（计算机应用技术专业论文）基于网络主机副本法的诱骗系统的研究与实现.pdf

摘要 摘要 网络诱骗系统是一种主动的安全防御技术，与传统的i n t e m e t 安全防御技 术如防火墙、入侵检测系统以及各种认证和加密技术等不同，它通过在网络中 设置一些专门的资源( 即“诱饵”) 主动地吸引攻击者的注意和攻击，并在攻击 者攻击过程中捕获相关的攻击行为特征数据。诱骗系统通过设置专门的资源吸 引攻击者注意的方法，在很大程度上解决了传统的安全防御技术中攻击行为特 征数据的识别问题，提高了系统数据捕获的效果。 网络诱骗系统作为一种较新的安全防御技术还不是十分完善，存在着诸如 易被攻击者发现或被其利用作为攻击其他机器的跳板等缺陷。着眼于利用现有 的黑客技术对网络诱骗系统中存在的问题进行改进的思想，本文对网络上现有 的一些l i n u x 平台下的网络诱骗系统及l i n u x 平台下一些主要的黑客技术进行 了研究和分析，并对它们各自的一些优缺点进行了总结。通过以上的研究和分 析，本文利用l i n u ) 【平台下黑客攻击所用的进程注射技术对网络诱骗系统的隐 蔽性问题进行了改进，同时还利用l i n u ) ( 系统中提供的n e t f i l t e r 框架对系统的 安全性做了改善。在此基础上，本文实现了一个l i n u ) ( 平台下的网络诱骗系统 原型。 关键词：网络诱骗内核进程注射虚拟网络 a b s t r a c t a b s t 阳c t n e t w o r kd e c e p t i o ns y s t e mi sa 1 1a c t i v ed e f e n s et e c h n o l o g y i nc o n t r a s tt o t r a d i t i o n a li m e m e td e f e n s i v et e c h n o l o g i e ss u c ha sf i r e w a l l 、i d sa n dv a r i o u sk i n d s o fs o c a l l e de n c r y p t i o n sa 1 1 da u t h e n t i c a t i o n s ，n e t w o r kd e c e p t i o ns y s t e mi su s e dt o c 印眦t | l ec h a r a c t e r i s t i cd a 瞳ao fa t t a c kb yp u n i n gs o m es p e c i a lr e s o l l r c ei nm e i n t e m e td i s t i n c t l ya tt h es 锄et i m e ，m ed e c e p t i v ee f r e c to f 也en e t 、v o r kd e c 印t i o n s y s t e mi si m p r o v e d a sar e l a t i v e l yn e wn e 抑o r kd e f e n s i v et e c l l l l o l o g y ，n e 柳o r kd e c e p t i o ns y s t e m i sn o tp e r f 色c tn o wa 1 1 dt h e r ea r ev 撕o u sl ( i n d so fd r a w b a c k si nt l l es y s t e ma sf a l l o w s ： i t i se a s y t ob e f o u l l d 、c a nb e u s e d t oa t t a c k o t h e r m a c l l i n eo n t l l e i m e m e ta i l ds oo n t h i sp 印e rg i v e sa i ld e s c r i p t i o no f m ee x i s 曲gn e t w o r kd e c e p t i o ns y s t e ma 1 1 ds o m e t e c l l l l o i o g i e su s e db yh a c k e r st oa t t a c kt h ei n t e m e tu s e ru n d e rl i n u xs y s t e m ，i ta l s o a i l a l y z e st l l em e r i t sa 1 1 df a u l t so ft e c h n o l o g i e sa b o v e 0 nt l l eb a s i so ft h a t ，t 1 1 ep a p e r i m p l e m e n t sap m t o t y p eo f n e t w o r kd e c e p t i o ns y s t e m 帅d e rl i n u xs y s t e m k e ) 7w b r d s ： n e t w o r kd e c e p t i o nk e m e l p m c e s si n j e c t i o n r t u a ln e t w o r k i i 第一章引言 第一章引言 随着互联网技术的不断发展和互联网应用的不断深入，网络上攻击行为的 种类和数目日益增多，带来的危害越来越大。如何有效地阻止和防范形式多样 的入侵和攻击行为成为网络安全人员研究的一个热点。 要想有效地阻止和防范形式多样的攻击行为，必须对黑客攻击行为的原理、 特征及所用的攻击工具有充分地了解，这样才能对其做到有针对性地防范，降 低网络安全防范的开销。传统的安全防预措施( 如防火墙、入侵检测、加密认 证等) 虽然可以很好地应对一些已知的攻击，但在应对越来越新奇的攻击行为 时遇到了一定的困难，因此网络安全人员急需一种有效的方式来获取层出不穷 的攻击行为的行为特征及所用的相关工具，以对这些攻击行为制定相应地应对 措施。 第一节课题的背景及意义 本课题源于南开大学科技创新基金项目基于网络，主机副本法的诱骗系统 的设计与实现，主要研究网络安全技术中的网络诱骗技术( 即蜜罐技术) ，研 究的内容包括：研究和分析网络诱骗系统的理论和现有的网络诱骗系统的特点， 并总结其优点及缺陷；详细分析现有的黑客技术( 如蠕虫技术、病毒技术等相 关技术) ，探讨这些技术应用于网络诱骗系统的可能性；研究网络诱骗系统中监 视入侵者以及搜集、获取其行为数据的技术；基于以上技术实现一个基于网络 主机副本法的诱骗系统模型。 伴随着网络应用的迅速普及和推广，网络安全问题日益突出，其种类呈现 出多样化的趋势，给网络的应用带来了严重地影响。传统的网络安全防御技术 都是通过被动地等待来捕获攻击行为，他们在应对大量的未知攻击时遇到了一 些困难，这些困难突出表现在：对大量未知攻击行为的响应相对迟钝，获取这 些未知攻击行为的行为特征数据及所用工具的耗费日益增多。网络诱骗系统就 是针对传统安全防御措施的以上难点提出的一种主动的安全防御技术，它巧妙 解决了传统安全防御技术中的一些难点，给网络安全人员提供了一个有效地捕 第一章引言 获大量未知攻击行为特征数据的手段，很大程度上提高了安全人员捕获、分析 这些攻击行为的效率。相关安全人员通过对诱骗系统捕获到的攻击行为数据地 分析，为网络用户进行及时地预警。目前，网络诱骗系统已经成为信息安全领 域研究的一个新的热点，具有重要的理论意义和应用价值。 第二节诱骗系统的历史及现状 网络诱骗领域的研究和实践在国外很多年前就开始了，但直到1 9 9 0 年才出 现专门的文章【2 j 对网络诱骗的概念进行专门地探讨，此时虽然已经提出了网 络诱骗的概念，但并没有探讨它在安全领域的应用价值。随后，网络安全人员 逐渐意识到诱骗系统在网络安全领域的重要意义，开始着手于其在安全领域的 应用性的研究。这个期间，很多技术性公司和政府性组织都加入到网络诱骗系 统的研究中来，出现了一系列的研究型和商业型产品。第一个出现的研究型产 品是由著名的安全专家f r e d c o h e n 于1 9 9 7 年创建的d t k 【3 】( d e c e d t i o nt 0 0 l k i t ) 工具集，该工具集部署在u 1 1 i x 操作系统上，模拟了很多u n i x 系统的漏洞以用 于记录这些漏洞受到攻击时的攻击信息。1 9 9 9 年，几十位安全专家成立了蜜网 研究联盟1 4 j ( h o n e y i l e tr e s e a r c ha l l i a n c e ) ，开始系统地着手于诱骗系统在网络 安全方面应用性地研究，并组建了第一代网络诱骗系统( h o n e y n e tg e ni ) ；2 0 0 2 年该组织开始着手于第二代网络诱骗系统( h o n e y i l e tg e ni i ) 的组建。 在国外，网络诱骗系统的研究已经十分地深入，出现了大量的理论及应用 方面的文章，同时也出现了一系列的产品型和研究型的产品：在国内，网络诱 骗系统的研究起步比较晚，但也已经有一些信息安全相关的人员及从事安全产 品研发的公司开始着手于网络诱骗系统理论性地研究，同时也组建了一些实验 性的网络诱骗系统。但总体来说，国内对于网络诱骗系统的研究还相对的落后， 相关原创性的科技论文及产品十分稀少。 第三节入侵检测系统v s 网络诱骗系统 入侵检测系统是一种被动的安全防御技术，它在应对一些己知的或者是行 为特征有特定规律的攻击时，可以取得良好的效果，在应对一些行为特征未知 或者是奇特的攻击行为时，虽然也能取得一定的效果，但却存在着一些缺陷( 比 第一章引言 如说存在着误报和漏报的问题) 。这些问题在传统的网络应用不是十分广泛和深 入的情况下，表现得并不是特别明显，但伴随着网络应用的推广和深入，新的 攻击行为层出不穷，其行为特征也越来越不符合常规，在这种新的形势下，入 侵检测系统的一些固有的缺陷得以凸现出来。 入侵检测系统一般可以分为两类：基于误用的入侵检测和基于异常的入侵 检测pj 。基于误用的入侵检测系统把大量已知攻击的行为特征抽取为特定的模 式( 如特征字符串、规则等) ，然后用这些抽取出来的特定模式去匹配操作系统 或者是网络中的数据，符合这些特定模式的行为数据就可以将其认为是攻击行 为的数据；而基于异常的入侵检测系统则认为攻击行为和用户或者是程序的异 常性有很强的关联，其主要思想是建立被检测对象( 一般是操作系统或者是计 算机网络) 行为活动基线，然后将那些行为活动与基线相差很大的异常行为标 记为攻击行为。这两种入侵检测系统在实际的应用中各有优缺点。 基于误用的入侵检测系统的检测效率比较高，误报率较低，但是检测的可 靠度依赖于攻击行为的特征库，如果系统的特征库不能得到及时地更新，系统 检测的可靠性就得不到保障，这使得它在应对一些未知特征的攻击行为时，遇 到了很大的困难；基于异常的检测系统虽然可以检测出一些未知特征的攻击行 为，但这种检测具有误报率高、训练过程复杂、执行效率低等缺点。 网络诱骗系统是网络安全人员针对传统的安全防御技术中存在的一些固有 的缺陷而提出的一种主动的安全防御技术，它通过在网络中伪造一些带有安全 漏洞的有价值的资源，主动地吸引攻击者的攻击，进而对攻击行为的特征数据 进行记录。它同基于异常的入侵检测系统的功能有些类似，可以对一些未知特 征的攻击行为进行检测，但由于网络诱骗系统中所用的资源都是专有的，这样 就可以将对系统的所有访问和其他行为都视为攻击行为，在一定程度上避免了 入侵检测系统从海量信息中提取攻击信息的开销，同时也解决了基于异常的入 侵检测系统中存在的误报率高的缺点，为网络攻击行为信息的收集提供了一个 有效地手段。 第四节系统的提出及论文的结构 在基于网络主机副本法的诱骗系统中，网络环境和系统中的安全漏洞是真 实存在的，这虽然在很大程度上增加系统的诱骗效果，但也给系统带了一定的 第一章引言 风险，如何有效地降低这些风险，关系到系统的实用性；另外即使这种系统中 的网络环境和网络服务都是真实的，为了捕获攻击者攻击行为的特征信息，仍 需要对真实系统作一些必要地改动，如何有效地隐藏这些改动，关系到诱骗系 统的数据捕获效果。 本文在对现有诱骗系统进行了研究和分析的基础上，结合网络黑客所用的 一些攻击技术，提出了一个l i n u x 平台下的基于网络主机副本法的诱骗系统 ( n e t 、v o r kd e c e p t i o ns y s t e m ，简称n d s ) 。本系统在设计的过程中，巧妙地利 用了l i n u ) 【平台下的一些黑客技术对系统的击键序列的捕获过程和数据发送过 程进行了隐藏，同时还结合l i n u ) ( 平台下的防火墙技术，将系统的风险尽可能 地降到一个可接受的范围。 本文主要分为七个部分，其具体结构为：第一章介绍了课题的背景和意义 以及诱骗系统的历史和现状；第二章对诱骗系统的分类和关键技术及其演变历 程进行了介绍；第三章介绍了l i n u ) ( 平台下一些黑客技术的原理；第四章介绍 了n d s 系统的体系结构及本系统中所重点解决的问题；第五章对系统中击键序 列的捕获和数据的发送模块的设计给出了详细地描述；第六章对系统的连接控 制部分的设计给出了详细地描述；第七章对整个系统的特点和实现的功能进行 了总结，并对系统以后的发展方向作出了展望。 第二章网络诱骗系统的关键技术 第二章网络诱骗系统的关键技术 第一节诱骗系统的分类 诱骗系统按照不同的标准可以划分为不同的类型，现在流行的分类方式主 要有以下4 种： 1 按照诱骗系统配置的复杂性分类 按照诱骗系统配置的复杂性，诱骗系统可以分为单机诱骗系统和网络诱骗 系统两类。 单机诱骗系统一般使用一台主机作为目标系统的副本，同真实的系统相比， 安装同样的操作系统，提供同样的服务。这种诱骗系统中除了有很多已知的系 统漏洞外，一般还存在着一些诱人的虚假信息( 如公司的财务报表、一些重要 的客户资料等) 用于引诱攻击者的攻击。 所谓网络诱骗系统就是在多个单机诱骗系统的外围加入一些传统的网络安 全防御措施对进出单机诱骗系统的数据流量进行控制，防止其被攻击者作为攻 击其他非诱骗系统的跳板。由于单机诱骗系统中的数据直接进入网络，所以仅 靠单机诱骗系统难以控制外出的数据流量，系统很有可能被攻击者用作攻击网 络上其他非诱骗系统，所以在现实的应用中，单机诱骗系统很少出现。 2 按照诱骗系统部署的目标 按照诱骗系统的部署目标，诱骗系统可以分为产品型的诱骗系统和研究型 的诱骗系统两类。 产品型的诱骗系统一般是一些商业性的网络安全公司以市场为导向开发的 面向企业应用的一些专门的诱骗系统，其主要部署目标是通过一些虚假的网络 资源来耗费攻击者的精力，进而达到保护企业网络安全的目的，如r e s o u r c e t e c l l i l o l o g i e s l 6 j 公司的m a i l t r a p 诱骗系统。 研究型的诱骗系统一般是一些信息安全研究人员及相关的研究组织为了对 网络的安全状况进行研究而开发的一些诱骗系统，其主要部署目标是收集网络 上攻击行为的最新动向，为网络安全的研究提供第一手的资料，如蜜网研究联 第二章网络诱骗系统的关键技术 盟开发的h o n e y n e t 系统以及f r e dc o h e n 开发的d t k 工具集。 3 按照诱骗系统的演化进程 按照诱骗系统的演化进程，可以将诱骗系统分为两种：即第一代诱骗系统 和第二代诱骗系统。同第一代诱骗系统相比，第二代网络诱骗系统在系统的诱 骗效果、系统的安全性以及系统的易用性方面都有了很大的提高。 4 按照诱骗系统的实施情况 按照诱骗系统的实施情况，可以将诱骗系统分为真实主机诱骗系统和虚拟 主机诱骗系统。 真实主机诱骗系统中主要是通过在真实的网络环境中放置一些真实的主机 和存在安全漏洞的服务来吸引攻击者的注意。由于这种系统中所有的安全漏洞 都是真实服务中存在的，所以很难被攻击者发现，诱骗的效果比较好。但这种 诱骗系统中的真实网络环境需要大量的硬件投入，这在一定的程度上增加了系 统的成本。 虚拟主机诱骗系统是指在特定的计算机系统中通过软件的方法来模拟计算 机网络环境和网络服务的漏洞达到吸引攻击者注意的目的。这种诱骗系统的优 点是硬件投入较少，系统的扩展比较灵活。但由于网络环境和网络服务软件的 复杂性，很容易在模拟系统中留下一些痕迹，在一定程度上降低了诱骗系统的 诱骗效果。 第二节网络诱骗系统的功能需求 网络诱骗系统的设计过程中主要有两个方面的功能需求：即数据的控制和 数据的捕获，如果设计一个分布式的诱骗系统的话，还应该考虑到数据的集中 控制问题。 ( 1 ) 数据控制：数据控制的目的是确保诱骗系统中的诱骗主机不会被用来 作为攻击网络中的其他非诱骗主机的跳板。诱骗系统的数据控制必须保证不被 攻击者发现，否则会影响系统的诱骗效果。 ( 2 ) 数据捕获：数据捕获的目的是在尽可能隐蔽的情况下记录攻击者的攻 击行为特征数据，包括击键序列及向网络中发送的数据包等信息。攻击行为特 征数据记录的越全面，越容易对其特点进行分析以找到相应的应对措旆。 6 第二章网络诱骗系统的关键技术 ( 3 ) 数据集中：如果某个组织或者公司有多个诱骗系统逻辑的或者物理的分 布于广域网之中，就需要实现前面所提到的数据集中功能。数据集中要求各诱 骗系统中捕获的数据能够安全地汇聚到某个点，以便对系统整体的数据进行分 析和存档。 第三节网络诱骗系统技术的发展演变 从第一章中对诱骗系统历史的介绍可知，到目前为止网络诱骗系统的发展 主要经历了两个阶段：第一代网络诱骗系统和第二代网络诱骗系统。虽然同为 诱骗系统，但是两者之间无论在技术上还是在体系结构上，都有很大的差别。 2 2 1 第一代网络诱骗系统 数据收集服务器诱骗主机诱骗主机 入侵检测系统 图2 1 第一代网络诱骗系统框架图 第一代网络诱骗系统( 见图2 1 ) 在一个专用的局域网内简单高效的实现了 诱骗系统的数据捕获和数据控制两项基本需求。 1 数据控制 如前面所述，数据控制的主要目的是保证诱骗系统中的诱骗主机不被攻击 者用来作为攻击网络上的其他非诱骗主机的跳板。攻击者在攻破系统以后，往 第二章网络诱骗系统的关键技术 往需要从网络上下载一些他们进一步攻击所需要的工具包并建立一些外出的连 接，这些正是诱骗系统所要捕获的对象，因此必须保证攻击者可以正常的完成 这些操作。早期的诱骗系统设计曾试图阻止任何的外出的数据连接包，但由于 攻击者对这点比较敏感，很大程度上降低了系统的诱骗效果，因此第一代网络 诱骗系统在尽量不引起攻击者怀疑的情况下对攻击者的行为规则进行定义，通 过允许或者是限制其做某些操作而将系统的风险控制在一定范围之内。 从图2 1 中可以看到，在第一代网络诱骗系统中，系统的前端放置了一个 防火墙对所有进出系统的连接进行监测。防火墙采取“宽进严出”的策略，对 所有从系统内部发出的连接进行追踪，当某种类型的连接的数量达到某个限定 值后，就阻塞后续的数据包，这样就可以保证在系统不被滥用的前提下，允许 攻击者做尽可能多的事情，降低其对系统的防备。研耕”表明，允许外出的连接 的数量控制在每天5 到1 0 个比较合适，此时既能保证系统不被攻击者怀疑，还 可以保证系统不被滥用。 第一代网络诱骗系统在构建的时候，通常要在放火墙和诱骗主机间放置一 个路由器，其主要原因有以下2 点： ( 1 ) 路由器的存在，使防火墙具有不可见性。攻击者在攻破系统以后，往 往首先要观察诱骗主机外发的路由，放置路由器后，攻击者看到地路由为路由 器的i p ，无法直接觉察到防火墙的存在，这样可以降低攻击者的警惕，提高系 统的诱骗效果。 ( 2 ) 路由器可以作为防火墙访问控制的补充。路由器一般都有一些路由控 制功能，通过其路由控制，可以控制诱骗系统不去攻击i n t e m e t 上的其他非诱 骗主机。 2 数据捕获 前文提到，诱骗系统的数据捕获的目的是在尽可能隐蔽的情况下记录攻击 者攻击行为的特征数据。第一代网络诱骗系统中往往只是简单实现了攻击行为 特征数据的捕获，对其隐藏性的考虑并不是太多，其数据捕获的手段主要包括 诱骗主机的数据捕获和入侵检测系统的数据捕获。诱骗系统在捕获到攻击者攻 击行为的特征数据后，需要对这些数据进行保护，以避免其遭到破坏。第一代 网络诱骗系统主要通过以下2 种途径对捕获到的数据进行保护： ( 1 ) 保护防火墙日志。防火墙不但具有重要的数据控制功能，还可以记录 所有进出系统的连接信息，并及时进行报警。对防火墙日志地保护一般是通过 第二章网络诱骗系统的关键技术 网络备份实现的。 ( 2 ) 保护诱骗系统中的诱骗主机捕获到的数据及其本身自带的日志功能。 由于诱骗主机本身存在着不安全因素，第一代网络诱骗系统为确保其诱骗主机 实时记录的攻击行为的特征数据不被破坏，优先考虑的不是本机存放，而是在 远程数据收集服务器上对这些数据进行存储。 2 2 2 第二代网络诱骗系统 数 凰凰凰宜 诱骗主机 诱骗主机诱骗主机诱骗主机 图2 2 第二代网络诱骗系统框架图 第二代网络诱骗系统( 其基本框架见图2 2 ) 的概念是在2 0 0 1 年被提出的， 相对于第一代网络诱骗系统，它对数据控制和数据捕获方面都做了很大的改进， 极大地提高了系统使用的灵活性、系统可管理性和安全性。同第一代网络诱骗 系统相比，其结构上的最大区别就是在设备n d ss e n s o r 上实现了数据控制的关 键功能，降低了系统的数据控制的复杂性。使用n d ss e n s o r 对数据进行控制主 要有以下2 个优点： ( 1 ) 可以增加系统的隐藏性。设备n d ss e l l s o r 对数据包得操作不涉及到 t c p ，i p 协议栈，也就是说经过该设备的数据包，不会被t c p ，口协议栈处理， 第二章网络诱骗系统的关键技术 也就没有了m a c 地址的改变、路由通信量的改变以及t t l 缩减等特征，一定 程度上增加了系统数据控制的隐藏性，降低了其被发现的可能性。 ( 2 ) 可以降低网络拓扑的复杂性。从图2 2 中可以看出，所有进出诱骗系统 的数据包都必须通过n d ss e n s o r 设备，这就意味着可以在单一的二层设备上实 现对所有进出系统的数据包的记录和控制，降低了系统拓扑的复杂性。 下面对第二代诱骗系统中各个部分的改进进行详细的描述： 1 数据控制方面的改进 同第一代网络诱骗系统相比，第二代网络诱骗系统不再仅仅是对出入系统 的连接进行简单的允许或拒绝操作，它还可以根据需要对系统外出的连接的某 些数据包的内容进行修改，修改后的数据包由于变成了不合法的数据包会被数 据包的接收主机丢弃，从而使该连接无法得以正常建立，其危害也得以解除。 同时如前面所述，这些数据控制功能是在n d ss e n s o r 设备上实现的，该设备的 一些特性使得第二代网络诱骗系统的数据控制功能的实现变得更加的隐蔽。 第二代网络诱骗系统数据控制手段归结起来主要有以下3 种： ( 1 ) 连接速率控制模式：该模式将系统外出的某种类型的连接数目控制在 一定范围之内，它可以在保证系统诱骗效果的情况下，将诱骗主机被攻破后对 网络上其他非诱骗主机的危害性控制在一定范围之内； ( 2 ) 直接丢包模式：该模式将系统外出的某种连接全部拒绝，它虽然可以 保证系统的安全性，但由于对外出连接的控制过于的严格，诱骗效果不是十分 的理想： ( 3 ) 修改数据包模式：该模式通过修改系统外出连接中的某些数据包的内 容，使其变为非法的数据包而被接收主机丢弃，进而降低系统被攻破后的危害 性。 以上3 种数据控制模式，都可以通过l i n u 】( 系统中自带的防火墙框架来实 现，其中前两种模式在第一代网络诱骗系统中已经得到了应用，第三种模式是 在第二代诱骗系统中新出现的模式，该模式在允许外出连接数据包通过的情况 下通过修改数据包的内容实现了对系统危害性的控制。在具体应用的时候，往 往是三种模式的结合。 2 数据捕获方面的改进 从前面对诱骗系统的功能需求介绍中可知，诱骗系统的数据捕获一般包括 攻击者的击键序列和通过网络发送的数据包两个部分。同第一代网络诱骗系统 1 0 第二章网络诱骗系统的关键技术 相比，第二代诱骗系统在这两个方面都作了很大的改进。在击键序列的捕获方 面实现了对击键序列进行记录的同时，更加强调记录过程的隐蔽性；在数据包 的捕获方面，不再像以前的网络诱骗系统那样通过一个i d s 系统来实现数据包 的收集，而是通过在n d ss e n s o r 上对所有诱骗主机产生的数据包进行捕获。通 过n d ss e n s o r 实现数据包的收集有以下3 个特点：( 1 ) n d ss e n s o r 不会改变数 据包的路由信息；( 2 ) n d ss e n s o r 不会改变数据包的t t l 值；( 3 ) n d ss e n s o r 作 为二层设备对整个局域网络是透明的，它不会改变数据包m a c 地址的值。n d s s e n s o r 的以上特性在很大程度上提高了其自身的隐蔽性，增加了攻击者发现其 存在的难度。 第四节虚拟诱骗系统 真实主机诱骗系统虽然具有很强的数据采集和控制能力，但系统所需要投 入的硬件成本和管理成本十分昂贵，因此世界上各诱骗系统的研究组织和相关 公司正在积极研究各种虚拟诱骗系统。 虚拟诱骗系统并非是一种全新的诱骗系统，它和传统的诱骗系统有着类似 的功能，其特点是在单个主机上模拟运行传统诱骗系统的各组成部分，以降低 诱骗系统安装和维护所需要的费用，增加配置和管理的易用性。“虚拟”的含义 在于借助于虚拟化软件在单个硬件系统上同时模拟多个彼此独立的诱骗主机， 就像传统的诱骗系统中各诱骗主机运行在不用的硬件系统上一样。目前一般将 虚拟诱骗系统分为自治型虚拟诱骗系统和混杂型虚拟诱骗系统两类。 2 3 1 自治型虚拟诱骗系统 自治型虚拟诱骗系统的特点是将整个诱骗系统在单独的硬件系统上进行浓 缩实现，不仅包括数据捕获部分的功能，还包括数据控制和日志及捕获数据的 存放等部分的功能。自治型虚拟诱骗系统具有便携性、易插易用性和廉价的系 统开销等优点，但同时它也存在以下几个明显的缺点： ( 1 ) 存在单点故障瓶颈： ( 2 ) 需要高性能硬件配置。自治型虚拟诱骗系统同样需要实现复杂的功能， 这就要求使用大容量的物理内存和高性能的处理器； 第二章网络诱骗系统的关键技术 ( 3 ) 安全性不高。由于各虚拟诱骗主机共享硬件系统，这就增加了系统被 攻破的可能性，其安全性很大程度上取决于虚拟化软件的安全性； ( 4 ) 软件种类受限制。很多软件由于过程十分复杂，利用有限的资源很 难对其进行完全地模拟。 2 3 2 混杂型虚拟诱骗系统 混杂型虚拟诱骗系统是真实主机诱骗系统和虚拟化软件结合的产物，这种 诱骗系统将网络数据包的捕获、数据控制和日志系统都放在一个与诱骗主机所 在的硬件系统隔离的系统之上，所有的诱骗主机仍然在一个单独的硬件系统上 虚拟运行，这种隔离在保证不大规模增加系统成本的情况下，在很大程度上降 低了系统的风险。混杂型虚拟诱骗系统主要有以下两个方面的优点： ( 1 ) 安全性高。混杂型虚拟诱骗系统的各功能组件进行了分离，在一定程 度上降低了系统被攻破的风险； ( 2 ) 灵活性强。在混杂型虚拟诱骗系统中，可以利用多种软硬件来实现数 据的捕获和数据的控制，可以根据需要运行不同的诱骗主机。 混杂型虚拟诱骗系统虽然通过结合真实主机诱骗系统解决了虚拟诱骗系统 中存在一些缺点，但它并不是完美的，主要存在以下两种比较明显的缺点： ( 1 ) 混杂型虚拟诱骗系统需要两台或者是两台以上的主机，系统的移动不 方便，便携性不好。 ( 2 ) 同自治型诱骗系统相比，系统的硬件投入有了一定程度的增加。 第三章黑客技术的研究与分析 第三章黑客技术的研究与分析 随着网络应用的地广泛推广，黑客攻击事件的发生变得越来越频繁，其攻 击所用的手段也越来越新颖，各种新技术不断被世界各地的黑客应用于形式多 样的网络攻击中，如何对这些新的攻击方式所用的技术进行及时有效地了解， 并为网络用户提供预防措施成为网络安全人员一个很重要的任务。 黑客和安全人员作为对立的双方，黑客总是用各种非常规的手段来躲避网 络安全人员对其攻击行为的监测与预防，为此他们不断研究出新的技术用于其 攻击行为地隐藏。而网络诱骗系统的一个重要指标就是系统的隐蔽性，作为对 立的双方，两者在系统追求的隐蔽性需求上有着共同的目标，受此启发，本章 在对网络上的一些诱骗技术进行了简单的分析后，着重对l i n u x 平台下的几种 黑客技术进行了研究与分析并尝试把其中的一些技术应用于网络诱骗系统地实 现，提高诱骗系统的隐藏性。 第一节黑客攻击技术的分类 当前黑客攻击方式可以说是十分的繁杂，很难对其作一个比较准确的划分。 本文中按照攻击方式和攻击特点的不同，将黑客攻击分为以下3 类：即蛮力攻 击、信息欺骗攻击和病毒攻击。 3 1 1 蛮力攻击 蛮力攻击包含两种类型，一种是针对一些计算机相关应用，通过反复尝试 的方式来获取与这些应用相关的密码，为进一步的攻击创造条件：另一种通过 “信息轰炸”的方式来消耗网络上提供网络服务的主机资源，进而达到影响网 络主机提供的服务甚至是使其拒绝提供服务，典型的攻击方式有拒绝服务攻击 ( d o s ) 和分布式拒绝服务攻击( d d o s ) 等。两种蛮力攻击的原理和所用的技 术都比较简单，本文中就没有对其给出详细的描述，其具体原理可以参考文献 ”“，但其危害性却非常大。前一种攻击一旦得逞，系统中的资料就完全暴露给 黑客；而后一种轻则影响某些网络服务访问的速度，重则使网络服务运行停止， 13 第三章黑客技术的研究与分析 给企业带来严重地经济损失。一般采用防火墙来对付这两种攻击。 3 1 2 信息欺骗攻击 信息欺骗攻击的主要原理是通过某些技术来截取网络服务主机和服务对象 主机之问的通信数据或者是通过某些技术来模仿可信服务对象主机，通过这种 模拟的可信服务对象主机与服务提供主机之间的通信来对服务提供主机进行攻 击。此类攻击原理如图3 1 所示，其步骤为：黑客截取服务提供主机和可信服 务对象主机之间的网络数据包，通过模拟可信服务对象主机来获取目标主机的 信任，进而达到其非法攻击的目的。该类攻击所用的技术主要是网络嗅探器， 对此类攻击的防范般是通过一些加密和认证技术来实现的。 3 1 _ 3 病毒攻击 网络服务可信主机用户网络服务器 黑客 图3 1 信息诱骗攻击原理图 病毒攻击是目前网络上最流行也是种类最多的一类攻击方式，其用到的技 术不尽相同，本节后面详细分析了几种l i n u x 平台下病毒攻击比较常用的黑客 技术。病毒攻击主要分为以下4 个步骤： ( 1 ) 信息收集：在攻击之前，攻击者一般会尽可能地搜集目标主机的相关信 息，比如通过网络搜索或者是一些域名查询工具( 如n s l o o k u p ) 来获取目标主 机的一些网络信息。 第三章黑客技术的研究与分析 ( 2 ) 端口扫描：收集到目标主机的相关信息后，攻击者就会利用各种扫描工 具对其端口进行扫描。端口扫描可以判断目标主机是否在线，如果在线的话可 以进一步扫描出目标主机开放了哪些服务。“n 1 1 ) ( 平台下常用的端口扫描工具 有n m a p 、锄a p 以及t e l n e t 等。 ( 3 ) 漏洞攻击：得到目标主机开放的端口和服务后，攻击者可以利用其提供 的服务中存在的漏洞对其实施攻击。攻击成功之后，可以获得一个远程s h e l l ， 通过这个s h e l l ，攻击者就可以对目标主机进行非法地访问甚至是对其数据进行 破坏性销毁。 ( 4 ) 安装后门、清除日志：成功攻入目标主机后，攻击者的首要目的是通过 删除目标主机日志和审计数据，对其攻击行为进行隐藏，然后在目标主机中安 装用于以后再次攻击的后门，有经验的黑客还会通过一些高级的技术对其安装 的后门进行隐藏，这些对后门进行隐藏的方式是本章分析的重点。 第二节l i n u x 平台下后门及其隐藏技术 本节主要分析了l i n u ) ( 平台下用于实现后门隐藏及其隐藏的3 种黑客技术 即系统服务替换、系统调用截获和系统进程注射。 3 2 1 系统服务替换 系统服务替换原理为：通过对已知的一些常用服务程序的源代码进行分析， 根据需要将特定代码插入到其中的某个点上来实现后门的伪装。比如通过对常 用的远程登录服务程序( 如s s h d ) 的用户认证代码地修改，就可以实现一个后 门程序的隐藏。在攻入目标主机后，用前面修改的服务程序替换系统中原来存 在服务程序，就实现了后门程序的安装和隐藏。下面就l i n u ) 【平台下s s h d 源程 序的替换给出简单的分析。分析过程中限于本文篇幅的限制，只对替换过程中 涉及到代码进行了简要的分析。 s s h d 源代码中用于客户端用户认证的主要函数名为d oa u t l l l o o p ，其原型如 下：v o i dd o 叫t h l o o p ( s 锰u c t p a s s w 扩p w ) ，该函数位于s s h d 源代码包中的文件 a u t l l l c 中，s t n l c tp a s s w d 结构见图3 2 。 第三章黑客技术的研究与分析 产u s e m a m e + 严p a s s w o r d + ， 产u s e r i d + ， 幸g m u d i d + pr e a ln a m e4 产h o m ed i r 。c t o r v + ， ps h e l lp r o g r a m ， 图3 2s 1 l c td a s s w d 结构图 该函数通过将接收到的客户端的用户信息与系统中保存的信息进行比较来 实现用户信息的认证，如果客户端传过来的用户信息正确，则从该函数返回， 否则重新要求客户端输入认证信息，认证信息的错误次数达到一定程度则断开 与客户端的连接。下面是该函数实现的伪代码，为了节省篇幅，略去了变量的 声明和代码的实现，具体实现可参考s s h d 的源代码： v o i dd o a u t o l o o p ( s t n l c tp a s s w d + p w ) i n ta n e m p t = o ； f o r ( a n e m p t = 1 ；a n e m p t + + ) i n ta u t h e n t i c a t e d = 0 ： ，+ + + + + + + + + + + + + + 利用系统中已经注册的信息和通过参数p w 传递 过来的信息对客户进行认证，并将认证结果存入 a u t h e n t i c a t e d 中，该部分代码已略去 + + + + + + + + + + + + + + + + + + ， i f ( 甜e m p t 大于系统允许的最大次数) 断开与客户端的连接： i f ( 通过认证) r e n l m ： e l s e 请求客户端重新输入认证信息： ) 从上面的代码中可以看出，只要在认证过程中设置一些特殊的条件，在满 足条件时从函数返回就可以实现后门的引入，修改后的伪代码如下： v o i dd o a u t o l o o p ( s n l l c tp a s s w d + p w ) i n ta n e m p t = o ； f o r ( a n e m p f l ；a n e m p t + + ) 1 6 删砒舭叫，蛐 州 一一一一一 降 h m；一胁胁妇 曲曲 一一曲曲d 第三章黑客技术的研究与分析 j n ta u t h e n t i c a t e d = o ： i f ( c o m p a r e ( p w 一p w - n a t i 】e ，”h a c 蝌) 一0 ) r e n n ： ， + + + + + + + + + + + + + + + + + 利用系统中已经注册的信息和通过参数p w 传递 过来的信息对客户进行认证，并将认证结果存入 a u t h e n t i c a t e d 中，该部分代码已略去 + 十 + + + + + + + + + + + ， i f ( a n e m p t 大于系统允许的最大次数) 断开与客户端的连接； i f ( 通过认证) r e n l m ： e i s e 请求客户端重新输入认证信息： ) ) 将修改后的代码就行重新编译后，就实现了一个简单的s s h d 后门，利用带 有此后门的s s h d 可执行文件替换攻入系统中的s s h d 可执行程序，就完成了目 标主机后门的安装。以后只要在利用s s h 远程登录该目标主机时输入的用户名 “h a c k e r ”，不需要密码就可以登陆该主机。 3 2 2 系统调用截获 l i n l l ) ( 平台下系统调用的截获一般包括以下3 种类型： 1 通过直接修改l i n l l ) ( 系统源代码中系统调用的实现代码对系统调用进 行截获，利用此类方法实现的对系统调用的截获需要对整个操作系统进行重新 编译，然后再用编译得到的新的内核映像替换目标系统中的内核映像，从而实 现目标系统中后门的安装，这样后门就可以在目标主机下一次启动时发挥作用。 2 通过对系统调用入口的替换来实现对系统调用地截获。大多数应用程 序并非直接调用系统调用，而是通过系统中提供的一些程序库中函数的调用来 间接地调用系统调用，这些函数库中的函数实现了对系统调用入口的封装。 3 通过截获目标主机系统内核空间中导出的系统调用表( s v sc a l lt a b l e ) 来实现系统调用的截获。此类系统调用截获的原理为：利用l i n u ) ( 平台提供的 内核模块机制获取内核中导出的系统调用表，该表中保存着系统中每个系统调 有的入口，通过重定向该表中表项的系统调用入口来实现系统调用的截获。 第三章黑客技术的研究与分析 前两种类型的系统截获方式的实现可以参考文献 ”】，下面通过一个实例来 对第3 种类型的系统调用的截获进行简单的介绍： e x t e mv o j d + s y s - c a l l j a b l e 口； p s y s _ c a l l j a b l ei se x p o r t e d ，s ow ec a l la c c e s s ” m t ( + o r i g - m k d j r ) ( c o n s tc h a r + p a t h ) ； ，+ t h eo r i g j n a ls y s t e m c a l l + ， i n th a c k e d m k d i r ( c o n s tc h a r + p a t h ) o i g _ m k d i r ( p a t | 1 ) ； r e t u 丌l0 ；产在此只是简单演示如何对系统调用进行截获，因此函数中并未做 任何的操作 ) i n ti n t m o d u l e ( v o i d ) p 安装内核模块+ o r i g _ m k d h = s y i _ c a l l - t a b l e 【s y s m k d i r 】； s y 叩a l l b l e s y s 1 1 1 l ( d i r 2 h a c k e d _ mk d i r ； r e h l m o ： v o i dc l e a l l u p _ _ m o d u l e ( v o i d ) 严清除内核模块+ s y 置_ c a l l j a b l e 【s y s m k d i f = o n g _ m k d i r ；产将m k d i r 系统调用的入口指 向原来的函数入口， 上面这段演示代码仅仅是演示了如何利用内核模块来实现系统调用截获， 代码中只包含了实际代码中的关键实现部分，一些头文件的引用等其他的代码 都未在此列出，具体实现可以参考文献| 1 7 】。 3 2 3 系统进程注射 系统进程注射的原理为：通过在目标系统用户空间中对系统调用的入口进 行重定向来实现系统调用的截获。由于前两种类型的系统调用的截获需要对程 序代码进行修改，目标系统的使用人员就可以通过对程序代码与未被改变过地 程序代码做比较来发现后门的存在。与前面两种类型的系统调用的截获方式不 同之处在于：系统进程注射是通过对运行中的系统进程的操作来实现的，无需 对程序代码进行改动，这样就可以在目标系统中留下很少的痕迹，增强了后门 的隐蔽性。本文对诱骗系统隐蔽性的改进就是建立在此黑客技术之上，其具体 原理见后面系统的详细设计部分。 第四章n d s 系统的总体设计 第四章n d s 系统的总体结构 第一节n d s 系统的设计目标 本文在研究了现存的一些诱骗系统及其相关技术的基础上，分析并总结出 了不同的网络诱骗系统各自的优缺点，同时还对网络上l i n u ) 【平台下黑客所常 用的一些攻击的原理及所用技术做了一些分析对比。在着眼于将现有的一些攻 击所用技术应用于诱骗系统的思想的指导下，本文提出了一个l i n l l ) ( 平台下的 基于网络主机副本法的诱骗系统( n d s ) ，该系统在第二代网络诱骗系统的框 架之上，着重于加强了诱骗系统各组件的隐藏性。系统希望达到以下几个目标： ( 1 ) 提高系统的隐蔽性。一个好的诱骗系统，不仅要能够捕获攻击者的攻击 行为特征数据，还要能够对这些捕获行为进行隐藏。系统的隐敝性设计贯穿于 系统设计的各个方面，包括数据的捕获、数据的传递和系统的安全性控制等， 任何一个方面的缺陷都会导致系统的暴露，进而影响系统诱骗的效果。提高系 统的隐蔽性是本系统设计的重点。 ( 2 ) 保证系统数据捕获的效果。有效捕获攻击者的行为特征数据，降低捕获 数据分析和处理地难度，是诱骗系统的意义所在。因此在本系统的设计过程中， 采用了诱骗系统通用的思想即通过设置专用的主机和网络环境来引诱攻击者的 攻击并记录相关数据，以此保证系统数据捕获的效果。 ( 3 ) 完善系统的