蜜罐主機(jī)和蜜罐網(wǎng)絡(luò)

第15章蜜罐主機(jī)和蜜罐網(wǎng)絡(luò)高等教育出版社本章要點(diǎn)

2.蜜罐的實(shí)現(xiàn)技術(shù)

1.蜜罐概述

3.蜜罐主機(jī)的部署

4.蜜罐網(wǎng)絡(luò)網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社蜜罐的基本概念蜜罐是一種安全資源，它的價(jià)值就在于被掃描、攻擊和攻陷，并對(duì)這些攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析。設(shè)計(jì)蜜罐的初衷是為吸引那些試圖非法入侵他人計(jì)算機(jī)系統(tǒng)的人，借此收集證據(jù)，同時(shí)隱藏真實(shí)的服務(wù)器地址。蜜罐具有發(fā)現(xiàn)攻擊、產(chǎn)生警告、記錄攻擊信息、欺騙、調(diào)查取證等功能。蜜罐最大的優(yōu)勢(shì)在于它能主動(dòng)地檢測(cè)和響應(yīng)網(wǎng)絡(luò)入侵和攻擊，并且采集的信息價(jià)值高。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社蜜罐的分類按價(jià)值體現(xiàn)分類欺騙型蜜罐純粹的以欺騙性目的存在的蜜罐系統(tǒng)，通過(guò)偽裝成攻擊目標(biāo)，從而轉(zhuǎn)移攻擊者的注意力，同時(shí)通過(guò)報(bào)警等各種附加機(jī)制對(duì)攻擊進(jìn)行響應(yīng)。威懾型蜜罐對(duì)攻擊者產(chǎn)生心理上的威嚇及迷惑作用的蜜罐系統(tǒng)，其主要職責(zé)就是告訴攻擊者自己是個(gè)蜜罐系統(tǒng)，這樣可以形成一定的阻嚇作用，減弱攻擊者的攻擊意圖。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社蜜罐的分類檢測(cè)型蜜罐通過(guò)提高蜜罐系統(tǒng)的檢測(cè)能力，用戶不只可以通過(guò)蜜罐系統(tǒng)的活動(dòng)情況判斷攻擊行為的發(fā)生，還可以更加廣泛和細(xì)致的監(jiān)測(cè)攻擊活動(dòng)。研究型蜜罐蜜罐系統(tǒng)可以提供一個(gè)非常強(qiáng)大的用于了解攻擊者和安全威脅的機(jī)制。研究型蜜罐可以讓使用者獲悉很多未知的安全隱患和攻擊方法，這可以做為一種預(yù)警機(jī)制來(lái)提前發(fā)現(xiàn)將要造成破壞的攻擊行為。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社蜜罐的分類按交互級(jí)別分類低交互度蜜罐一個(gè)低交互度的蜜罐很容易安裝和部署，并只能對(duì)少量服務(wù)進(jìn)行模擬。低交互度蜜罐的主要價(jià)值在于檢測(cè)，具體說(shuō)來(lái)就是對(duì)未授權(quán)掃描或者未授權(quán)連接嘗試的檢測(cè)。中交互度蜜罐中交互度的蜜罐能夠預(yù)期一些活動(dòng)，并且旨在可以給出一些低交互度蜜罐所無(wú)法給予的響應(yīng)。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社蜜罐的分類高交互度蜜罐高交互度的蜜罐可以提供大量關(guān)于攻擊者的信息，目的是為攻擊者提供對(duì)實(shí)際操作系統(tǒng)的訪問(wèn)權(quán)，在這種環(huán)境下沒(méi)有任何東西是模擬的或者受限的。Honeynet蜜網(wǎng)不僅為攻擊者提供了完整的操作系統(tǒng)進(jìn)行攻擊和交互，而且還提供了多個(gè)蜜罐。Honeynet的復(fù)雜性在于對(duì)往來(lái)于蜜罐的所有活動(dòng)既進(jìn)行控制又加以捕獲的控制網(wǎng)絡(luò)的構(gòu)建。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社蜜罐的優(yōu)點(diǎn)數(shù)據(jù)價(jià)值蜜罐通常只會(huì)收集少量的數(shù)據(jù)，但這些數(shù)據(jù)卻具有極高的價(jià)值。蜜罐能以一種快捷而易懂的格式提供所需的精確信息，簡(jiǎn)化了分析，提高了響應(yīng)速度。資源蜜罐只會(huì)對(duì)少量活動(dòng)進(jìn)行捕獲和監(jiān)視，所以在它們身上通常不會(huì)發(fā)生資源枯竭問(wèn)題。蜜罐只會(huì)捕獲那些直接針對(duì)其本身的活動(dòng)，因此系統(tǒng)并不會(huì)受到流量的震蕩。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社蜜罐的優(yōu)點(diǎn)簡(jiǎn)捷性無(wú)需開(kāi)發(fā)奇異的算法，無(wú)需維護(hù)簽名數(shù)據(jù)庫(kù)，不會(huì)出現(xiàn)錯(cuò)誤配置的規(guī)則庫(kù)。只要把蜜罐拿過(guò)來(lái)，放到組織中的某個(gè)地方，然后就可以靜觀其變了。投資回報(bào)蜜罐迅速且不斷地展現(xiàn)著其自身的價(jià)值所在，它不僅可以用來(lái)證實(shí)其自身的價(jià)值，而且還包括對(duì)其他安全資源所做的投資。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社蜜罐的缺點(diǎn)視野有限蜜罐只能看到何種活動(dòng)是直接針對(duì)它們自身的，而漏掉周圍的事件。指紋識(shí)別指紋識(shí)別指的是由于蜜罐具備一些特定的預(yù)期特征或者行為，因而能夠被攻擊者識(shí)別出其真實(shí)身份的情況。風(fēng)險(xiǎn)一旦一個(gè)蜜罐遭受了攻擊，就可以被用于攻擊、滲透，甚至危害其他的系統(tǒng)或者組織。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社蜜罐的偽裝采用真實(shí)系統(tǒng)作蜜罐，能提供黑客與系統(tǒng)的交互能力，偽裝程度明顯提高。還要對(duì)這些真實(shí)系統(tǒng)進(jìn)行配置，最為逼真的配置辦法是把一個(gè)修改過(guò)敏感信息的工作系統(tǒng)的內(nèi)容直接拷貝到蜜罐上。目前蜜罐的主要網(wǎng)絡(luò)欺騙技術(shù)有：模擬端口模擬系統(tǒng)漏洞和應(yīng)用服務(wù)IP空間欺騙流量仿真網(wǎng)絡(luò)動(dòng)態(tài)配置組織信息欺騙網(wǎng)絡(luò)服務(wù)蜜罐主機(jī)網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社信息的采集蜜罐系統(tǒng)需要隱蔽地采集盡量全面的黑客活動(dòng)信息。對(duì)黑客在蜜罐上的活動(dòng)，需要從系統(tǒng)級(jí)、網(wǎng)絡(luò)級(jí)等多個(gè)層次進(jìn)行記錄，以完整認(rèn)識(shí)黑客的活動(dòng)。蜜罐依據(jù)收集和分析數(shù)據(jù)地點(diǎn)的不同將收集信息的方式進(jìn)行分類：基于主機(jī)的信息收集基于網(wǎng)絡(luò)的信息收集主動(dòng)的信息收集網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社基于主機(jī)的信息收集記錄數(shù)據(jù)流將攻擊者的信息存放在一個(gè)安全的、遠(yuǎn)程的地方。以通過(guò)串行設(shè)備、并行設(shè)備、USB或Firewire技術(shù)和網(wǎng)絡(luò)接口將連續(xù)數(shù)據(jù)存儲(chǔ)到遠(yuǎn)程日志服務(wù)器?！癙eeking”機(jī)制MD-5檢驗(yàn)和檢查：如果攻擊者有一個(gè)和蜜罐對(duì)比的參照系統(tǒng)，就會(huì)計(jì)算所有標(biāo)準(zhǔn)的系統(tǒng)二進(jìn)制文件的MD-5校驗(yàn)和來(lái)測(cè)試蜜罐。庫(kù)的依賴性和進(jìn)程相關(guān)性檢查：即使攻擊者不知道原始二進(jìn)制系統(tǒng)的確切結(jié)構(gòu)，仍然能應(yīng)用特定程序觀察共享庫(kù)的依賴性和進(jìn)程的相關(guān)性。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社基于網(wǎng)絡(luò)的信息收集基于網(wǎng)絡(luò)的信息收集將收集機(jī)制設(shè)置在蜜罐之外，以一種不可見(jiàn)的方式運(yùn)行。可以利用防火墻和入侵檢測(cè)系統(tǒng)從網(wǎng)絡(luò)上收集進(jìn)出蜜罐的信息。防火墻可以配置防火墻記錄所有的出入數(shù)據(jù)，供以后仔細(xì)地檢查。入侵檢測(cè)系統(tǒng)NIDS在網(wǎng)絡(luò)中的放置方式使得它能夠?qū)W(wǎng)絡(luò)中所有機(jī)器進(jìn)行監(jiān)控，可以用HIDS記錄進(jìn)出蜜罐的所有數(shù)據(jù)包，也可以配置NIDS只去捕獲感興趣的數(shù)據(jù)流。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社主動(dòng)的信息收集信息也可以主動(dòng)獲得，使用第三方的機(jī)器或服務(wù)甚至直接針對(duì)攻擊者反探測(cè)如Whois，Portscan等。這種方式很危險(xiǎn)，容易被攻擊者察覺(jué)并離開(kāi)蜜罐，而且不是蜜罐所研究的主要范疇。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社風(fēng)險(xiǎn)控制在運(yùn)行蜜罐時(shí)，將存在的風(fēng)險(xiǎn)分為三個(gè)方面：未發(fā)現(xiàn)黑客對(duì)蜜罐的接管蜜罐被黑客控制并接管是非常嚴(yán)重的，這樣的蜜罐已毫無(wú)意義且充滿危險(xiǎn)。對(duì)蜜罐失去控制一個(gè)優(yōu)秀的蜜罐應(yīng)該可以隨時(shí)安全地終止進(jìn)出蜜罐的任何通信，隨時(shí)備份系統(tǒng)狀態(tài)以備以后分析。要做到即使蜜罐被完全攻陷，也仍在控制之中。對(duì)第三方的損害攻擊者可能利用蜜罐去攻擊第三方，如把蜜罐作為跳板攻擊其他系統(tǒng)。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社數(shù)據(jù)分析蜜罐系統(tǒng)一般要從網(wǎng)絡(luò)、系統(tǒng)等多方面采集信息，任何單方面的數(shù)據(jù)都可能被黑客破壞，這些數(shù)據(jù)需要相互印證分析，以確定黑客的真實(shí)活動(dòng)及其影響。從研究方法上講，攻擊分析和特征提取可以借鑒其他領(lǐng)域中處理數(shù)據(jù)信息的一些成熟的理論、方法和技術(shù)。

網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社蜜罐主機(jī)的部署根據(jù)所需要的服務(wù)，蜜罐主機(jī)既可以放置于互聯(lián)網(wǎng)中，也可以放置在內(nèi)聯(lián)網(wǎng)中。如果你更加關(guān)心互聯(lián)網(wǎng)，那么蜜罐主機(jī)可以放置在另外的地方：防火墻外面(Internet)DMZ(非軍事區(qū))防火墻后面(Intranet)網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社蜜罐主機(jī)的部署網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社防火墻前將蜜罐系統(tǒng)置于防火墻前的位置(1)，不用調(diào)整防火墻的設(shè)置，因?yàn)榭梢詫⒎阑饓ν獠康拿酃尴到y(tǒng)看成是外部網(wǎng)絡(luò)的一個(gè)機(jī)器。蜜罐會(huì)吸引像端口掃描等大量的攻擊，而這些攻擊不會(huì)被防火墻記錄也不讓內(nèi)部IDS系統(tǒng)產(chǎn)生警告，只會(huì)由蜜罐本身來(lái)記錄。內(nèi)部局域網(wǎng)的攻擊者無(wú)法定位蜜罐系統(tǒng)，是這個(gè)方案的最大弊端。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社DMZ位置(2)，由于DMZ內(nèi)其他系統(tǒng)和蜜罐系統(tǒng)一起被安全控制，是個(gè)較好的解決方案。蜜罐運(yùn)行在自己的DMZ內(nèi)，同時(shí)保證DMZ內(nèi)的其他服務(wù)器是安全的，只提供所必需的服務(wù)，蜜罐通常會(huì)偽裝盡可能多的服務(wù)。惟一的缺點(diǎn)就是增加了硬件要求。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社防火墻后位置(3)，可能給內(nèi)部網(wǎng)絡(luò)引入新的安全威脅，特別是如果蜜罐和內(nèi)部網(wǎng)絡(luò)之間沒(méi)有額外的防火墻保護(hù)。蜜罐系統(tǒng)通常都提供大量的偽裝服務(wù)。將蜜罐系統(tǒng)置于防火墻后一個(gè)最大的原因就是能探測(cè)內(nèi)部的攻擊者。缺點(diǎn)是一旦蜜罐被外部攻擊者攻陷就會(huì)危害整個(gè)內(nèi)網(wǎng)。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社蜜罐網(wǎng)絡(luò)

蜜罐網(wǎng)絡(luò)(Honeynet)簡(jiǎn)稱蜜網(wǎng)，是一種研究型的高交互蜜罐技術(shù)，它與傳統(tǒng)的蜜罐技術(shù)相比具有兩大優(yōu)勢(shì)：首先，蜜網(wǎng)是一種高交互型的，用來(lái)獲取廣泛安全威脅信息的蜜罐。其次，蜜網(wǎng)是由多個(gè)蜜罐以及防火墻、入侵防御系統(tǒng)、系統(tǒng)行為記錄、自動(dòng)報(bào)警、輔助分析等一系列系統(tǒng)和工具所組成的，這種體系結(jié)構(gòu)創(chuàng)建了一個(gè)高度可控的網(wǎng)絡(luò)。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社蜜罐網(wǎng)絡(luò)蜜網(wǎng)體系結(jié)構(gòu)具有三大關(guān)鍵需求：數(shù)據(jù)控制：對(duì)攻擊者在蜜網(wǎng)中對(duì)第三方發(fā)起的攻擊行為進(jìn)行限制，以降低部署蜜網(wǎng)所帶來(lái)的安全風(fēng)險(xiǎn)。數(shù)據(jù)捕獲：監(jiān)控和記錄黑客在蜜網(wǎng)內(nèi)的所有行為。數(shù)據(jù)分析：對(duì)捕獲到的攻擊數(shù)據(jù)進(jìn)行整理和融合，從中分析出其中蘊(yùn)涵的攻擊工具、方法、技術(shù)和動(dòng)機(jī)。虛擬蜜網(wǎng)是指在同一硬件平臺(tái)上運(yùn)行多個(gè)操作系統(tǒng)和多種網(wǎng)絡(luò)服務(wù)的虛擬網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)攻防原理與實(shí)踐高等教育出版社虛擬蜜網(wǎng)分類獨(dú)立虛擬蜜網(wǎng)搭建在一臺(tái)計(jì)算機(jī)上的一個(gè)完整的蜜網(wǎng)網(wǎng)絡(luò)。網(wǎng)絡(luò)內(nèi)包括不定數(shù)量的虛擬蜜罐，數(shù)據(jù)控制和數(shù)據(jù)捕獲也由這臺(tái)機(jī)器來(lái)完成，一般是要使用軟件防火墻和基于主機(jī)的入