蜜罐系統(tǒng)搭建與測(cè)試分析報(bào)告

蜜罐系統(tǒng)搭建與測(cè)試分析互聯(lián)網(wǎng)作為世界交互的接口，是各國(guó)互聯(lián)網(wǎng)治理的必由之路。速度快、多變化、無(wú)邊界、多維度的網(wǎng)絡(luò)傳播，不僅加速了全球化的進(jìn)程，也削減差異阻隔，尤其在全球經(jīng)濟(jì)一體化開(kāi)展的背景下，互聯(lián)網(wǎng)已成為各國(guó)政治、文化和經(jīng)濟(jì)融合化、無(wú)邊界、多維度的網(wǎng)絡(luò)傳播，不僅加速了全球化的進(jìn)程，也削減差異阻隔，尤其在全球經(jīng)濟(jì)一體化開(kāi)展的背景下，互聯(lián)網(wǎng)已成為各國(guó)政治、文化和經(jīng)濟(jì)融合與博弈的重要場(chǎng)域。但是，與此同時(shí)互聯(lián)網(wǎng)安全面臨著巨大的考驗(yàn)。開(kāi)放性和各種操作系統(tǒng)、軟件的缺省安裝配置存在很多安全漏洞和缺陷，同時(shí)，大局部的網(wǎng)絡(luò)使用者還未真正擁有安全意識(shí)，也還很少進(jìn)展安全加強(qiáng)工作，如與時(shí)打補(bǔ)丁、安裝防火墻和其他安全工具等，從而導(dǎo)致了目前的互聯(lián)網(wǎng)具有巨大的安全隱患。另一方面，隨著網(wǎng)絡(luò)攻擊技術(shù)的開(kāi)展，特別是分布式拒絕效勞攻擊、跳板〔Step-stone〕攻擊與互聯(lián)網(wǎng)蠕蟲(chóng)的盛行，互聯(lián)網(wǎng)上的每一臺(tái)主機(jī)都已經(jīng)成為攻擊的目標(biāo)。此外，黑客社團(tuán)也不像互聯(lián)網(wǎng)早期那么純潔，不再僅僅為了興趣和炫耀力量而出動(dòng)，而更多的由于國(guó)家利益、商業(yè)利益與黑暗心理等因素促使其對(duì)互聯(lián)網(wǎng)安全構(gòu)成危害。同時(shí)攻擊者也不再需要很多的專業(yè)技術(shù)和技巧，他們可PacketStorm〕。而這些由高級(jí)黑客們開(kāi)發(fā)的攻擊腳本和工具越來(lái)越簡(jiǎn)潔使用，功能也越來(lái)越強(qiáng)，能夠造成的破壞也越來(lái)越大。特別值得留意的一個(gè)趨勢(shì)是多種攻擊腳本和工具的融合，如大量的內(nèi)核后門工具包〔Rootkit〕，與能夠集成多種攻擊腳本并供給易用接口的攻擊框架的消滅。以何種方式達(dá)成攻擊目標(biāo)，以與為什么進(jìn)展攻擊更是一無(wú)所知。作為安全防護(hù)工1/21作者，無(wú)論是安全爭(zhēng)論人員、安全產(chǎn)品研發(fā)人員、安全治理人員和安全響應(yīng)效勞人員，都需要首先對(duì)黑客社團(tuán)有深入的了解，包括他們所把握的攻擊技術(shù)、技巧和戰(zhàn)術(shù)、甚至心理和習(xí)慣等。只有在充分了解對(duì)手的前提下，我們才能更有效地維護(hù)互聯(lián)網(wǎng)安全。而蜜罐和蜜網(wǎng)技術(shù)為捕獲黑客的攻擊行為，并深入分析黑客供給了根底。蜜罐的概念1990年出版的一本小說(shuō)《TheCuckoo’sEgg》中，在這本小說(shuō)事。“蜜網(wǎng)工程組〞〔TheHoneynetProject〕的創(chuàng)始人LanceSpitzner了對(duì)蜜罐的權(quán)威定義：蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷。這個(gè)定義明確蜜罐并無(wú)其他實(shí)際作用，因此全部流入/流出蜜罐的網(wǎng)絡(luò)流量都可1990年出版的一本小說(shuō)《TheCuckoo’sEgg》中，在這本小說(shuō)事?！懊劬W(wǎng)工程組〞〔TheHoneynetProject〕的創(chuàng)始人LanceSpitzner了對(duì)蜜罐的權(quán)威定義：蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷。這個(gè)定義明確蜜罐并無(wú)其他實(shí)際作用，因此全部流入/流出蜜罐的網(wǎng)絡(luò)流量都可檢測(cè)和分析。蜜罐技術(shù)的開(kāi)展從九十年月初蜜罐概念的提出直到1998年左右，“蜜罐〞還僅僅限于2/21一種思想，通常由網(wǎng)絡(luò)治理人員應(yīng)用，通過(guò)哄騙黑客到達(dá)追蹤的目的。這一階段的蜜罐實(shí)質(zhì)上是一些真正被黑客所攻擊的主機(jī)和系統(tǒng)。從1998年開(kāi)頭，蜜罐技術(shù)開(kāi)頭吸引了一些安全爭(zhēng)論人員的留意，并開(kāi)發(fā)FredCohen所開(kāi)發(fā)的DTK〔哄騙工HoneydKFSensor、Specter等一些商業(yè)蜜罐產(chǎn)品。這一階段的蜜罐可以稱為是虛擬蜜罐，即開(kāi)發(fā)的這些蜜罐從而哄騙黑客。虛擬蜜罐工具的消滅也使得部署蜜罐也變得比較便利。但是由于虛擬蜜罐工具存在著交互程度低，較簡(jiǎn)潔被黑客識(shí)別等問(wèn)題，2023年之后，安全爭(zhēng)論人員更傾向于使用真實(shí)的主機(jī)、操作系統(tǒng)和應(yīng)用程序搭建蜜罐，但與之前不同的是，融入了更強(qiáng)大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)掌握的工具，并且將蜜罐納入到一個(gè)完整的蜜網(wǎng)體系中，使得爭(zhēng)論人員能夠更便利地追蹤侵入到蜜網(wǎng)中的黑客并對(duì)他們的攻擊行為進(jìn)展分析。蜜罐的分類目的在于為一個(gè)組織的網(wǎng)絡(luò)供給安全保護(hù)，包括檢測(cè)攻擊、防止攻擊造成破壞與幫助治理員對(duì)攻擊做出與時(shí)正確的響應(yīng)等功能。一般產(chǎn)品型蜜罐較簡(jiǎn)潔部署，而且不需要治理員投入大量的工作。較具代表性的產(chǎn)品型蜜罐包括DTK、honeyd等開(kāi)源工具和KFSensor、ManTraq等一系列的商業(yè)產(chǎn)品。爭(zhēng)論型蜜罐如此是特地用于對(duì)黑客攻擊的捕獲和分析，通過(guò)部署爭(zhēng)論型蜜罐，對(duì)黑客攻擊進(jìn)展追蹤和分析，能夠捕獲黑客的鍵擊記錄，了解到黑客所使用的攻擊工具與攻擊方法，甚3/21至能夠監(jiān)聽(tīng)到黑客之間的交談，從而把握他們的心理狀態(tài)等信息。爭(zhēng)論型蜜罐需具是“蜜網(wǎng)工程組〞所推出的其次代蜜網(wǎng)技術(shù)。和網(wǎng)絡(luò)效勞，較簡(jiǎn)潔部署且風(fēng)險(xiǎn)較小，但黑客在低交互蜜罐中能夠進(jìn)展的攻擊活動(dòng)較為有限，因此通過(guò)低交互蜜罐能夠收集的信息也比較有限，同時(shí)由于低交互蜜罐通常是模擬的虛擬蜜罐，或多或少存在著一些簡(jiǎn)潔被黑客所識(shí)別的指紋〔Fingerprinting〕信息。統(tǒng)和網(wǎng)絡(luò)效勞，沒(méi)有任何的模擬，從黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子〞，因此在高交互蜜罐中，我們能夠獲得很多黑客攻擊的信息。高M(jìn)anTrap，屬于高交互蜜罐。蜜罐的優(yōu)缺點(diǎn)蜜罐技術(shù)的優(yōu)點(diǎn)包括：1、收集數(shù)據(jù)的保真度，由于蜜罐不供給任何實(shí)際的作用，因此其收集到的數(shù)據(jù)很少，同時(shí)收集到的數(shù)據(jù)很大可能就是由于黑客攻擊造成的，蜜罐不依靠于任何簡(jiǎn)單的檢測(cè)技術(shù)等，因此削減了漏報(bào)率和誤報(bào)率。2、使用蜜罐技術(shù)能夠收集到的攻擊工具和攻擊方法，而不像目前的大局4/21部入侵檢測(cè)系統(tǒng)只能依據(jù)特征匹配的方法檢測(cè)到的攻擊。3不需要大量的資金投入。4、相對(duì)入侵檢測(cè)等其他技術(shù)，蜜罐技術(shù)比較簡(jiǎn)潔，使得網(wǎng)絡(luò)治理人員能夠比較簡(jiǎn)潔地把握黑客攻擊的一些學(xué)問(wèn)。蜜罐技術(shù)存在的缺陷有：1、需要較多的時(shí)間和精力投入。2不像入侵檢測(cè)系統(tǒng)能夠通過(guò)旁路偵聽(tīng)等技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)展監(jiān)控。3、蜜罐技術(shù)不能直接防護(hù)有漏洞的信息系統(tǒng)。4、部署蜜罐會(huì)帶來(lái)肯定的安全風(fēng)險(xiǎn)。部署蜜罐所帶來(lái)的安全風(fēng)險(xiǎn)主要有蜜罐可能被黑客識(shí)別和黑客把蜜罐作從而避開(kāi)蜜罐，甚至他會(huì)向蜜罐供給錯(cuò)誤和虛假的數(shù)據(jù)，從而誤導(dǎo)安全防護(hù)和爭(zhēng)論人員。防止蜜罐被識(shí)別的解決方法是盡量消退蜜罐的指紋，并使得蜜罐與真實(shí)Anti-Honeypot〕之間相當(dāng)于一個(gè)博弈問(wèn)題，總是在相互競(jìng)爭(zhēng)中共同開(kāi)展。另外，蜜罐技術(shù)的初衷即是讓黑客攻破蜜罐并獲得蜜罐的掌握權(quán)限，并跟蹤其攻破蜜罐、在蜜罐埋伏等攻擊行為，但我們必需防止黑客利用蜜罐作為跳板對(duì)第三方網(wǎng)絡(luò)發(fā)起攻擊。為了確保黑客活動(dòng)不對(duì)外構(gòu)成威逼，必需引入多個(gè)層次的數(shù)據(jù)掌握措施，必要的時(shí)候需要爭(zhēng)論人員的人工干預(yù)。5/21蜜網(wǎng)的根本概念蜜網(wǎng)是在蜜罐技術(shù)上逐步開(kāi)展起來(lái)的一個(gè)的概念，又可成為誘捕網(wǎng)絡(luò)。蜜在這個(gè)架構(gòu)中，我們可以包含一個(gè)或多個(gè)蜜罐，同時(shí)保證了網(wǎng)絡(luò)的高度可控性，以與供給多種工具以便利對(duì)攻擊信息的采集和分析。VMWare和UserModeLinux大的風(fēng)險(xiǎn)，黑客有可能識(shí)別出虛擬操作系統(tǒng)軟件的指紋，也可能攻破虛擬操作系統(tǒng)軟件從而獲得對(duì)整個(gè)虛擬蜜網(wǎng)的掌握權(quán)。蜜網(wǎng)的核心需求蜜網(wǎng)有著三大核心需求：即數(shù)據(jù)掌握、數(shù)據(jù)捕獲和數(shù)據(jù)分析。通過(guò)數(shù)據(jù)掌握能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡(luò)的安全，以減輕蜜網(wǎng)架設(shè)的風(fēng)險(xiǎn)；數(shù)安全爭(zhēng)論人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動(dòng)、使用工具與其意圖。以下其次代蜜網(wǎng)技術(shù)：其次代蜜網(wǎng)所需的關(guān)鍵工具：HoneyWallSebek。其次代蜜網(wǎng)方案的整體架構(gòu)如圖，其中最為關(guān)鍵的部件為稱為HoneyWall的蜜網(wǎng)網(wǎng)關(guān)，包括三個(gè)網(wǎng)絡(luò)接口，eth0接入外網(wǎng)，eth1連接蜜網(wǎng)，而eth2作為一個(gè)隱秘HoneyWall是一個(gè)對(duì)黑客不行見(jiàn)的鏈路層橋接設(shè)6/21備，作為蜜網(wǎng)與其他網(wǎng)絡(luò)的唯一連接點(diǎn)，全部流入流出蜜網(wǎng)的網(wǎng)絡(luò)流量都將通過(guò)HoneyWallHoneyWall是一個(gè)工作在鏈路層的橋TTL遞減和網(wǎng)絡(luò)路由，也不會(huì)供給本身的MAC地址，因此對(duì)黑客而言，HoneyWall攻擊的網(wǎng)絡(luò)是一個(gè)蜜網(wǎng)。1其次代蜜網(wǎng)方案的整體架構(gòu)HoneyWallHoneyWall的數(shù)據(jù)掌握機(jī)制，HoneyWall網(wǎng)，但對(duì)黑客使用蜜網(wǎng)對(duì)外發(fā)起的跳板攻擊進(jìn)展嚴(yán)格掌握。掌握的方法包括：7/21●攻擊包抑制；●對(duì)外連接數(shù)限制；2HoneyWall的數(shù)據(jù)掌握機(jī)制在HoneyWall中使用了snort_inlineNIPS制器，檢測(cè)出從蜜網(wǎng)向外發(fā)出的含有的攻擊特征的攻擊數(shù)據(jù)包，發(fā)出報(bào)警信息并對(duì)攻擊數(shù)據(jù)包加以拋棄或修改，使其不能對(duì)第三方網(wǎng)絡(luò)構(gòu)成危害。HoneyWall通IPTables如此IPTables將其記錄到日志，并阻斷其后繼連接，從而防止蜜網(wǎng)中被攻陷的蜜罐作為黑客的跳板對(duì)第三方網(wǎng)絡(luò)進(jìn)展探測(cè)或拒絕效勞攻擊。8/213HoneyWall中數(shù)據(jù)掌握的具體流程3HoneyWall中實(shí)現(xiàn)的數(shù)據(jù)掌握機(jī)制〔即攻擊包抑制和對(duì)外Swatch監(jiān)視工具將snort_inline和IPTablesmail圖4HoneyWall圖4如此給出了HoneyWalleth0IPTables防火墻，依據(jù)防火墻規(guī)如此，將對(duì)9/21流入的連接活動(dòng)進(jìn)展記錄，由于我們無(wú)需對(duì)流入的攻擊進(jìn)展過(guò)濾，因此可以直接snort_inline，但在eth1流出的時(shí)候，由一個(gè)作為網(wǎng)絡(luò)監(jiān)聽(tīng)器使用的snort5，在蜜Sebek的客戶端，能夠?qū)诳驮诿酃奚系幕顒?dòng)進(jìn)展記錄，并通過(guò)對(duì)黑客隱蔽的通道將收集到的鍵擊記錄等信息傳送到位于HoneyWallSebeketh2隱蔽通道對(duì)HoneyWall中收集到的數(shù)據(jù)進(jìn)展分析，從而學(xué)習(xí)到黑客所發(fā)動(dòng)的攻擊方法。10/21試驗(yàn)演示：winXPhoneywallwinXP攻擊機(jī)和靶機(jī)互ping11/21Honeywall測(cè)試Walleye遠(yuǎn)程訪問(wèn)，在192.168.200.2這臺(tái)虛擬機(jī)問(wèn)s://192.168.200.8，結(jié)果如下12/21ICMPping包是否通過(guò)外網(wǎng)口和內(nèi)網(wǎng)口，攻擊機(jī)ping靶機(jī)的時(shí)候，tcpdump-ieth0icmpping靶機(jī)的時(shí)候，tcpdump-ieth1icmp13/21ping攻擊機(jī)的時(shí)候，tcpdump-ieth0icmpping攻擊機(jī)的時(shí)候，tcpdump-ieth1icmpSebek14/21Honeywall的MAC00:0C:29:1D:C7:83Honeywall15/21遠(yuǎn)程訪問(wèn)Walleye所觀看到