(wú)法防御內(nèi)部攻擊。擁有IDS和防火墻的網(wǎng)絡(luò):防火墻:被動(dòng)防御;IDS:主動(dòng)檢測(cè)可以防御內(nèi)部攻擊。為什么需要IDS(續(xù))入侵檢測(cè)的任務(wù)檢測(cè)來(lái)自內(nèi)部的攻擊事件和越權(quán)訪問(wèn)80%以上的攻擊事件來(lái)自于內(nèi)部的攻擊防火墻只能防外,難于防內(nèi)入侵檢測(cè)系統(tǒng)作為防火墻系統(tǒng)的一個(gè)有效的補(bǔ)充入侵檢測(cè)系統(tǒng)可以有效的防范防火墻開(kāi)放的服務(wù)入侵入侵檢測(cè)的任務(wù)(續(xù))檢測(cè)其它安全工具沒(méi)有發(fā)現(xiàn)的網(wǎng)絡(luò)工具事件。提供有效的審計(jì)信息,詳細(xì)記錄黑客的入侵過(guò)程,從而幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性。在一些大型的網(wǎng)絡(luò)中,管理員沒(méi)有時(shí)間跟蹤系統(tǒng)漏洞并且安裝相應(yīng)的系統(tǒng)補(bǔ)丁程序。對(duì)于一些存在安全漏洞的服務(wù)、協(xié)議和軟件,用戶有時(shí)候不得不使用。入侵檢測(cè)的任務(wù)(續(xù))入侵檢測(cè)的起源1980年,JamesAnderson最早提出入侵檢測(cè)概念1987年,D.E.Denning首次給出了一個(gè)入侵檢測(cè)的抽象模型,并將入侵檢測(cè)作為一種新的安全防御措施提出。1988年,Morris蠕蟲(chóng)事件直接刺激了IDS的研究1988年,創(chuàng)建了基于主機(jī)的系統(tǒng),有IDES,Haystack等1989年,提出基于網(wǎng)絡(luò)的IDS系統(tǒng),有NSM,NADIR,DIDS等入侵檢測(cè)的起源(續(xù))90年代,不斷有新的思想提出,如將人工智能、神經(jīng)網(wǎng)絡(luò)、模糊理論、證據(jù)理論、分布計(jì)算技術(shù)等引入IDS系統(tǒng)2000年2月,對(duì)Yahoo!、Amazon、CNN等大型網(wǎng)站的DDOS攻擊引發(fā)了對(duì)IDS系統(tǒng)的新一輪研究熱潮2001年~今,RedCode、求職信等新型病毒的不斷出現(xiàn),進(jìn)一步促進(jìn)了IDS的發(fā)展。按檢測(cè)對(duì)象區(qū)分:主機(jī)入侵檢測(cè)(HostbasedIDS)網(wǎng)絡(luò)入侵檢測(cè)(NetworkbasedIDS)分布式的入侵檢測(cè)系統(tǒng)這種入侵檢測(cè)系統(tǒng)一般為分布式結(jié)構(gòu),由多個(gè)部件組成在關(guān)鍵主機(jī)上采用主機(jī)入侵檢測(cè),在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)上采用網(wǎng)絡(luò)入侵檢測(cè),同時(shí)分析來(lái)自主機(jī)系統(tǒng)的審計(jì)日志和來(lái)自網(wǎng)絡(luò)的數(shù)據(jù)流,判斷被保護(hù)系統(tǒng)是否受到攻擊入侵檢測(cè)技術(shù)分類主機(jī)入侵檢測(cè)系統(tǒng)(HIDS)安裝于被保護(hù)的主機(jī)中主要分析主機(jī)內(nèi)部活動(dòng):系統(tǒng)調(diào)用端口調(diào)用系統(tǒng)日志安全審計(jì)應(yīng)用日志發(fā)現(xiàn)主機(jī)出現(xiàn)可疑行為,HIDS采取措施占用一定的系統(tǒng)資源InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartners主機(jī)入侵檢測(cè)系統(tǒng)(HIDS)(續(xù))HackerHost-basedIDSHost-basedIDSInternet基于主機(jī)入侵檢測(cè)系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測(cè)內(nèi)容:
系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志HIDSXHIDS主機(jī)入侵檢測(cè)系統(tǒng)優(yōu)缺點(diǎn)優(yōu)點(diǎn)對(duì)分析“可能的攻擊行為”非常有用審計(jì)內(nèi)容全面,得到的信息詳盡誤報(bào)率低適用于加密環(huán)境缺點(diǎn)必須安裝在要保護(hù)的設(shè)備上,出現(xiàn)額外的安全風(fēng)險(xiǎn)依賴服務(wù)器固有的日志與監(jiān)視能力部署代價(jià)大,易出現(xiàn)盲點(diǎn)不能監(jiān)控網(wǎng)絡(luò)上的情況網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)安裝在被保護(hù)的網(wǎng)段中混雜模式監(jiān)聽(tīng)分析網(wǎng)段中所有的數(shù)據(jù)包實(shí)時(shí)檢測(cè)和響應(yīng)操作系統(tǒng)無(wú)關(guān)性不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)載發(fā)現(xiàn)問(wèn)題可以切斷網(wǎng)絡(luò)目前IDS大多數(shù)是NIDSInternetNIDS基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶端網(wǎng)絡(luò)服務(wù)器2X檢測(cè)內(nèi)容:
包頭信息+有效數(shù)據(jù)部分網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(續(xù))優(yōu)點(diǎn)檢測(cè)范圍廣不需要改變服務(wù)器的配置不影響業(yè)務(wù)系統(tǒng)的性能部署風(fēng)險(xiǎn)小具有專門(mén)設(shè)備缺點(diǎn)不能檢測(cè)不同網(wǎng)段的網(wǎng)絡(luò)包很難檢測(cè)復(fù)雜的需要大量計(jì)算的攻擊難以處理加密的會(huì)話二、IDS體系結(jié)構(gòu)標(biāo)準(zhǔn)CIDF(公共入侵檢測(cè)框架)(美國(guó)國(guó)防部提出)事件產(chǎn)生器(Eventgenerators)事件分析器(Eventanalyzers)事件數(shù)據(jù)庫(kù)(Eventdatabases)響應(yīng)單元(Responseunits)
IDS體系結(jié)構(gòu)標(biāo)準(zhǔn)(續(xù))事件產(chǎn)生器事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件,并向系統(tǒng)的其他部分提供此事件。
事件分析器事件分析器分析得到的數(shù)據(jù),并產(chǎn)生分析結(jié)果。
響應(yīng)單元響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元,它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),甚至發(fā)動(dòng)對(duì)攻擊者的反擊,也可以只是簡(jiǎn)單的報(bào)警。
事件數(shù)據(jù)庫(kù)事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱,它可以是復(fù)雜的數(shù)據(jù)庫(kù),也可以是簡(jiǎn)單的文本文件。
三、IDS存在的問(wèn)題1)布局問(wèn)題IDS布局位置決定安全檢測(cè)程度IDS的布局問(wèn)題FirewallRouterSwitch-1Switch-2ServersNetworkIDSServerInternet1234①檢測(cè)所有通信,可由Fw阻斷②檢測(cè)所有通信,但已無(wú)法阻斷③檢測(cè)交換機(jī)1的通信④檢測(cè)網(wǎng)段2所有通信IDS的布局問(wèn)題(續(xù))檢測(cè)器部署位置放在邊界防火墻之外放在邊界防火墻之內(nèi)防火墻內(nèi)外都裝有入侵檢測(cè)器將入侵檢測(cè)器安裝在其它關(guān)鍵位置IDS的布局問(wèn)題(續(xù))入侵檢測(cè)引擎放在防火墻之外在這種情況下,入侵檢測(cè)系統(tǒng)能接收到防火墻外網(wǎng)口的所有信息,管理員可以清楚地看到所有來(lái)自Internet的攻擊當(dāng)與防火墻聯(lián)動(dòng)時(shí),防火墻可以動(dòng)態(tài)阻斷發(fā)生攻擊的連接。IDS的布局問(wèn)題(續(xù))入侵檢測(cè)引擎放在防火墻之內(nèi)在這種情況下,穿透防火墻的攻擊與來(lái)自于局域網(wǎng)內(nèi)部的攻擊都可以被入侵檢測(cè)系統(tǒng)監(jiān)聽(tīng)到管理員可以清楚地看到哪些攻擊真正對(duì)自己的網(wǎng)絡(luò)構(gòu)成了威脅。IDS的布局問(wèn)題(續(xù))防火墻內(nèi)外都裝有入侵檢測(cè)器在這種情況下,可以檢測(cè)來(lái)自內(nèi)部和外部的所有攻擊管理員可以清楚地看出是否有攻擊穿透防火墻,對(duì)自己網(wǎng)絡(luò)所面對(duì)的安全威脅了如指掌。IDS的布局問(wèn)題(續(xù))檢測(cè)器放在其它關(guān)鍵位置:主要的網(wǎng)絡(luò)中樞監(jiān)控大量的網(wǎng)絡(luò)數(shù)據(jù),可提高檢測(cè)黑客攻擊的可能性可通過(guò)授權(quán)用戶的權(quán)利周界來(lái)發(fā)現(xiàn)未授權(quán)用戶的行為IDS的布局問(wèn)題(續(xù))檢測(cè)器放在其它關(guān)鍵位置:安全級(jí)別高的子網(wǎng)對(duì)非常重要的系統(tǒng)和資源的入侵檢測(cè)IDS的布局問(wèn)題(續(xù))檢測(cè)器放置于其它關(guān)鍵位置:防火墻的DMZ區(qū)域可以查看受保護(hù)區(qū)域主機(jī)被攻擊狀態(tài)可以看出防火墻系統(tǒng)的策略是否合理可以看出DMZ區(qū)域被黑客攻擊的重點(diǎn)三、IDS存在的問(wèn)題2)檢測(cè)問(wèn)題信息獲取的局限(網(wǎng)絡(luò)、網(wǎng)段和主機(jī))檢測(cè)算法、模型、加速算法、規(guī)則(特征)庫(kù)智能檢測(cè)和確認(rèn)問(wèn)題多協(xié)議和多類型檢測(cè)檢測(cè)系統(tǒng)與操作系統(tǒng)的接口問(wèn)題三、IDS存在的問(wèn)題3)分析問(wèn)題由于網(wǎng)段信號(hào)分流,帶寬增加,功能會(huì)下降極增的網(wǎng)絡(luò)流量導(dǎo)致檢測(cè)分析難度加大由于網(wǎng)絡(luò)隨時(shí)擴(kuò)展,無(wú)法觀測(cè)到所有通信數(shù)據(jù)之特征各異智能化不夠,無(wú)法理解壓縮、加密數(shù)據(jù)包容易出現(xiàn)漏報(bào)、誤報(bào)和錯(cuò)報(bào)高速網(wǎng)絡(luò)使數(shù)據(jù)的實(shí)時(shí)分析更加困難四、IDS發(fā)展方向研究方向解決誤報(bào)和漏報(bào)IDS發(fā)展方向(續(xù))DOS攻擊日漸升級(jí);DDoS現(xiàn)在成為“黑客的終極武器”;解決方法:負(fù)載均衡雙機(jī)熱備份服務(wù)器RandomDrop、帶寬限制防護(hù)算法、IDS與防火墻聯(lián)動(dòng)但始終會(huì)出現(xiàn)資源耗盡、丟失合法訪問(wèn)的時(shí)候IDS發(fā)展方向(續(xù))新概念-IPS(入侵防御系統(tǒng))特點(diǎn):檢測(cè)并阻止入侵流量進(jìn)入網(wǎng)絡(luò)入侵分析算法采用協(xié)議分析技術(shù),提高報(bào)警的準(zhǔn)確率和性能將IDS與抵抗DOS結(jié)合IPS系統(tǒng)IPS的提出將IDS與防火墻等的功能集中在一起,形成一種新的產(chǎn)品:入侵防御系統(tǒng)(IntrusionPreventionSystem,IPS),有時(shí)又稱入侵檢測(cè)和防御系統(tǒng)(IntrusionDetectionandPrevention,IDP)
IDS在以下方面存在著不足:
①較高的誤警率;②系統(tǒng)的管理和維護(hù)比較難;③當(dāng)IDS遭受拒絕服務(wù)攻擊時(shí),它的失效開(kāi)放機(jī)制使得黑客可以實(shí)施攻擊而不被發(fā)現(xiàn)IPS系統(tǒng)(續(xù))IPS概述IPS提供了主動(dòng)防護(hù),它會(huì)預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截,避免其造成損失,而對(duì)于IDS來(lái)說(shuō),它是在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。它的部署情況如下圖所示: IPS采用串接的工作方式,通常部署在防火墻之后,對(duì)通過(guò)防火墻的數(shù)據(jù)包進(jìn)行進(jìn)一步檢查過(guò)濾。
IPS系統(tǒng)(續(xù))IPS的使用IPS作為一種新技術(shù)仍然存在著很多不足:它的串聯(lián)工作方式會(huì)影響網(wǎng)絡(luò)性能和可靠性。對(duì)于IPS采用失效開(kāi)放還是失效關(guān)閉存在爭(zhēng)議:如果IPS停止運(yùn)轉(zhuǎn)后線路仍暢通,則相當(dāng)于沒(méi)有任何防御效果。如果停止運(yùn)轉(zhuǎn)后網(wǎng)絡(luò)斷開(kāi),企業(yè)網(wǎng)絡(luò)就與外部網(wǎng)路完全切斷,相當(dāng)于IPS自己產(chǎn)生了拒絕服務(wù)攻擊。同IDS一樣,IPS在檢測(cè)效果、報(bào)警處理機(jī)制、特征庫(kù)優(yōu)化等方面還有待提高。
因此,在實(shí)際應(yīng)用中,通常是將IPS、IDS和防火墻配合起來(lái)使用。千兆IDS的實(shí)現(xiàn)負(fù)載均衡技術(shù)負(fù)載均衡設(shè)備+多臺(tái)100M入侵檢測(cè)設(shè)備典型產(chǎn)品如ISS的realsecure協(xié)議分析技術(shù)+優(yōu)化算法+高配置硬件五、SnortSnort是MartinRoesch等人開(kāi)發(fā)的一種開(kāi)放源碼的入侵檢測(cè)系統(tǒng)。MartinRoesch把snort定位為一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)。它具有實(shí)時(shí)數(shù)據(jù)流量分析和IP數(shù)據(jù)包日志分析的能力,具有跨平臺(tái)特征,能夠進(jìn)行協(xié)議分析和對(duì)內(nèi)容的搜索/匹配。它能夠檢測(cè)不同的攻擊行為,如緩沖區(qū)溢出、端口掃描、DoS攻擊等,并進(jìn)行實(shí)時(shí)報(bào)警Snort(續(xù))snort有三種工作模式:嗅探器、數(shù)據(jù)包記錄器、入侵檢測(cè)系統(tǒng)。做嗅探器時(shí),它只讀取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包,然后顯示在控制臺(tái)上。作數(shù)據(jù)包記錄器時(shí),它可以將數(shù)據(jù)包記錄到硬盤(pán)上,已備分析之用。入侵檢測(cè)模式功能強(qiáng)大,可通過(guò)配置實(shí)現(xiàn),但稍顯復(fù)雜,snort可以根據(jù)用戶事先定義的一些規(guī)則分析網(wǎng)絡(luò)數(shù)據(jù)流,并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作使用控制臺(tái)查看檢測(cè)結(jié)果打開(kāi):50080/acid/acid_main.php網(wǎng)頁(yè),啟動(dòng)snort并打開(kāi)acid檢測(cè)控制臺(tái)主界面使用控制臺(tái)查看檢測(cè)結(jié)果(續(xù))使用控制臺(tái)查看檢測(cè)結(jié)果(續(xù))點(diǎn)擊右側(cè)圖示中TCP后的數(shù)字“80%”,將顯示所有檢測(cè)到的TCP協(xié)議日志詳細(xì)情況,如下圖所示。TCP協(xié)議日志網(wǎng)頁(yè)中的選項(xiàng)依次為:流量類型、時(shí)間戳、源地址、目標(biāo)地址以及協(xié)議。由于snort主機(jī)所在的內(nèi)網(wǎng)為,可以看出,日志中只記錄了外網(wǎng)IP對(duì)內(nèi)網(wǎng)的連接(即目標(biāo)地址均為內(nèi)網(wǎng))使用控制臺(tái)查看檢測(cè)結(jié)果(續(xù))使用控制臺(tái)查看檢測(cè)結(jié)果(續(xù))選擇控制條中的“home”返回控制臺(tái)主界面,在主界面的下部有流量分析及歸類選項(xiàng),如下圖。acid檢測(cè)控制臺(tái)主界面:使用控制臺(tái)查看檢測(cè)結(jié)果(續(xù))使用控制臺(tái)查看檢測(cè)結(jié)果(續(xù))選擇“l(fā)ast24hours:alertsunique”,可以看到24小時(shí)內(nèi)特殊流量的分類記錄和分析,如下圖所示。可以看到,表中詳細(xì)記錄了各類型流量的種類、在總?cè)罩局兴嫉谋壤?、出現(xiàn)該類流量的起始和終止時(shí)間等詳細(xì)分析(在控制臺(tái)主界面中還有其他功能選項(xiàng),請(qǐng)自己練習(xí)使用)使用控制臺(tái)查看檢測(cè)結(jié)果(續(xù))六、蜜罐主機(jī)和欺騙網(wǎng)絡(luò)網(wǎng)絡(luò)誘騙技術(shù)的核心是蜜罐(HoneyPot)。蜜罐(HoneyPot)技術(shù)模擬存在漏洞的系統(tǒng),為攻擊者提供攻擊目標(biāo)。其目標(biāo)是尋找一種有效的方法來(lái)影響入侵者,使得入侵者將技術(shù)、精力集中到蜜罐而不是其他真正有價(jià)值的正常系統(tǒng)和資源中。蜜罐技術(shù)還能做到一旦入侵企圖被檢測(cè)到時(shí),迅速地將其切換。蜜罐主機(jī)和欺騙網(wǎng)絡(luò)(續(xù))蜜罐主機(jī)(Honeypot)連累等級(jí)(LevelofInvolvement)蜜罐主機(jī)的布置DefnetHoneyPot欺騙網(wǎng)絡(luò)(Honeynet)
1、蜜罐主機(jī)(Honeypot)術(shù)語(yǔ)“蜜罐主機(jī)”現(xiàn)在是隨處可見(jiàn),不同的廠商都聲稱他們可以提供蜜罐主機(jī)類產(chǎn)品。但到底什么是蜜罐主機(jī),一直沒(méi)有確切的定義。在此,我們把蜜罐主機(jī)定義為:蜜罐主機(jī)是一種資源,它被偽裝成一個(gè)實(shí)際目標(biāo);蜜罐主機(jī)希望人們?nèi)ス艋蛉肭炙?;它的主要目的在于分散攻擊者的注意力和收集與攻擊和攻擊者有關(guān)的信息。蜜罐主機(jī)的價(jià)值蜜罐主機(jī)不能直接解決任何網(wǎng)絡(luò)安全問(wèn)題,甚至于會(huì)引來(lái)更多的入侵者來(lái)進(jìn)攻自己的網(wǎng)絡(luò)。那么,蜜罐主機(jī)到底能給我們提供什么有用信息?我們又如何利用這些信息?有兩種類型的蜜罐主機(jī):產(chǎn)品型(Production)蜜罐主機(jī)和研究型(Research)蜜罐主機(jī)。產(chǎn)品型蜜罐主機(jī)用于降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn);研究型蜜罐主機(jī)則用于收集盡可能多的信息。這些蜜罐主機(jī)不會(huì)為網(wǎng)絡(luò)增加任何安全價(jià)值,但它們確實(shí)可以幫助我們明確黑客社團(tuán)以及他們的攻擊行為,以便更好地抵御安全威脅。蜜罐主機(jī)(Honeypot)(續(xù))蜜罐主機(jī)是專門(mén)用來(lái)被人入侵的一種資源。所有通過(guò)蜜罐主機(jī)的通信流量都被認(rèn)為是可疑的因?yàn)樵诿酃拗鳈C(jī)上不會(huì)運(yùn)行額外的、會(huì)產(chǎn)生其它通信流量的系統(tǒng)。通常,進(jìn)出蜜罐主機(jī)的通信都是非授權(quán)的因此蜜罐主機(jī)所收集的信息也是我們所感興趣的數(shù)據(jù)而且這些信息不會(huì)摻雜有其它系統(tǒng)所產(chǎn)生的額外通信數(shù)據(jù),因此分析起來(lái)相對(duì)容易一些。它所收集的數(shù)據(jù)的價(jià)值相對(duì)較高。蜜罐主機(jī)(Honeypot)(續(xù))但是如果一臺(tái)蜜罐主機(jī)沒(méi)有被攻擊,那么它就毫無(wú)意義。蜜罐主機(jī)通常位于網(wǎng)絡(luò)的某點(diǎn)(SinglePoint),因此它被攻擊者發(fā)現(xiàn)的概率是很小的。蜜罐主機(jī)有可能增加額外的風(fēng)險(xiǎn):入侵者有可能被整個(gè)網(wǎng)絡(luò)所吸引或者蜜罐主機(jī)可能被攻陷。蜜罐主機(jī)(Honeypot)(續(xù))2、連累等級(jí)(LevelofInvolvement)蜜罐主機(jī)的一個(gè)重要特性就是連累等級(jí)。連累等級(jí)是指攻擊者同蜜罐主機(jī)所在的操作系統(tǒng)的交互程度。低連累蜜罐主機(jī)低連累蜜罐主機(jī)低連累蜜罐主機(jī)一臺(tái)典型的低連累蜜罐主機(jī)只提供某些偽裝的服務(wù)。低連累蜜罐主機(jī)(續(xù))在一個(gè)低連累蜜罐主機(jī)上,由于攻擊者并不與實(shí)際的操作系統(tǒng)打交道,從而可以大大降低蜜罐主機(jī)所帶來(lái)的安全風(fēng)險(xiǎn)。不過(guò)這種蜜罐也有其缺點(diǎn),那就是蜜罐無(wú)法看到攻擊者同操作系統(tǒng)的交互過(guò)程。一個(gè)低連累蜜罐主機(jī)就如同一條單向連接,我們只能聽(tīng),無(wú)法提出問(wèn)題。這是一種被動(dòng)式蜜罐。低連累蜜罐主機(jī)類似于一個(gè)被動(dòng)的入侵檢測(cè)系統(tǒng),它們不對(duì)通信流進(jìn)行修改或者同攻擊者進(jìn)行交互。如果進(jìn)入的包匹配某種實(shí)現(xiàn)定義的模式,它們就會(huì)產(chǎn)生日志和告警信息。低連累蜜罐主機(jī)(續(xù))中連累蜜罐主機(jī)同攻擊者進(jìn)行交互中連累蜜罐主機(jī)中連累蜜罐主機(jī)提供更多接口同底層的操作系統(tǒng)進(jìn)行交互,偽裝的后臺(tái)服務(wù)程序也要復(fù)雜一些,對(duì)其所提供的特定服務(wù)需要的知識(shí)也更多,同時(shí)風(fēng)險(xiǎn)也在增加。隨著蜜罐主機(jī)復(fù)雜度的提升,攻擊者發(fā)現(xiàn)其中的安全漏洞的機(jī)會(huì)也在增加,攻擊者可以采取的攻擊技術(shù)也相應(yīng)更多。由于協(xié)議和服務(wù)眾多,開(kāi)發(fā)中連累蜜罐主機(jī)要更復(fù)雜和花費(fèi)更多時(shí)間。必須特別注意的是,所有開(kāi)發(fā)的偽裝后臺(tái)服務(wù)程序必須足夠安全,不應(yīng)該存在出現(xiàn)在實(shí)際服務(wù)中的漏洞。中連累蜜罐主機(jī)(續(xù))高連累蜜罐主機(jī)高連累蜜罐主機(jī)高連累蜜罐主機(jī),由于高連累蜜罐主機(jī)與底層操作系統(tǒng)的交互是“實(shí)實(shí)在在”的,所以隨著操作系統(tǒng)復(fù)雜性的提高,由蜜罐主機(jī)所帶來(lái)的安全風(fēng)險(xiǎn)也不斷增高。同時(shí),蜜罐主機(jī)所能夠收集到的信息越多,也就越容易吸引入侵者。控制蜜罐主機(jī),而高連累蜜罐主機(jī)也確實(shí)為黑客提供了這樣的工作環(huán)境。此時(shí),整個(gè)系統(tǒng)已經(jīng)不能再被當(dāng)作是安全的,雖然,蜜罐主機(jī)通常運(yùn)行在一個(gè)受限制的虛擬環(huán)境中(所謂的沙箱或者VMWare),但入侵者總會(huì)有辦法突破這個(gè)軟件邊界。
高連累蜜罐主機(jī)(續(xù))由于高連累蜜罐主機(jī)的高安全風(fēng)險(xiǎn),因而我們有必要對(duì)蜜罐一直進(jìn)行監(jiān)視,否則蜜罐主機(jī)本身可能成為另一個(gè)安全漏洞。因此,蜜罐主機(jī)可以訪問(wèn)的資源和范圍必須受到一定的限制,對(duì)于進(jìn)出蜜罐主機(jī)的通信流必須進(jìn)行過(guò)濾,以防止成為黑客發(fā)動(dòng)其它攻擊的跳板。高連累蜜罐主機(jī)(續(xù))由于高連累蜜罐主機(jī)給攻擊者提供的是完整的操作系統(tǒng),攻擊者不僅可以同蜜罐主機(jī)交互,還可以同操作系統(tǒng)交互,因此它可以成功入侵系統(tǒng)的概率也就很大。當(dāng)然,我們從蜜罐主機(jī)獲得的信息也就越多。高連累蜜罐主機(jī)(續(xù))各連累等級(jí)蜜罐的優(yōu)缺點(diǎn)比較等級(jí)
低中高交互等級(jí)低中高真實(shí)操作系統(tǒng)——√安全風(fēng)險(xiǎn)低中高信息收集按連接按請(qǐng)求全面希望被入侵——√運(yùn)行所需知識(shí)低低高開(kāi)發(fā)所需知識(shí)低高中高維護(hù)時(shí)間低低很高3、蜜罐主機(jī)的布置蜜罐主機(jī)對(duì)于其運(yùn)行環(huán)境并沒(méi)有太多限制,正如一臺(tái)標(biāo)準(zhǔn)服務(wù)器一樣,可以位于網(wǎng)絡(luò)的任何位置,但對(duì)于不同的擺放位置有其不同的優(yōu)缺點(diǎn)。根據(jù)所需要的服務(wù),蜜罐主機(jī)既可以放置于互聯(lián)網(wǎng)中,也可以放置在內(nèi)聯(lián)網(wǎng)中。如果把密罐主機(jī)放置于內(nèi)聯(lián)網(wǎng),那么對(duì)于檢測(cè)內(nèi)部網(wǎng)的攻擊者會(huì)有一定的幫助。但是必須注意的是,一旦蜜罐主機(jī)被突破,它就像一把尖刀直插你的心臟,因此要盡量降低其運(yùn)行等級(jí)。據(jù)統(tǒng)計(jì),80%的攻擊來(lái)自組織內(nèi)部,因此此位置的蜜罐對(duì)于捕獲來(lái)自內(nèi)部的掃描和攻擊作用最大.可以部署低交互度蜜罐用于檢測(cè),高交互度蜜罐用于響應(yīng);目前大多數(shù)蜜罐部署的常用位置.蜜罐主機(jī)的布置(續(xù))如果你更加關(guān)心互聯(lián)網(wǎng),那么蜜罐主機(jī)可以放置在另外的地方:①防火墻外面(Internet)②DMZ(非軍事區(qū))③防火墻后面(Intranet)每種擺放方式都有各自的優(yōu)缺點(diǎn)。蜜罐主機(jī)的布置(續(xù))蜜罐主機(jī)的布置蜜罐主機(jī)的布置(續(xù))蜜罐主機(jī)放在防火墻外面蜜罐1部署在組織的防火墻之外,目標(biāo)是研究每天有多少針對(duì)組織的攻擊企圖。如果把蜜罐主機(jī)放在防火墻外面,那么對(duì)內(nèi)部網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)不會(huì)有任何影響。這樣就可以消除在防火墻后面出現(xiàn)一臺(tái)失陷主機(jī)的可能性。此位置適于部署低連累蜜罐,能夠檢測(cè)對(duì)系統(tǒng)漏洞的所有攻擊行為。蜜罐1容易被攻擊者識(shí)別,被攻破的風(fēng)險(xiǎn)很大,而且有時(shí)檢測(cè)的數(shù)據(jù)量大使用戶難于處理。不推薦使用的部署位置.蜜罐主機(jī)有可能吸引和產(chǎn)生大量的不可預(yù)期的通信量,如端口掃描或網(wǎng)絡(luò)攻擊所導(dǎo)致的通信流。如果把蜜罐主機(jī)放在防火墻外面,這些事件就不會(huì)被防火墻記錄或者導(dǎo)致內(nèi)部入侵檢測(cè)系統(tǒng)產(chǎn)生告警信息。對(duì)于防火墻或者入侵檢測(cè)系統(tǒng),以及任何其它資源來(lái)說(shuō),最大的好處莫過(guò)于在防火墻外面運(yùn)行的蜜罐主機(jī)不會(huì)影響它們,不會(huì)給它們帶來(lái)額外的安全威脅。缺點(diǎn)是外面的蜜罐主機(jī)無(wú)法定位內(nèi)部攻擊信息。特別是如果防火墻本身就限制內(nèi)部通信流直接通向互聯(lián)網(wǎng)的話,那么蜜罐主機(jī)基本上看不到內(nèi)部網(wǎng)的通信流。蜜罐主機(jī)放在防火墻外面(續(xù))蜜罐主機(jī)放在DMZ目標(biāo)是檢測(cè)或者響應(yīng)高風(fēng)險(xiǎn)網(wǎng)絡(luò)上的攻擊或者未授權(quán)活動(dòng).蜜罐2隱藏于DMZ區(qū)域的各種服務(wù)器之中,將其工作狀態(tài)類似于網(wǎng)絡(luò)內(nèi)的其他系統(tǒng)(如Web服務(wù)器),當(dāng)攻擊者順序掃描和攻擊各服務(wù)器時(shí),蜜罐2可以檢測(cè)到攻擊行為,并通過(guò)與攻擊者的交互響應(yīng)取證其攻擊行為;當(dāng)攻擊者隨機(jī)選取服務(wù)器進(jìn)行攻擊時(shí),蜜罐2有被避開(kāi)的可能性。蜜罐2不易被攻擊者發(fā)現(xiàn),因此只要有出入蜜罐2的活動(dòng)流量均可判定為可疑的未授權(quán)行為,從而可以捕獲到高價(jià)值的非法活動(dòng).在此位置可以部署低連累蜜罐用于檢測(cè),高連累蜜罐用于響應(yīng),是目前大多數(shù)蜜罐部署的常用位置把蜜罐主機(jī)放在DMZ似乎是一種較好的解決方案,但這必須首先保證DMZ內(nèi)的其它服務(wù)器是安全的。大多數(shù)DMZ內(nèi)的服務(wù)器只提供所必需的服務(wù),也就是防火墻只允許與這些服務(wù)相關(guān)的通信經(jīng)過(guò),而蜜罐主機(jī)通常會(huì)偽裝盡可能多的服務(wù),因此,如何處理好這個(gè)矛盾是放置在DMZ內(nèi)的密罐主機(jī)需要解決的關(guān)鍵問(wèn)題所在。蜜罐主機(jī)放在DMZ(續(xù))目標(biāo)是檢測(cè)和響應(yīng)突破安全防線后的攻擊行為,阻止攻擊行為的蔓延。如果把蜜罐主機(jī)置于防火墻后面,那么就有可能給內(nèi)部網(wǎng)絡(luò)引入新的安全威脅,特別是在蜜罐主機(jī)和內(nèi)部網(wǎng)絡(luò)之間沒(méi)有額外的防火墻保護(hù)的情況下。正如前面所述的,蜜罐主機(jī)通常都提供大量的偽裝服務(wù),因此不可避免地必須修改防火墻的過(guò)濾規(guī)則,對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的通信流和蜜罐主機(jī)的通信流加以區(qū)別對(duì)待。否則,一旦蜜罐主機(jī)失陷,那么整個(gè)內(nèi)部網(wǎng)絡(luò)將完全暴露在攻擊者面前。從互聯(lián)網(wǎng)經(jīng)由防火墻到達(dá)蜜罐主機(jī)的通信流是暢通無(wú)阻的,因此對(duì)于內(nèi)部網(wǎng)中的蜜罐主機(jī)的安全性要求相對(duì)較高,特別是對(duì)高連累型蜜罐主機(jī)。該位置適于部署高連累蜜罐,因?yàn)橥ㄟ^(guò)防火墻可以很好地進(jìn)行數(shù)據(jù)控制蜜罐主機(jī)置于防火墻后面4、DefnetHoneyPot“DefnetHoneyPot”是一個(gè)著名的“蜜罐”虛擬系統(tǒng),它會(huì)虛擬一臺(tái)有“缺陷”的電腦,等著惡意攻擊者上鉤。這種通過(guò)DefnetHoneyPot虛擬出來(lái)的系統(tǒng)和真正的系統(tǒng)看起來(lái)沒(méi)有什么兩樣,但它是為惡意攻擊者布置的陷阱。只不過(guò),這個(gè)陷阱只能套住惡意攻擊者,看看他都執(zhí)行了哪些命令,進(jìn)行了哪些操作,使用了哪些惡意攻擊工具。通過(guò)陷阱的記錄,可以了解攻擊者的習(xí)慣,掌握足夠的攻擊證據(jù),甚至反擊攻擊者。模擬環(huán)境虛擬機(jī)AIP:0(蜜罐系統(tǒng))虛擬機(jī)BIP:(攻擊主機(jī))設(shè)置虛擬系統(tǒng)虛擬一個(gè)FTPServer服務(wù)TelnetServer的設(shè)置幕后監(jiān)視幕后監(jiān)視(續(xù))
例如,蜜罐中顯示信息如下:
(9:20:52)TheIP()triedinvasionbytelnet(CONNECTION)
(9:21:31)TheIP()triedinvasionbytelnet(USERadministrator)
(9:21:53)TheIP()triedinvasionbytelnet(PASSWORD)
(9:22:21)TheIP()triedinvasionbytelnet(USERadmin)
(9:22:42)TheIP()triedinvasionbytelnet(PASSWORD)
(9:23:08)TheIP()triedinvasionbytelnet(USERroot)
(9:23:29)TheIP()triedinvasionbytelnet(PASSWORD)
Theinvasordisconnectedfromthetelnetserver
幕后監(jiān)視(續(xù))(9:23:58)TheIP()triedinvasionbytelnet(CONNECTION)
(9:24:22)TheIP()triedinvasionbytelnet(USERroot)
(9:24:44)TheIP()triedinvasionbytelnet(PASSWORDroot)
(9:25:08)TheIP()triedinvasionbytelnet(dir)
(9:25:41)TheIP()triedinvasionbytelnet(cdfiles)
(9:26:20)TheIP()triedinvasionbytelnet(netuser)
(9:26:49)TheIP()triedinvasionbytelnet(netuser)
(9:27:38)TheIP()triedinvasionbytelnet(netuserasp$test168/add)
(9:28:32)TheIP()triedinvasionbytelnet(netu)
(9:29:12)TheIP()triedinvasionbytelnet(netlocalgroupadministratorsasp$/add)
(9:29:36)TheIP()triedinvasionbytelnet(exit)幕后監(jiān)視(續(xù))從信息中,我們可以看到攻擊者Telnet到服務(wù)器分別用administrator、admin、root空密碼進(jìn)行探視均告失敗,然后再次連接用root用戶和root密碼進(jìn)入系統(tǒng)。接下來(lái)用dir命令查看了目錄,創(chuàng)建了一個(gè)用戶
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 企業(yè)借款合同的格式和條款
- 城中村房產(chǎn)交易合同格式
- 經(jīng)典喪葬服務(wù)合同示范文本
- 陶瓷杯供應(yīng)協(xié)議
- 簡(jiǎn)約室內(nèi)門(mén)購(gòu)銷合同
- 電機(jī)及控制系統(tǒng)升級(jí)購(gòu)銷合同
- 水泥購(gòu)銷簡(jiǎn)化合同
- 權(quán)威認(rèn)證企業(yè)品牌服務(wù)合同
- 2024年新型建筑材料研發(fā)生產(chǎn)投資合同
- 2024年四川省建筑安全員《A證》考試題庫(kù)及答案
- 經(jīng)典繪本推薦--《果果的花朵》
- 劍橋英語(yǔ) 中級(jí)班 聽(tīng)力腳本劍橋二
- 蛋白質(zhì)分選與膜泡運(yùn)輸
- 彈簧設(shè)計(jì)公差標(biāo)準(zhǔn)
- X62W萬(wàn)能銑床電氣控制
- 常用普通螺紋加工的中徑和頂徑極限偏差快速查詢表
- 質(zhì)量認(rèn)證基礎(chǔ)知識(shí)(共218頁(yè)).ppt
- 《光學(xué)教程》[姚啟鈞]課后習(xí)題解答
- 供應(yīng)室不良事件
- ACOG指南:妊娠期高血壓疾病指南(專家解讀)
- 服務(wù)外包公司評(píng)價(jià)表(共1頁(yè))
評(píng)論
0/150
提交評(píng)論