蜜罐与蜜网技术介绍-zhao

1、蜜罐与蜜网技术介绍 内容 蜜罐技术的提出 蜜罐技术 蜜罐概念 实例工具：DTK, honeyd 蜜网技术 蜜网概念、蜜网项目组 实例工具：Gen II 蜜网 蜜罐/蜜网技术的应用 新概念和新方向 蜜罐技术的提出 要解决什么问题？ 互联网安全状况 安全基础薄弱 操作系统/软件存在大量漏洞 安全意识弱、安全加强 rarely done 任何主机都是攻击目标！ DDoS、跳板攻击需要大量傀儡主机 蠕虫、病毒的泛滥 并不再仅仅为了炫耀 Hold your friends close, but your enemies closer.” _Michael Corleone:The Godfather,

2、Part II 互联网安全状况 (2) 攻击者不需要太多技术 攻击工具的不断完善 更多的目标：Linux、Windows 更容易使用，工具整合 Metasploit: 30+ Exploits 更强力 攻击脚本和工具可以很容易得到和使用 0-day exploits: packetstorm 团队协作 网络攻防的不对称博弈 工作量不对称 攻击方：夜深人静, 攻其弱点 防守方：24*7*365, 全面防护 信息不对称 攻击方：通过网络扫描、探测、踩点对攻击目标全面 了解 防守方：对攻击方一无所知 后果不对称 攻击方：任务失败，极少受到损失 防守方：安全策略被破坏，利益受损 蜜罐技术的提出 扭转工

3、作量不对称 增加攻击代价假目标 扭转信息不对称了解你的敌人！ 他们是谁？ 他们使用什么工具？如何操作？ 为什么攻击你？ 扭转后果不对称 防守方不受影响损失 计算机取证对攻击方的威慑 蜜罐技术 什么是蜜罐？ 蜜罐的发展历史 Fred Cohen DTK Honeyd 蜜罐的概念 Honeypot: 首次出现在Cliff Stoll的小说 “The Cuckoos Egg”(1990) 蜜网项目组给出如下定义： “A security resource whos value lies in being probed, attacked or compromised” 没有业务上的用途，因此所有流入

4、/流出蜜 罐的流量都预示着扫描、攻击及攻陷 用以监视、检测和分析攻击 蜜罐与没有防护的PC的区别 蜜罐是网络管理员经过周密布置而设下的 “黑匣子”，看似漏洞百出却尽在掌握之 中，它收集的入侵数据十分有价值； 没有防护的计算机是送给入侵者的礼物， 即使被入侵也不一定查得到痕迹因此， 蜜罐的定义是：“蜜罐是一个安全资源， 它的价值在于被探测、攻击和损害。” 蜜罐的要求 设计蜜罐的初衷就是让黑客入侵，借此收 集证据，同时隐藏真实的服务器地址，因 此我们要求一台合格的蜜罐拥有这些功能： 发现攻击、产生警告、强大的记录能力、 欺骗、协助调查。 另外一个功能由管理员去完成，那就是在 必要时候根据蜜罐收集的

5、证据来起诉入侵 者 蜜罐技术的发展历史 被攻陷的真实主机 (1990 ) An Evening with Berferd 虚拟蜜罐工具 (1997 ) 模拟网络服务，虚拟系统 Fred Cohen: DTK 被监控的真实系统 (2000 ) 更多的数据捕获、分析、控制工具 在一个蜜网的框架中 蜜网项目组: Gen II蜜网 蜜罐的分类 部署目标 产品型 研究型 交互性：攻击者在蜜罐中活动的交互性级 别 低交互型 高交互型 产品型蜜罐 部署目标: 保护单位网络 防御 检测 帮助对攻击的响应 需要网管尽可能少的工作 商业产品 KFSensor, Specter, ManTrap 研究型蜜罐 部署目

6、标：对黑客攻击进行捕获和分析 这些“坏家伙”在干什么 了解攻击方法 捕获他们的键击记录 捕获他们的攻击工具 监控他们的会话 需要大量时间和精力投入！ 实例：Gen II蜜网, Honeyd 低交互型蜜罐 模拟服务和操作系统 只能捕获少量信息 容易部署，减少风险 实例：Specter, KFSensor, and Honeyd. 高交互型蜜罐 提供真实的操作系统和服务，而不是模拟 可以捕获更丰富的信息 部署复杂，高安全风险 实例：ManTrap, Gen II蜜网 蜜罐技术优势 高保真高质量的小数据集 很小的误报率 很小的漏报率 捕获新的攻击及战术 并不是资源密集型 简单 蜜罐技术弱势 劳力/技

7、术密集型 局限的视图 不能直接防护信息系统 带来的安全风险 安全风险 发现蜜罐发现蜜罐 黑客知道要避免进入哪些系统 向蜜罐反馈虚假、伪造的信息 消除蜜罐的指纹 蜜罐-反蜜罐技术：博弈问题! 利用蜜罐攻击第三方利用蜜罐攻击第三方 期望黑客获得蜜罐的root权限 黑客会将其用作危害第三方的跳板 引入多层次的数据控制机制 人为分析和干预 蜜罐工具实例 DTK Deception Toolkit (1997) by Fred Cohen Fred Cohen, A Framework for Deception. Honeyd A virtual honeypot framework Honeyd 1

8、.0 (Jan 22, 2005) by Niels Provos, Google Inc. DTK 用户：普通互联网用户 目标 在几分钟内部署一系列的陷阱 显著提高攻击代价，同时降低防御代价 欺骗自动攻击程序，使其无效 从物理蜜罐到DTK 从物理蜜罐到DTK DTK如何工作？ 模拟有漏洞的网络服务 基于状态机变迁脚本 # State Input NexStat Exit ln/file output/filename 0 START 011220 ESMTP Sendmail 8.1.2/8.1.3; 0 ERROR 011500 Command unrecognized - please

9、say Helo 0 help 011214-No help available 效果及局限 效果 增大了攻击代价，增加攻击成功所需技术门槛 让低水平的攻击者一头雾水 通过日志可以了解攻击企图 局限 根据攻击者输入给出对应输出的方法过于简单 所能够提供的欺骗手段有限 Honeyd 可以模拟任意TCP/UDP网络服务 IIS, Telnet, pop3 支持同时模拟多个IP地址主机 经过测试，最多同时支持65535个IP地址 支持ICMP 对ping和traceroute做出响应 通过代理和重定向支持对实际主机、网络服务的 整合 add windows tcp port 23 proxy “16

10、59 23” UI用户界面(v1.0) Honeyd监控未使用IP地址 Honeyd设计上的考虑 接收网络流量 模拟蜜罐系统 仅模拟网络协议栈层次，而不涉及操作系统各个层面 可以模拟任意的网络拓扑 Honeyd宿主主机的安全性 限制对手只能在网络层面与蜜罐进行交互 保证对手不会获得整个系统的访问权限 捕获网络连接和攻击企图 日志功能 接收网络流量 Honeyd模拟的蜜罐系 统接收相应网络流量三 种方式 为Honeyd模拟的虚拟主 机建立路由 ARP代理 支持网络隧道模式 (GRE) Honeyd体系框架 配置数据库 存储网络协议栈的个性化特 征 中央数据包分发器 将输入的

11、数据包分发到相应 的协议处理器 协议处理器 个性化引擎 可选路由构件 FTP服务模拟 case $incmd_nocase in QUIT* ) echo -e 221 Goodbye.r exit 0; SYST* ) echo -e 215 UNIX Type: L8r ; HELP* ) echo -e 214-The following commands are recognized (*=s unimplemented).r echo -e USER PORT STOR MSAM* RNTO NLST MKD CDUPr echo -e PASS PASV APPE MRSQ* AB

12、OR SITE XMKD XCUPr echo -e ACCT* TYPE MLFL* MRCP* DELE SYST RMD STOUr echo -e SMNT* STRU MAIL* ALLO CWD STAT XRMD SIZEr echo -e REIN* MODE MSND* REST XCWD HELP PWD MDTMr echo -e QUIT RETR MSOM* RNFR LIST NOOP XPWDr echo -e 214 Direct comments to ftp$domain.r ; USER* ) 个性化引擎 为什么需要个性化引擎? 不同的操作系统有不同的网络

13、协议栈行为 攻击者通常会运行指纹识别工具，如Xprobe和Nmap获 得目标系统的进一步信息 个性化引擎使得虚拟蜜罐看起来像真实的目标 每个由Honeyd产生的包都通过个性化引擎 引入操作系统特定的指纹，让Nmap/Xprobe进行识别 使用Nmap指纹库作为TCP/UDP连接的参考 使用Xprobe指纹库作为ICMP包的参考 路由拓扑结构 Honeyd支持创建任意的网络拓扑结构 对路由树的模拟 配置一个路由进入点 可配置链路时延和丢包率 模拟任意的路由路径 扩展 将物理主机融合入模拟的网络拓扑 通过GRE隧道模式支持分布式部署 路由拓扑定义实例 route entry ro

14、ute add net /16 latency 55ms loss 0.1 route add net /16 latency 55ms loss 0.1 route link /16 route link /16 create routerone set routeone personality “Cisco 7206 router (IOS 11.1(17)” set routerone default tcp action reset set route

15、rone default udp action reset bind routerone bind routerone bind routerone 日志功能 Honeyd支持对网络活动的多种日志方式 Honeyd对任何协议创建网络连接日志，报告 试图发起的、或完整的网络连接 在网络协议模拟实现中可以通过stderr进行相 关信息收集 Honeyd也可以与NIDS结合使用，捕获更多 更全面的攻击信息 Feb 12 23:06:33 Connection to closed port: udp (:1978 - 172

16、.16.85.101:1978) Feb 12 23:23:40 Connection request: tcp (8:3269 - 02:25) Feb 12 23:23:40 Connection established: tcp (8:3269 - 02:25) sh scripts/smtp.sh Feb 12 23:24:14 Connection dropped with reset: tcp (8:3269 - 02:25) Feb 12 23:34

17、:53 Killing attempted connection: tcp (27:3297 - 02:80) Feb 12 23:39:14 Connection: udp (1:1026 - 01:137) Feb 12 23:39:14 Connection established: udp (1:1026 - 01:137) Wed Feb 12 23:23:40 UTC 2003: SMTP started from Port EHLO MAIL From: RC

18、PT To: Honeyd的日志记录 蜜网技术 什么是蜜网？ 蜜网项目组 Gen II蜜网技术 什么是蜜网？ 实质上是一种研究型、高交互型的蜜罐技 术 对攻击者活动进行收集 一个体系框架 包括一个或多个蜜罐 高可控的蜜罐网络 虚拟蜜网 在一台机器上部署蜜网的解决方案 VMware & User Mode Linux 优势 减少部署成本 更容易管理 风险 攻击虚拟系统软件，获得整个蜜网的控制权 指纹 蜜网的需求 数据控制 降低风险使得蜜网不会被用以危害第三方 数据捕获 检测并捕获所有攻击者的活动 数据分析 分析攻击者做了什么！ 蜜网项目组 非赢利性研究机构 目标 To learn the too

19、ls, tactics, and motives of the blackhat community and share these lessons learned 历史 1999 非正式的邮件列表 June 2000 演变为蜜网项目组 Jan. 2002 发起蜜网研究联盟 Dec. 2002 10个活跃的联盟成员 蜜网项目组成员 限制最多30人 每个公司或组织同时最多2人 创始人及主席 Lance Spitzner (Sun Microsystems) 蜜网项目组规划 Phase I: 1999-2001 Gen I蜜网技术: 概念验证 Phase II: 2001-2003 Gen II蜜

20、网技术: 成熟的蜜网技术方案 Phase III: 2003-2004 HoneyWall Eeyore : 可引导的CDROM，集成数据控制 和数据捕获工具 Phase IV: 2004-2005 对分布式的蜜网捕获的数据进行收集和关联的集中式系统 kanga Phase V: 2005- Data Analysis Framework Walleye New HoneyWall CDROM Roo (2005年5月1日发布) Gen II 蜜网技术 Gen II 蜜 网框架 没有数据控制 数据控制 iptables处理流程 snort_inline IPTABLES IP_QUEUE SN

21、ORT_INLINE IP_QUEUE IPTABLES Packet Flow NETWORK NETWORK iptables -A FORWARD -i $LAN_IFACE -m state -state RELATED,ESTABLISHED -j QUEUE Snort logging 01/08-10:06:09.729583 * 111:10:1 (spp_stream4) STEALTH ACTIVITY (XMAS scan) detection * TCP :46271 - 0:1 iptables connection loggi

22、ng Jan 8 09:52:43 honeywall user.warn klogd: INBOUND ICMP: IN=br0 OUT=br0 PHYSIN=eth0 PHYSOUT=eth1 SRC= DST=0 LEN=84 TOS=0 x00 PREC=0 x00 TTL=64 snort_inline logging 03/23-21:21:05.915340 * 1:0:0 Dropping Telnet connection * Priority: 0 TCP 0:39528 - 0:23 03/

23、23-21:21:24.054533 * 1:0:0 Modifying HTTP GET command * Priority: 0 TCP 0:38533 - 0:80 Sebek* Keystroke Logging * Sebek is developed by Ed Balas, Indiana University Looking at Keystrokes Gen II 蜜网技术 数据捕获 IPTables eth0 Snort_inline IPTables eth1 Snort for Sniff Sebek Client Honey

24、Wall Honeypot Sebek Client Honeypot Swatch System Activity Report Sebek Svr Firewall Log All Traffic eth2Administrator Blind to black-hats System Activity Gen II 蜜网技术 数据控制 IPTables eth0 Snort_inline IPTables eth1 Snort for Sniff Sebek Client HoneyWall Honeypot Sebek Client Honeypot Swatch Sebek Svr

25、Firewall Log Alert eth2Administrator Blind to black-hats Drop Disable Outbound Known Attacks Connection Limiting Probe, DoS Attacks 蜜网研究联盟近期的一些发现 Know Your Enemy - Trend Analysis Trend: Life expectancy increasing for unpatched or vulnerable Linux deployments. Know Your Enemy - A Profile Profile: Aut

26、omated Credit Card Fraud Know your Enemy - Tracking Botnets Using honeynets to learn more about Bots 蜜罐/蜜网技术的应用 蜜罐 V.S. 蠕虫 Capture Spammers Honeycomb 蜜罐 V.S. 蠕虫 Snipe Blaster Worm - Oudot create default set default personality Windows XP Pro add default tcp port 135 open add default tcp port 4444 /b

27、in/sh scripts/strikeback.sh $ipsrc set default tcp action block set default udp action block !#/bin/sh # Launches a DCOM exploit toward the infected attacking host # and then run cleaning commands in the remote DOS shell obtained ./dcom_exploit -d $1 c: cleanerMSB.reg echo HKEY_LOCAL_MACHINESOFTWARE

28、MicrosoftWindowsCurrentVersionRun c:cleanerMSB.reg echo auto windows update = REM msblast.exe c: cleanerMSB.reg regedit /s c: cleanerMSB.reg del /f c:cleanerMSB.reg REM N) Specific actions to update the Windows host could be added here REM N+1) Reboot the host shutdown -r -f -t 0 exit EOF Using hone

29、yd to capture spammers Spam prevention Spammers abuse two Internet services proxy servers and open mail relays. To understand how spammers operate we use the Honeyd framework to instrument networks with open proxy servers and open mail relays. Use of Honeyds GRE tunneling capabilities and tunnel sev

30、eral C- class networks to a central Honeyd host. Using the Honeyd framework, it is possible to instrument networks to automatically capture spam and submit it to collaborative filtering systems. Honeycomb Honeycomb 利用蜜罐技术自动分析入侵 检测特征 2004 SIGCOMM Paper University of Cambridge Computer Laboratory, UK

31、Honeycomb体系框架 Honeycomb特征自动生成算法 水平、垂直模式检测 Honeycomb 实验结果 新概念和新方向 Activate honeypots honeyfarm honeytoken honeyapp honeyclient 主动式蜜罐技术 动态蜜罐 即插即用的解决方案 自动调整 被动指纹识别技术 了解所处的网络环境 动态配置 虚拟蜜罐 Honeyfarm基本思想 重定向机制 对高价值目标映射蜜罐系统 动态蜜罐技术 不需创建新的目标，而使用已存在的目标 将恶意的、未经授权的活动重定向到蜜罐 监视和捕获攻击者在蜜罐中的活动 计算机取证技术 什么时候重定向？ 非预期的流量 Hot Zoning 非业务(Non-production)目标端口 非业务源端口 Time of day 已知攻击 Bait-n-Switch Snort的修改版