蜜罐与蜜网技术分析.ppt

1、第三篇 网络防护篇,第11章 安全扫描技术的原理与应用 第12章 操作系统安全防范 第13章 密码及认证技术 第14章 防火墙的技术原理与应用 第15章 入侵检测技术的原理与应用 第16章 蜜罐与蜜网技术 第17章 数据备份与灾难恢复技术 第18章 网络安全综合防范平台,第16章 蜜罐与蜜网技术,新兴的蜜罐技术，基于主动防御理论而提出，日益受到网络安全领域重视。蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵，进而了解攻击思路、攻击工具和攻击目的等行为信息，特别是对各种未知攻击行为信息的学习。 蜜网作为蜜罐技术的高级学习工具，不同于蜜罐技术的低级形式单机蜜罐，一般是由防火墙、路由器、入侵检测系统

2、以及一台或多台蜜罐主机组成的网络系统。,第16章 蜜罐与蜜网技术,16.1概述 16.2 蜜罐技术 16.3 蜜网工程 16.4常见的网络诱骗工具及产品 16.5 实验：Honeyd的安装和配置,16.1 概述,网络诱骗技术是一种欺骗黑客攻击的技术,它用来吸引攻击者,使他们进入受控环境中,使用各种监控技术来捕获攻击者的行为,网络诱骗技术的核心是强大的网络和系统活动的监视能力,以及监视机制的隐蔽性,这是记录黑客攻击活动的根本条件。,目前,对于网络诱骗的研究有两个大类。一类是蜜罐(honeypot) 技术,一类是蜜网(honeynet) 工程。 蜜罐(honeypot) 技术。国际上的一些安全组织

3、首先研究蜜罐(honeypot) 技术。在一般情况下,honeypot 模拟某些常见的漏洞,模拟其它操作系统的特征或者在某个系统上做了一些设置,使其成为一台“牢笼”主机,来诱骗入侵者,目的是增加黑客攻击系统所花的开销,使攻击者劳而无功,从而降低黑客攻击系统的兴趣,减少重要系统被攻击的危险。,16.1 概述,蜜网(honeynet )工程。Honeynet 工程建立在一个真实的网络和主机环境,所有系统都是标准的机器,在这些系统之上运行的是真实完整的操作系统及应用程序,没有刻意地模拟某种环境或者故意地使系统不安全,这样可使建立的网络环境看上去会更加真实可信,以增强其诱骗的效果。 在该工程中,网络和

4、系统都隐藏在防火墙后面，所有进出该网络的数据和网络诱骗主机上的行为都受到监视、捕获及控制。,16.1 概述,16.2 蜜罐技术,“蜜罐”这一概念最初出现在1990 年出版的一本小说The Cuckoos Egg中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。 “蜜网项目组”(The Honeynet Project)的创始人Lance Spitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。 这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷，而蜜罐的核心价值就在于对这些攻击活

5、动进行监视、检测和分析。,16.2 蜜罐技术,16.2.1 蜜罐的发展历程 16.2.2 蜜罐的分类 16.2.3 蜜罐的优缺点,蜜罐技术的发展历程可以分为以下三个阶段。 从九十年代初蜜罐概念的提出直到1998 年左右，“蜜罐”还仅仅限于一种思想，通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。,16.2.1 蜜罐的发展历程,从1998 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工具，如Fred Cohen 所开发的DTK(欺骗工具包)、Niels Provos 开发的Honeyd 等,同时也

6、出现了像KFSensor、 Specter 等一些商业蜜罐产品。 这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。,16.2.1 蜜罐的发展历程,但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题，从2000 年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分

7、析。,16.2.1 蜜罐的发展历程,蜜罐可以按照其部署目的分为 产品型蜜罐 研究型蜜罐,16.2.2. 蜜罐的分类,产品型蜜罐的目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。 一般产品型蜜罐较容易部署,而且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTraq 等一系列的商业产品。,16.2.2. 蜜罐的分类,研究型蜜罐则是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐,对黑客攻击进行追踪和分析，能够捕获黑客的攻击记录；了解到黑客所使用的攻击工具及攻击方法；甚至

8、能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。 研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作，具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术。,16.2.2. 蜜罐的分类,蜜罐还可以按照其交互度的等级划分为 低交互蜜罐 高交互蜜罐 交互度反应了黑客在蜜罐上进行攻击活动的自由度。,16.2.2. 蜜罐的分类,低交互蜜罐一般仅仅模拟操作系统和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动较为有限,因此通过低交互蜜罐能够收集的信息也比较有限,同时由于低交互蜜罐通常是模拟的虚拟蜜罐,或多或少存在着一些容易被黑客所识别的指纹(Fingerpr

9、inting)信息。产品型蜜罐一般属于低交互蜜罐。,16.2.2. 蜜罐的分类,高交互蜜罐则完全提供真实的操作系统和网络服务，没有任何的模拟。 高交互蜜罐在提升黑客活动自由度的同时，自然地加大了部署和维护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐，也有部分蜜罐产品，如ManTrap,属于高交互蜜罐。,16.2.2. 蜜罐的分类,蜜罐技术的优点包括: (1)收集数据的保真度,由于蜜罐不提供任何实际的作用,因此其收集到的数据很少,同时收集到的数据很大可能就是由于黑客攻击造成的,蜜罐不依赖于任何复杂的检测技术等,因此减少了漏报率和误报率。 使用蜜罐技术能够收集到新的攻击工具和攻击方法,而不

10、像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。,16.2.3蜜罐的优缺点,蜜罐技术的优点包括： (2)蜜罐技术不需要强大的资源支持,可以使用一些低成本的设备构建蜜罐,不需要大量的资金投入。,16.2.3蜜罐的优缺点,蜜罐技术的优点包括： (3)相对入侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。,16.2.3蜜罐的优缺点,蜜罐技术也存在着一些缺陷,主要有: (1)需要较多的时间和精力投入。蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限,不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。 (2)蜜罐技术不能直

11、接防护有漏洞的信息系统。,16.2.3蜜罐的优缺点,(3)部署蜜罐会带来一定的安全风险。部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为跳板从而对第三方发起攻击，一旦黑客识别出蜜罐后,他将可能通知黑客社团,从而避开蜜罐,甚至他会向蜜罐提供错误和虚假的数据,从而误导安全防护和研究人员。防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹,并使得蜜罐与真实的漏洞主机毫无差异。,16.2.3蜜罐的优缺点,16.3 蜜网工程,蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又可成为诱捕网络。 其主要目的是收集黑客的攻击信息，但与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架

12、构中,我们可以包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具以方便对攻击信息的采集和分析。,16.3 蜜网工程,16.3.1蜜网项目组 16.3.2 第二代蜜网方案,“蜜网项目组”是一个非赢利性的研究组织，其目标为学习黑客社团所使用的工具、战术和 动机，并将这些学习到的信息共享给安全防护人员。 为了联合和协调各国的蜜网研究组织共同对黑客社团的攻击进行追踪和学习，2002年1月成立了“蜜网研究联盟”(Honeynet Research Alliance)，到2002 年12月为止,该联盟已经拥有了10个来自不同国家的研究组织。联盟目前的执行委员会主席为来自Sun公司的Lance

13、 Spitzner。,16.3.1蜜网项目组,“蜜网项目组”目前的规划分为四个阶段： 第一个阶段即1999年2001年,主要针对蜜网技术进行一些原理证明性(Proof of Concept)的实验,提出了第一代蜜网架构； 第二阶段从2001年到2003年,对蜜网技术进行发展,并提出了第二代蜜网架构,开发了其中的关键工具HoneyWall 和Sebek；,16.3.1蜜网项目组,第三阶段从2003年到2004年，其任务着重于将所有相关的数据控制和数据捕获工具集成到一张自启动的光盘中，使得比较容易地部署第二代蜜网，并规范化所搜集到的攻击信息格式； 第四阶段从2004 年到2005年，主要目标为将各

14、个部署的蜜网项目所采集到的黑客攻击信息汇总到一个中央管理系统中，并提供容易使用的人机交互界面，使得研究人员能够比较容易地分析黑客攻击信息，并从中获得一些价值。,16.3.1蜜网项目组,一个蜜网是由许多用来与攻击者进行交互的蜜罐组成的网络，其中的这些靶子（蜜网内的蜜罐）可以是你想提供的任何类型的系统，服务或是信息。此外，虚拟蜜网通过应用虚拟操作系统软件(如VMWare 和User Mode Linux等)使得我们可以在单一的主机上实现整个蜜网的体系架构。,16.3.2 第二代蜜网方案,虚拟蜜网的引入使得架设蜜网的代价大幅降低，也较容易部署和管理,但同时也带来了更大的风险，黑客有可能识别出虚拟操作

15、系统软件的指纹，也可能攻破虚拟操作系统软件从而获得对整个虚拟蜜网的控制权。,16.3.2 第二代蜜网方案,蜜网有着三大核心需求： 数据控制； 数据捕获； 数据分析。 通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全，以减轻蜜网架设的风险；数据捕获技术能够检测并审计黑客攻击的所有行为数据；而数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。,16.3.2 第二代蜜网方案,目前“蜜网项目组”已经开发出较为完善的第二代蜜网架构，并以一张可启动光盘的形式提供部署和维护第二代蜜网所需的关键工具： HoneyWall 和Sebek。 以下结合“蜜网项目组” 及其推

16、出的第二代蜜网技术方案对蜜网的核心需求进行分析。,16.3.2 第二代蜜网方案,第二代蜜网方案的整体架构如下图所示，其中最为关键的部件为称为HoneyWall的蜜网网关，包括三个网络接口，eth0接入外网，eth1 连接蜜网,而eth2 作为一个秘密通道，连接到一个监控网络。,16.3.2 第二代蜜网方案,第二代蜜网体系架构,16.3.2 第二代蜜网方案,HoneyWall 是一个对黑客不可见的链路层桥接设备，作为蜜网与其他网络的唯一连接点，所有流入流出蜜网的网络流量都将通过HoneyWall，并受其控制和审计. 同时由于HoneyWall 是一个工作在链路层的桥接设备，不会对网络数据包进行T

17、TL 递减和网络路由，也不会提供本身的MAC 地址，因此对黑客而言，HoneyWall 是完全不可见的，因此黑客不会识别出其所攻击的网络是一个蜜网。,16.3.2 第二代蜜网方案,HoneyWall 实现了蜜网的第一大核心需求数据控制，如下图所示，HoneyWall 对流入的网络包不进行任何限制，使得黑客能攻入蜜网，但对黑客使用蜜网对外发起的跳板攻击进行严格控制，控制的方法包括攻击包抑制和对外连接数限制两种手段。,16.3.2 第二代蜜网方案,HoneyWall 的数据控制机制,16.3.2 第二代蜜网方案,攻击包抑制主要针对使用少量连接即能奏效的已知攻击(如权限提升攻击等)，在HoneyWa

18、ll 中使用了snort_inline 网络入侵防御系统(NIPS)作为攻击包抑制器，检测出从蜜网向外发出的含有的攻击特征的攻击数据包，发出报警信息并对攻击数据包加以抛弃或修改，使其不能对第三方网络构成危害。,16.3.2 第二代蜜网方案,而对外连接数限制则主要针对网络探测和拒绝服务攻击。HoneyWall 通过在IPTables 防火墙中设置规则，当黑客发起的连接数超过预先设置的阈值，则IPTables 将其记录到日志，并阻断其后继连接，从而避免蜜网中被攻陷的蜜罐作为黑客的跳板对第三方网络进行探测或拒绝服务攻击。,16.3.2 第二代蜜网方案,下图给出了HoneyWall 中实现的数据控制机

19、制(即攻击包抑制和对外连接数限制)的具体工作流程。Swatch 监视工具将snort_inline 和IPTables 产生的报警日志通过Email 等方式通知管理员。,16.3.2 第二代蜜网方案,HoneyWall 中数据控制的具体流程,16.3.2 第二代蜜网方案,HoneyWall 中实现的数据捕获机制的具体工作流程，黑客攻击数据包从eth0 流入后,通过IPTables 防火墙，根据防火墙规则,将对流入的连接活动进行记录，由于我们无需对流入的攻击进行过滤，因此可以直接跳过snort_inline，但在eth1 流出的时候,由一个作为网络监听器使用的snort 记录全部的网络流量，以供

20、后继的攻击分析所使用。,16.3.2 第二代蜜网方案,在蜜网中的各个蜜罐上，通过安装Sebek 的客户端，能够对黑客在蜜罐上的活动进行记录，并通过对黑客隐蔽的通道将收集到的键击记录等信息传送到位于HoneyWall 的Sebek 服务器。管理员可以通过eth2 隐蔽通道对HoneyWall 中收集到的数据进行分析，从而学习到黑客所发动的攻击方法。,16.3.2 第二代蜜网方案,16.4 常见的网络诱骗工具及产品,16.4.1 DTK 欺骗工具包 16.4.2 Honeyd 16.4.3 Honeynet,16.4.1 DTK 欺骗工具包,DTK(Deception Toolkit)是在1997

21、 年面世的首个开放源码的蜜罐技术,它组合了Perl手稿程序和C源码。 DTK旨在使运行DTK的系统在攻击者看来好像存在许多已知的缺陷。DTK 监听输入并做出似乎真的存在缺陷的反应。 在这个过程中它记录所有动作,提供合情合理的回答,使攻击者有系统不安全的错觉。DTK 的主要目的是引诱攻击者。,DTK 被用来提供足以能够欺骗当前市面上的自动攻击工具的虚构服务，使其相信抵御者就是他们所伪装的那个样子。 但是，DTK 并不是作为信息系统欺骗的最终目标来设计的。它只是一个产生欺骗的简单工具，来迷惑单纯化的攻击,击败自动攻击系统，向有利于防御者的方向改变攻防工作量的平衡。,16.4.1 DTK 欺骗工具包

22、,DTK 实际上就是一个有穷状态机的集合，它能虚拟任何服务，并可方便地利用其中的功能直接模仿许多服务程序。它监听输入并做出似乎真的存在缺陷的反应。在这个过程中它记录所有动作，提供合情合理的回答，使攻击者有系统不安全的错觉。在设计产生欺骗的状态机时可以很容易的揭示攻击者恶意攻击的程度和意图。,16.4.1 DTK 欺骗工具包,DTK 有效的增加了攻击者的工作量。减少“噪音”水平的攻击，使我们能够更清晰的看到更有水平的攻击，并追捕它们。 DTK 欺骗是可编程的，但是它受限于要在攻击者的输入的基础上做出反应给出输出，来模仿易受攻击的系统的行为，这使得它在可以提供的deception 种类的丰富程度上

23、受到很大限制。另外，很容易区分真的计算机环境和通过由少数状态组成的状态机所实现的有限能力，所以DTK 对大多数自动攻击工具是适用的，但很容易被一个真正的攻击者区分出来。,16.4.1 DTK 欺骗工具包,Honeyd 是一个很酷很小巧的用于创建虚拟的网络上的主机的后台程序，这些虚拟主机可以配置使得它们提供任意的服务，利用个性处理可以使得这些主机显示为在某个特定版本的操作系统上运行。 Honeyd 是GNU General Public License 下发布的开源软件，目前也有一些商业公司在使用这个软件。其最初面向的是类linux 操作系统，可以运行在*BSD 系统，Solaris,GNU/L

24、inux等操作系统上，由Niels Provos 开发和维护。最新版本是2004 年4 月19 日发布的Honeyd 0.8b。应用于Windows 系统的Honeyd 程序也已经出现，其开发者为Mike Davis.最新版本为windows ports for Honeyd 0.5。,16.4.2Honeyd,Honeyd 能让一台主机在一个模拟的局域网环境中配有多个地址(曾测试过的最多可以达到65536个)，外界的主机可以对虚似的主机进行ping、traceroute 等网络操作，虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟，也可以为真实主机的服务提供代理。,16.4.2H

25、oneyd,Honeyd 可以通过提供威胁检测与评估机制来提高计算机系统的安全性，也可以通过将真实系统隐藏在虚拟系统中来阻止外来的攻击者。 因为Honeyd 只能进行网络级的模拟，不能提供真实的交互环境，能获取的有价值的攻击者的信息比较有限，所以Honeyd 所模拟的蜜罐系统常常是作为真实应用的网络中转移攻击者目标的设施，或者是与其他高交互的蜜罐系统一起部署，组成功能强大但花费又相对较少的网络攻击信息收集系统。,16.4.2Honeyd,Honeyd 的实现主要考虑了以下要点: 如何将发送到虚拟蜜罐的数据引入到Honeyd 主机 如何使得模拟主机对攻击者看上去真实可信同时还保证honeyd 主

26、机的安全 如何模拟任意的网络拓扑 如何支持Honeyd 主机利用网络隧道与其他系统中的主机通信 如何记录网络连接和恶意的攻击行为 如何使用尽量简单的配置语法来配置Honeyd,16.4.2Honeyd,Honeynet 是一种高交互的Honeypot,它不是一个单一的产品,而是一个被设计让攻击者攻击的有机的网络架构。它的目的是捕获黑客的行为并记录相关信息,并方便部署者对这些记录进行分析,以获取黑客的攻击方法,了解黑客的攻击工具,洞悉黑客的攻击心理,通过了解、学习黑客的攻击技术,反过来对网络做出更好的保护。,16.4.3Honeynet,Honeynet 是一种Honeypot，但它跟普通Hon

27、eypot有着很大的区别：普通的Honeypot都是一台机器，但是Honeynet 则是一个有机网络，一般来说由数台电脑组成(除了在一台电脑上通过虚拟机来模拟数台电脑的情况)，并配以各种必要的软、硬件，使它看起来象是一个真实的产品系统网络，这个“产品系统”网络包括各种服务和操作系统，这里的服务可以包括Http、FTP、Mail等服务，而操作系统则可以包括Windows、Linux、BSD、Solaries等流行系统。,16.4.3Honeynet,相对于DTK,Honeyd等低交互性的Honeypot来说的，Honeynet具有高交互性。DTK、Honeyd等低交互性Honeypot通过模拟服

28、务和操作系统，而不真正的装上真实的服务和操作系统来捕获黑客行动记录，而Honeynet则通过各种真实的服务和操作系统来提供“服务”以获取黑客行动记录，黑客面对的是一个完整的“产品系统”网络，而不是虚拟的网络。,16.4.3Honeynet,在这个网络内安装有各种数据控制工具，把黑客的行为控制在允许的范围内，但又保证不让黑客知道他的行为已经受到监视和约束，但是由于这个网络采用了严密的数据控制，黑客忙了半天，用尽了他掌握的各种技术、工具，不仅没能达到攻击目标，却让部署者轻松的获取了这些信息。一旦黑客的行为的后果超出了部署者可承受的范围之后，可以马上中断联接，由于这个网络不是一个真实的产品系统网络，

29、即使Honeynet受到破坏，部署者最大的损失至多是重装系统而已。,16.4.3Honeynet,其他各种安全防御措施，如IDS、防火墙，部署者要么需要在大量的日志中搜索有价值的少数信息，要么只有在系统遭到破坏后才能知道系统已经遭到黑客入侵。 而由于Honeynet在正常情况下的任何数据包都是异常数据包，所以它记录的内容相对于IDS 非常少。通过日志记录，Honeynet可以把部署者感兴趣的事件以各种方便的途径发送给部署者，可以让部署者不需要24小时全天候的守候。,16.4.3Honeynet,16.5 实验：Honeyd的安装和配置,Honeyd 是一款非常优秀的虚拟蜜罐软件，能完成蜜罐的大

30、部分功能，花费的资源相对较少，并能完成对网络拓扑的模拟。Honeyd 的使用也很方便，仅需要一个配置文件，就可以完成响应的部署。此外，Honeyd 的使用也是相当广泛。在引诱黑客攻击，反蠕虫，遏制垃圾邮件等方面都有广泛的应用。下面对Honeyd 进行安装，配置，运行和测试。,Honeyd 能够使单个主机拥有许多IP（多达65536 个）。Honeyd 不能单独运行，需要如下三个函数库作为配套，libenvent, ibdnet, ibdcap.下载地址分别：/provos/libevent-1.1a.tar.gz，,16.5 实验：Honeyd的安装和配

31、置,在运行Honeyd 之前，为了保证honeyd 的主机对配置的honeypot 的IP 做出arp 请求的应答。可以通过运行arpd 软件来做出arp 应答。arpd 将对指定的IP 地址范围内未使用的IP 用honeyd 主机的MAC 地址做出arp 应答。下载地址：/u/provos/honeyd/arpd-0.2.tar.gz。,16.5 实验：Honeyd的安装和配置,下面介绍在linux 下安装honeyd 的方法，下载honeyd： /u/provos/honeyd/honeyd-1

32、.0a-rc2.tar.gz。 将上面的文件复制到Linux根目录下，解压安装libdnet-1.10.tar.gz： tar -xvzf libdnet-1.10.tar.gz 进入libdnet-1.10目录： cd / libdnet-1.10 开始安装，运行 /configure make make install 同上分别完成其它文件的安装。,16.5 实验：Honeyd的安装和配置,libevent, libdnet, libdcap 安装在/usr 目录下，在配置时，用./configure -prefix=/usr也可以通过预编译包来安装。只需要下载相应的软件包，直接解压就可以使用，下载地址：http:/www.tracking- 配置honeyd.conf，输入命令： vi /etc/honeyd.conf 打开honeyd.conf文件，作以下编辑和配置： create default,16.5 实验：Honeyd的安装和配置,set default personality Microsoft Windows XP Home Edition set default default tcp action reset set default default udp actio