虚拟蜜罐Honeyd的分析和研究

1、假造蜜罐Honeyd的阐发和研究摘要：该文先容一个新的主动型的网络宁静体系蜜罐。起首给出了蜜罐的界说和分类，然后详细形貌了一个网络条理上的模拟盘算机体系的假造蜜罐框架Hneyd，讨论了Hneyd的原理、布局、特点、方案和实现，并对它的成效作了全面的测试评估。关键字：蜜罐，交互性，本性，路由拓扑，模板1蜜罐Hneypt的先容本日网络宁静题目正日益严峻。黑客利用主动化的大范围的缺点扫描东西，可以在创造缺点后不久就使环球的盘算机体系遭受粉碎。但是颠末数十年的研究和探究，我们仍旧不克不及确保盘算机体系的宁静，乃至无法正确评估它们的宁静性。如今我们先容一种新的网络宁静预警体系：蜜罐Hneypt。蜜罐是指

2、受到精细监控的网络诱骗体系，它可以疑惑仇人，将打击从网络中比力紧张的呆板上转移开，对新打击发出预警，更紧张的是可以引诱黑客打击而并对其打击的举动和历程举行深化的阐发研究。将蜜罐和入侵检测体系、防火墙等结合利用，可以有效进步体系宁静性。Hneypt分为两种范例：一种是低交互性蜜罐L-InteratinHneypt，另一种是高交互性蜜罐High-InteratinHneypt。低交互性蜜罐通常是运行于现有操纵体系上的仿真办事，只容许少量的交互行动,黑客只能在仿真办事预设的范畴内行动，它的长处是布局简朴，摆设轻易，风险很低。高交互性蜜罐通常由真实的操纵体系来构建，提供应黑客的是真实的体系和办事。接纳

3、这种方法可以得到大量的有效信息，包罗我们完全不相识的新的网络打击方法。同时，它也带来了更多的风险-黑客大概通过这个完全开放的真实体系去打击和渗出网络中的其他呆板。设置高交互性的物理的蜜罐本钱很高，由于每个蜜罐是具有自已IP地点的真实呆板，要有它自已的操纵体系和相应硬件。而假造蜜罐是由一台呆板去模拟布局一个拥有的多个假造主机和假造办事的网络。相对而言，假造蜜罐必要较少的盘算机资源和维护用度。本文形貌的Hneyd，就是一个在网络条理上模拟盘算机体系的假造蜜罐框架。2Hneyd的方案和实行Hneyd是一个轻型的开放源代码的假造蜜罐的框架，可以模拟多个操纵体系和网络办事，支持IP协议族，创立恣意拓扑布

4、局的假造网络。同时，为了模拟拓扑疏散的网络地点空间和共享负荷，该布局也支持网络通道。图1Hneyd的数据吸收图2Hneyd的布局2.1网络数据的吸收要使Hneyd可以对目的IP地点属于假造蜜罐之一的网络数据包正常的担当和回应，有如下要领：对指向Hneyd主机的假造IP地点创立特定路由、利用ARP署理及利用网络通道。在庞大的环境下，我们也可以应用通用路由封装GRE通道协议在网络地点空间和hndyd主机间创立通道。2.2Hneyd布局Hneyd布局由几部门组成：一个设置数据库，一其中心包分派器，协议处置惩罚器，本性化引擎和随机的路由组件，见图2。Hneyd支持三种重要的互联网协议：IP，TP和UD

5、P。输入的包由中心包分派器处置惩罚，它起首检测IP包的长度并验证校验，然后查询设置数据库寻到与目的IP地点相对应的蜜罐设置，假设不存在专用的设置，那么应用缺省模板。确定了设置后，数据包被传送给相应的协议处置惩罚器。IP协议处置惩罚器支持大多数IP哀求。缺省时，对EH哀求做出反响并给出目的地点不成达的信息。对TP和UDP来说，该布局能为恣意的办事创立毗连，办事是在STDIN上担当数据并把输动身送到STDUT的外部应用。Hneyd包罗一个简化的TP状态机，完全支持三次握手Three-ayHandshake的创立毗连和通过FIN或RST撤消毗连，但是担当器和拥塞窗口办理没有完全实现。UDP数据报直接

6、传到应用，当收到一个发往封闭端口的UDP包的时间，默认发出一个IP端口不成达的信息。Hneyd布局也支持毗连的重定向，重定向可以是静态的或依靠于毗连四元组源地点，源端口，目的地点，目的端口。重定向容许我们把假造蜜罐上的一个办事毗连哀求转递给一个在真正的办事器上运行的办事，比方，我们可以把DNS哀求重指向一个域名办事器乃至可以把毗连反传给仇人。2.3本性化引擎PersnalityEngine黑客通常会运用象Xprbe或Nap的指纹识别东西来网络目的体系的信息，为了疑惑仇人，Hneyd可以模拟给定操纵体系的网络堆栈举动，我们把这称为假造蜜罐的本性(Persnality)。本性化引擎使蜜罐的网络堆栈

7、根据本性设置来改变每个外出包的协议头，以便与被设置的操纵体系的特性符合。Hneyd布局应用Nap指纹库作为本性的TP和UP举动的参照，用Xprbe的指纹据库作为本性的IP举动的参照。下面先容怎样应用Nap提供的指纹信息来改变蜜罐的网络堆栈特性。FingerprintindsNT4.0SP6a+htfixesTSeq(lass=RI%gd=6%SI=40132290%IPID=BI|RPI%TS=U)T1(DF=Y%=2022%AK=S+%Flags=AS%ps=)T2(Resp=Y%DF=N%=0%AK=S%Flags=AR%ps=)T3(Resp=Y%DF=Y%=2022%AK=S+%Fla

8、gs=AS%ps=)T4(DF=N%=0%AK=%Flags=R%ps=)T5(DF=N%=00|800%AK=S+%Flags=AR%ps=NETL)T6(DF=N%=0%AK=%Flags=R%ps=NETL)T7(DF=N%=0%AK=%Flags=R%ps=NETL)PU(Resp=N|Y)图3Nap指纹的例子每个Nap指纹有一个雷同于图3中所示的格式，Fingerprint标记后的字符串为本性化名字，反面的九行形貌九个差异测试的效果。第一个测试是最紧张的，它决定着长途操纵体系的网络堆栈怎样为TPSYN字段产生初始序列号ISN，在lass字段指明猜测ISN的难度，在gd和SI字段提供I

9、SN漫衍的更多详细信息，同时它也决定IP报文标识和TP时间戳。下七个测试确定到达开放和封闭的TP端口的包的堆栈举动，末了的测试PU阐发了对封闭的UDP端口的IP反响包。2.4路由拓扑utingTplgyHneyd可以或许模拟随机的网络路由拓扑。通常假造的路由拓扑是一株树，根节点是数据包进入假造网络的入口。树的每个内部节点代表着一个路由器。每个边代表着一个包罗着时间等候和包丧失等特性的毗连。树的终端节点与网络相对应。当Hneyd接到包时，它寻到准确的入口路由树并穿过它，从根开始直到创造包罗包的目的IP地点的一个节点为止，沿途的包丧失和全部边的时间等候积聚起来，确定是否扬弃该包和它的传送应该耽误多

10、长时间。数据包每通过一个假造路由器，就相应淘汰的保存期TTL的值，当TTL为零时，Hneyd发出包罗导致TTL为零的路由器IP的一个IP超时信息。Hneyd也可以把真正的体系与假造的路由拓扑结合起来，当布局收一个真实体系的包时，包沿着网络拓扑行走直到它创造直接对真正的呆板所属的网络空间卖力的一个假造路由器。认真正的体系发出ARP哀求时，布局以相应的假造路由器的ARP复兴来相应。2.5设置在Hneyd框架中，通过设置模板(Teplate)来设置假造的蜜罐。设置语言是一种上下文无关文法，可以设置假造网络，操纵体系和办事。下面是一个完备的inds模板设置典范：#indsputersreateinds

11、#创立一inds操纵体系模板setindspersnalityindsNT4.0ServerSP5-SP6#设置该模板的Nap指纹setindsdefaulttpatinreset#设置缺省的TP行动setindsdefaultudpatinreset#设置缺省的UDP行动addindstpprt80perlsripts/iis-0.95/iiseul8.pl#设置体系监听到80端口，而且调用足本sripts/iis-0.95/iiseul8.pl#处置惩罚对该端口的拜候addindstpprt139pen#翻开TP139端口addindstpprt138pen#翻开TP137端口addind

12、sudpprt137pen#翻开UDP137端口addindsudpprt135pen#翻开UDP135端口setindsuptie3284460#设置inds体系启动时间3Hneyd的测试评估我们利用Hneyd模拟了的一个包罗五个路由器，10个假造蜜罐，两个入口点和一个融入假造网络的真实蜜罐呆板庞大网络，然后用traerute来测试去恣意假造主机的途径，效果表现Hneyd乐成地模拟了一个根底不存在的网络拓扑。为了更充实地测试Hneyd布局疑惑了Nap的本领,我们创立了一个B类网络，每个假造蜜罐设置有Nap指纹库中一个指纹，剔除重复，我们利用了600个特别的指纹。蜜罐被设置只有开放一个端口，运行一个eb办事。然后对全部设置的IP地点，启动Nap来识别操纵体系。效果是，对555个指纹Nap正确简直认了模拟的操纵体系，对37个指纹Nap列出包罗模拟的本性在内的多个大概选择，Nap只有对8个指纹没有识别出准确的操纵体系。这大概是Hneyd的题目也大概是由于指纹数据库构造题目。4结语Hneyd通过假造主机，网络和报酬设置的办事，可以应用在网络宁静的很多范畴。比方：病毒探测、反蠕虫、制止垃