攻击行为审计取证蜜罐技术的提出Honeypot课件

第14章蜜罐技术第14章蜜罐技术1本章主要内容蜜罐技术提出与发展历程蜜罐技术概念及分类蜜罐技术原理蜜罐技术实例网络攻防技术本章主要内容蜜罐技术提出与发展历程网络攻防技术2互联网安全状况

安全基础薄弱操作系统/软件存在大量漏洞安全意识弱、缺乏安全技术能力任何主机都是攻击目标！DDoS、跳板攻击需要大量僵尸主机蠕虫、病毒的泛滥并不再仅仅为了炫耀：Spamming,Phishing攻击者不需要太多技术攻击工具的不断完善Metasploit:40+Exploits攻击脚本和工具可以很容易得到和使用0-dayexploits:packetstorm网络攻防技术互联网安全状况安全基础薄弱网络攻防技术3网络攻防的非对称博弈

工作量不对称攻击方：夜深人静,攻其弱点防守方：24*7,全面防护信息不对称攻击方：通过网络扫描、探测、踩点对攻击目标全面了解防守方：对攻击方一无所知后果不对称攻击方：任务失败，极少受到损失防守方：安全策略被破坏，利益受损攻击方掌握主动权网络攻防技术网络攻防的非对称博弈工作量不对称网络攻防技术4传统安全防护机制的不足

被动安全防护机制加密、VPN防火墙:配置问题、针对开放业务端口的攻击、内部攻击入侵检测系统IDS:已知攻击特征库、高误报率反病毒软件:病毒特征库在线升级，延迟“主动”安全防护机制漏洞扫描与补丁分发工具:扫描脚本、补丁延迟入侵防御系统IPS:已知攻击特征库、“傻瓜式”网络攻防技术传统安全防护机制的不足被动安全防护机制网络攻防技术5蜜罐技术的提出防御方尝试改变攻防博弈不对称性而提出的一种主动防护技术对攻击者的欺骗技术－增加攻击代价、减少对实际系统的安全威胁了解攻击者所使用的攻击工具和攻击方法追踪攻击源、攻击行为审计取证蜜罐技术的提出

Honeypot:首次出现在CliffStoll的小说“TheCuckoo’sEgg”(1990)著名计算机安全专家FredCohen网络攻防技术蜜罐技术的提出防御方尝试改变攻防博弈不对称性而提出的一种主6蜜罐技术发展历程蜜罐技术

1998年后，出现DTK、Honeyd等大量开源蜜罐工具同期出现一些商业产品，但并未得到市场普及蜜网技术1999年由蜜网项目组(TheHoneynetProject)提出并实现目前已发展到第三代蜜网技术蜜场技术2003年由LanceSpitzner首次提出Honeypotfarms思想目前仍未有实际的工具、产品和应用网络攻防技术蜜罐技术发展历程蜜罐技术网络攻防技术7蜜罐技术概念定义：honeypot:“Asecurityresourcewho’svalueliesinbeingprobed,attackedorcompromised”——LanceSpitzner（TheHoneynetProject的创始人）蜜罐是一类安全资源，其价值就在于被探测、被攻击及被攻陷。网络攻防技术蜜罐技术概念定义：honeypot:“Asecurity8蜜罐技术分类系统功能（产品型蜜罐、研究型蜜罐）交互程度（低交互蜜罐、高交互蜜罐）网络攻防技术蜜罐技术分类系统功能（产品型蜜罐、研究型蜜罐）网络攻防技术9产品型蜜罐目标:有效防护业务网络间接性防护－通过诱骗增大攻击者代价，混淆关键业务资源，了解并规避安全威胁直接性防护－蜜场技术较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTrap等一系列的商业产品。网络攻防技术产品型蜜罐目标:有效防护业务网络网络攻防技术10研究型蜜罐目标:研究对手，了解自身面临的安全威胁知己知彼、百战不殆蜜网技术(KnowYourEnemy)(Enemy)－目前更多意义上属－于研究型蜜罐技术具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术网络攻防技术研究型蜜罐目标:研究对手，了解自身面临的安全威胁网络攻防技术11低交互式蜜罐技术交互性：攻击者在蜜罐中活动的交互性级别低交互式蜜罐技术具有与攻击源主动交互的能力模拟网络服务响应，模拟漏洞容易部署，容易控制攻击低交互式－交互级别由于模拟能力而受限，数据获取能力和伪装性较弱，一般仅能捕获已知攻击例:Honeyd商业产品:KFSensorKFSensor,Specter,,HoneyPointHoneyPoint…网络攻防技术低交互式蜜罐技术交互性：攻击者在蜜罐中活动的交互性级别网络攻12高交互式蜜罐技术高交互式蜜罐技术使用真实的操作系统、网络服务与攻击源进行交互高度的交互等级－对未知漏洞、安全威胁具有天然的可适性，数据获取能力、伪装性均较强弱势－资源需求较大，可扩展性较弱，部署安全风险较高虚拟机蜜罐VS.物理蜜罐虚拟机(VirtualMachine)/仿真器(Emulator)技术节省硬件资源、容易部署和控制、容易恢复、安全风险降低高交互式蜜罐工具

Honeynet––蜜网项目组(TheHoneynetProject)网络攻防技术高交互式蜜罐技术高交互式蜜罐技术网络攻防技术13蜜罐技术优缺点优点收集到的数据很大可能就是由于黑客攻击造成的，不依赖于任何复杂的检测技术等，因此减少了漏报率和误报率。能够收集到新的攻击工具和攻击方法。不需要强大的资源支持。缺点需要较多的时间和精力投入。只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限。不能直接防护有漏洞的信息系统。会带来一定的安全风险。网络攻防技术蜜罐技术优缺点优点网络攻防技术14蜜罐技术原理蜜罐技术原理－“蜜罐公理”无任何业务用途没有任何的正常活动任何活动都是恶意的攻击诱骗、安全威胁预警绕过攻击检测问题－区分正常业务和攻击行为防火墙：定义安全策略保证正常业务入侵检测系统：根据已知攻击特征进行检测反病毒软件：根据已知病毒特征码网络攻防技术蜜罐技术原理蜜罐技术原理－“蜜罐公理”网络攻防技术15蜜罐技术－如何实施诱骗？

欺骗环境(Pot)的构建:黑洞VS.模拟VS.真实零交互式蜜罐:黑洞，没有任何响应低交互式蜜罐－虚拟蜜罐:模拟网络拓扑、协议栈、服务(Honeyd/Nepenthes)；模拟；OS(Sandbox)高交互式蜜罐物理蜜罐:完全真实的硬件、OS、应用、服务虚拟机蜜罐:模拟的硬件(VMWare)/真实的OS、应用、服务网络攻防技术蜜罐技术－如何实施诱骗？欺骗环境(Pot)的构建:黑洞16蜜罐技术－如何实施诱骗？部署陷阱,诱骗攻击者(Honey)安全漏洞－针对扫描式攻击散播陷阱信息－引诱攻击者(GoogleHackingHoneypot,HoneyEmail)重定向技术(Honeyfarm)主动出击:利用爬虫技术－客户端蜜罐(HoneyClawer恶意网站监测)网络攻防技术蜜罐技术－如何实施诱骗？部署陷阱,诱骗攻击者(Honey17蜜罐技术－诱骗之后

欺骗环境的核心功能需求数据控制数据捕获数据分析欺骗环境的配置管理网络攻防技术蜜罐技术－诱骗之后欺骗环境的核心功能需求网络攻防技术18蜜罐技术实例(Honeyd)Honeyd是一种针对UNIX系统设计、开源、低交互的Honeypot，用于对可疑活动的检测、捕获和预警。网络攻防技术蜜罐技术实例(Honeyd)Honeyd网络攻防技术19Honeyd支持同时模拟多个IP地址主机经过测试，最多同时支持65535个IP地址支持模拟任意的网络拓扑结构通过服务模拟脚本可以模拟任意TCP/UDP网络服务IIS,Telnet,pop3…支持ICMP对ping和traceroutes做出响应通过代理机制支持对真实主机、网络服务的整合网络攻防技术Honeyd支持同时模拟多个IP地址主机网络攻防技术20Honeyd与其虚拟的系统之间的关系网络攻防技术Honeyd与其虚拟的系统之间的关系网络攻防技术21Honeyd体系结构网络攻防技术Honeyd体系结构网络攻防技术22Honeyd体系结构路由模块中央数据包分发器将输入的数据包分发到相应的协议处理器协议处理器Service模拟脚本个性化引擎配置数据库存储网络协议栈的个性化特征网络攻防技术Honeyd体系结构路由模块网络攻防技术23Honeyd功能接收网络流量模拟蜜罐系统仅模拟网络协议栈层次，而不涉及操作系统各个层面可以模拟任意的网络拓扑Honeyd宿主主机的安全性限制只能在网络层面与蜜罐进行交互捕获网络连接和攻击企图日志功能网络攻防技术Honeyd功能接收网络流量网络攻防技术24路由拓扑实现Honeyd支持创建任意的网络拓扑结构对路由树的模拟配置一个路由进入点可配置链路时延和丢包率模拟任意的路由路径扩展将物理主机融合入模拟的网络拓扑通过GREGRE隧道模式支持分布式部署网络攻防技术路由拓扑实现Honeyd支持创建任意的网络拓扑结构网络攻防技25个性化引擎不同的操作系统有不同的网络协议栈行为攻击者通常会运行指纹识别工具，如Xprobe和Nmap获得目标系统的进一步信息个性化引擎使得虚拟蜜罐看起来像真实的目标为什么需要个性化引擎？网络攻防技术个性化引擎不同的操作系统有不同的网络协议栈行为为什么需要个性26个性化引擎每个由Honeyd产生的包都通过个性化引擎引入操作系统特定的指纹，让Nmap/Xprobe进行识别使用Nmap指纹库作为TCP/UDP连接的参考使用Xprobe指纹库作为ICMP包的参考网络攻防技术个性化引擎每个由Honeyd产生的包都通过个性化引擎网络攻27日志功能Honeyd的日志功能Honeyd对任何协议创建网络连接日志，报告试图发起的、或完整的网络连接在网络协议模拟实现中可以进行相关信息收集网络攻防技术日志功能Honeyd的日志功能网络攻防技术28蜜罐网络Honeynet蜜网技术实质上是一种研究型、高交互型的蜜罐技术一个体系框架包括一个或多个蜜罐多层次的数据控制机制－高度可控全面的数据捕获机制辅助研究人员对攻击数据进行深入分析网络攻防技术蜜罐网络Honeynet蜜网技术网络攻防技术29虚拟蜜网在一台机器上部署蜜网的解决方案VMware&UserModeLinux优势减少部署成本更容易管理劣势虚拟机的指纹－虚拟硬件的配置信息网络攻防技术虚拟蜜网在一台机器上部署蜜网的解决方案网络攻防技术30蜜网项目组非赢利性研究机构目标Tolearnthetools,tactics,andmotivesoftheblackhatcommunityandsharetheselessonslearned历史1999–非正式的邮件列表June2000–演变为蜜网项目组Jan.2002–发起蜜网研究联盟Dec.2002–10个活跃的联盟成员创始人及主席LanceSpitzner(SunMicrosystems)网络攻防技术蜜网项目组非赢利性研究机构网络攻防技术31蜜网技术的发展历程I:1999-2001GenI蜜网技术:概念验证II:2001-2003GenII蜜网技术:初步成熟的蜜网技术方案III:2003-2004HoneyWall－Eeyore:可引导的CDROM，集成数据控制和数据捕获工具IV:2004-2005对分布式的蜜网捕获的数据进行收集和关联的集中式系统－kangaV:2005-Gen3蜜网技术

数据捕获机制的改进－argus、sebek3.0.xDataAnalysisFramework－WalleyeNewHoneyWallCDROM－RooEdBalas,IndianaUniversity网络攻防技术蜜网技术的发展历程I:1999-2001网络攻防技术32蜜网的体系结构网络攻防技术蜜网的体系结构网络攻防技术33蜜网技术核心需求数据控制机制防止蜜网被黑客/恶意软件利用攻击第三方数据捕获机制获取黑客攻击/恶意软件活动的行为数据网络行为数据－网络连接、网络流系统行为数据－进程、命令、打开文件、发起连接数据分析机制理解捕获的黑客攻击/恶意软件活动的行为网络攻防技术蜜网技术核心需求数据控制机制网络攻防技术34GenI蜜网第一代蜜网技术是一个简单地使用防火墙、入侵检测系统和日志/报警服务器构建的受控环境，使用路由器转发会消耗数据包的TTL值（路由跳数），因此对攻击者来是可见的，容易被攻击者所察觉。网络攻防技术GenI蜜网第一代蜜网技术是一个简单地使用防火墙、入侵检35GenI蜜网体系结构网络攻防技术GenI蜜网体系结构网络攻防技术36GenII蜜网GenII蜜网体系结构中最关键的部件是称为HoneyWall的蜜网网关，包括三个网络接口，eth0接入外网，eth1连接蜜网，而eth2作为一个秘密通道，连接到一个监控网络。网络攻防技术GenII蜜网GenII蜜网体系结构中最关键的部件是称为37GenII蜜网体系结构网络攻防技术GenII蜜网体系结构网络攻防技术38GenIII蜜网加强了辅助分析功能，协助安全研究人员更好地对所捕获的攻击数据进行深入分析并尽量减少工作量。发布了一个基于Web界面的非常友好的数据辅助分析工具Walleye，这使得蜜网技术更加完整。网络攻防技术GenIII蜜网加强了辅助分析功能，协助安全研究人员更好39GenIII蜜网网络攻防技术GenIII蜜网网络攻防技术40第14章蜜罐技术第14章蜜罐技术41本章主要内容蜜罐技术提出与发展历程蜜罐技术概念及分类蜜罐技术原理蜜罐技术实例网络攻防技术本章主要内容蜜罐技术提出与发展历程网络攻防技术42互联网安全状况

安全基础薄弱操作系统/软件存在大量漏洞安全意识弱、缺乏安全技术能力任何主机都是攻击目标！DDoS、跳板攻击需要大量僵尸主机蠕虫、病毒的泛滥并不再仅仅为了炫耀：Spamming,Phishing攻击者不需要太多技术攻击工具的不断完善Metasploit:40+Exploits攻击脚本和工具可以很容易得到和使用0-dayexploits:packetstorm网络攻防技术互联网安全状况安全基础薄弱网络攻防技术43网络攻防的非对称博弈

工作量不对称攻击方：夜深人静,攻其弱点防守方：24*7,全面防护信息不对称攻击方：通过网络扫描、探测、踩点对攻击目标全面了解防守方：对攻击方一无所知后果不对称攻击方：任务失败，极少受到损失防守方：安全策略被破坏，利益受损攻击方掌握主动权网络攻防技术网络攻防的非对称博弈工作量不对称网络攻防技术44传统安全防护机制的不足

被动安全防护机制加密、VPN防火墙:配置问题、针对开放业务端口的攻击、内部攻击入侵检测系统IDS:已知攻击特征库、高误报率反病毒软件:病毒特征库在线升级，延迟“主动”安全防护机制漏洞扫描与补丁分发工具:扫描脚本、补丁延迟入侵防御系统IPS:已知攻击特征库、“傻瓜式”网络攻防技术传统安全防护机制的不足被动安全防护机制网络攻防技术45蜜罐技术的提出防御方尝试改变攻防博弈不对称性而提出的一种主动防护技术对攻击者的欺骗技术－增加攻击代价、减少对实际系统的安全威胁了解攻击者所使用的攻击工具和攻击方法追踪攻击源、攻击行为审计取证蜜罐技术的提出

Honeypot:首次出现在CliffStoll的小说“TheCuckoo’sEgg”(1990)著名计算机安全专家FredCohen网络攻防技术蜜罐技术的提出防御方尝试改变攻防博弈不对称性而提出的一种主46蜜罐技术发展历程蜜罐技术

1998年后，出现DTK、Honeyd等大量开源蜜罐工具同期出现一些商业产品，但并未得到市场普及蜜网技术1999年由蜜网项目组(TheHoneynetProject)提出并实现目前已发展到第三代蜜网技术蜜场技术2003年由LanceSpitzner首次提出Honeypotfarms思想目前仍未有实际的工具、产品和应用网络攻防技术蜜罐技术发展历程蜜罐技术网络攻防技术47蜜罐技术概念定义：honeypot:“Asecurityresourcewho’svalueliesinbeingprobed,attackedorcompromised”——LanceSpitzner（TheHoneynetProject的创始人）蜜罐是一类安全资源，其价值就在于被探测、被攻击及被攻陷。网络攻防技术蜜罐技术概念定义：honeypot:“Asecurity48蜜罐技术分类系统功能（产品型蜜罐、研究型蜜罐）交互程度（低交互蜜罐、高交互蜜罐）网络攻防技术蜜罐技术分类系统功能（产品型蜜罐、研究型蜜罐）网络攻防技术49产品型蜜罐目标:有效防护业务网络间接性防护－通过诱骗增大攻击者代价，混淆关键业务资源，了解并规避安全威胁直接性防护－蜜场技术较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTrap等一系列的商业产品。网络攻防技术产品型蜜罐目标:有效防护业务网络网络攻防技术50研究型蜜罐目标:研究对手，了解自身面临的安全威胁知己知彼、百战不殆蜜网技术(KnowYourEnemy)(Enemy)－目前更多意义上属－于研究型蜜罐技术具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术网络攻防技术研究型蜜罐目标:研究对手，了解自身面临的安全威胁网络攻防技术51低交互式蜜罐技术交互性：攻击者在蜜罐中活动的交互性级别低交互式蜜罐技术具有与攻击源主动交互的能力模拟网络服务响应，模拟漏洞容易部署，容易控制攻击低交互式－交互级别由于模拟能力而受限，数据获取能力和伪装性较弱，一般仅能捕获已知攻击例:Honeyd商业产品:KFSensorKFSensor,Specter,,HoneyPointHoneyPoint…网络攻防技术低交互式蜜罐技术交互性：攻击者在蜜罐中活动的交互性级别网络攻52高交互式蜜罐技术高交互式蜜罐技术使用真实的操作系统、网络服务与攻击源进行交互高度的交互等级－对未知漏洞、安全威胁具有天然的可适性，数据获取能力、伪装性均较强弱势－资源需求较大，可扩展性较弱，部署安全风险较高虚拟机蜜罐VS.物理蜜罐虚拟机(VirtualMachine)/仿真器(Emulator)技术节省硬件资源、容易部署和控制、容易恢复、安全风险降低高交互式蜜罐工具

Honeynet––蜜网项目组(TheHoneynetProject)网络攻防技术高交互式蜜罐技术高交互式蜜罐技术网络攻防技术53蜜罐技术优缺点优点收集到的数据很大可能就是由于黑客攻击造成的，不依赖于任何复杂的检测技术等，因此减少了漏报率和误报率。能够收集到新的攻击工具和攻击方法。不需要强大的资源支持。缺点需要较多的时间和精力投入。只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限。不能直接防护有漏洞的信息系统。会带来一定的安全风险。网络攻防技术蜜罐技术优缺点优点网络攻防技术54蜜罐技术原理蜜罐技术原理－“蜜罐公理”无任何业务用途没有任何的正常活动任何活动都是恶意的攻击诱骗、安全威胁预警绕过攻击检测问题－区分正常业务和攻击行为防火墙：定义安全策略保证正常业务入侵检测系统：根据已知攻击特征进行检测反病毒软件：根据已知病毒特征码网络攻防技术蜜罐技术原理蜜罐技术原理－“蜜罐公理”网络攻防技术55蜜罐技术－如何实施诱骗？

欺骗环境(Pot)的构建:黑洞VS.模拟VS.真实零交互式蜜罐:黑洞，没有任何响应低交互式蜜罐－虚拟蜜罐:模拟网络拓扑、协议栈、服务(Honeyd/Nepenthes)；模拟；OS(Sandbox)高交互式蜜罐物理蜜罐:完全真实的硬件、OS、应用、服务虚拟机蜜罐:模拟的硬件(VMWare)/真实的OS、应用、服务网络攻防技术蜜罐技术－如何实施诱骗？欺骗环境(Pot)的构建:黑洞56蜜罐技术－如何实施诱骗？部署陷阱,诱骗攻击者(Honey)安全漏洞－针对扫描式攻击散播陷阱信息－引诱攻击者(GoogleHackingHoneypot,HoneyEmail)重定向技术(Honeyfarm)主动出击:利用爬虫技术－客户端蜜罐(HoneyClawer恶意网站监测)网络攻防技术蜜罐技术－如何实施诱骗？部署陷阱,诱骗攻击者(Honey57蜜罐技术－诱骗之后

欺骗环境的核心功能需求数据控制数据捕获数据分析欺骗环境的配置管理网络攻防技术蜜罐技术－诱骗之后欺骗环境的核心功能需求网络攻防技术58蜜罐技术实例(Honeyd)Honeyd是一种针对UNIX系统设计、开源、低交互的Honeypot，用于对可疑活动的检测、捕获和预警。网络攻防技术蜜罐技术实例(Honeyd)Honeyd网络攻防技术59Honeyd支持同时模拟多个IP地址主机经过测试，最多同时支持65535个IP地址支持模拟任意的网络拓扑结构通过服务模拟脚本可以模拟任意TCP/UDP网络服务IIS,Telnet,pop3…支持ICMP对ping和traceroutes做出响应通过代理机制支持对真实主机、网络服务的整合网络攻防技术Honeyd支持同时模拟多个IP地址主机网络攻防技术60Honeyd与其虚拟的系统之间的关系网络攻防技术Honeyd与其虚拟的系统之间的关系网络攻防技术61Honeyd体系结构网络攻防技术Honeyd体系结构网络攻防技术62Honeyd体系结构路由模块中央数据包分发器将输入的数据包分发到相应的协议处理器协议处理器Service模拟脚本个性化引擎配置数据库存储网络协议栈的个性化特征网络攻防技术Honeyd体系结构路由模块网络攻防技术63Honeyd功能接收网络流量模拟蜜罐系统仅模拟网络协议栈层次，而不涉及操作系统各个层面可以模拟任意的网络拓扑Honeyd宿主主机的安全性限制只能在网络层面与蜜罐进行交互捕获网络连接和攻击企图日志功能网络攻防技术Honeyd功能接收网络流量网络攻防技术64路由拓扑实现Honeyd支持创建任意的网络拓扑结构对路由树的模拟配置一个路由进入点可配置链路时延和丢包率模拟任意的路由路径扩展将物理主机融合入模拟的网络拓扑通过GREGRE隧道模式支持分布式部署网络攻防技术路由拓扑实现Honeyd支持创建任意的网络拓扑结构网络攻防技65个性化引擎不同的操作系统有不同的网络协议栈行为攻击者通常会运行指纹识别工具，如Xprobe和Nmap获得目标系统的进一步信息个性化引擎使得虚拟蜜罐看起来像真实的目标为什么需要个性化引擎？网络攻防技术个性化引擎不同的操作系统有不同的网络协议栈行为为什么需要个性66个性化引擎每个由Honeyd产生的包都通过个性化引擎引入操作系统特定的指纹，让Nmap/Xprobe进行识别使用Nmap指纹库作为TCP/UDP连接的参考使用Xprobe指纹库作为ICMP包的参考网络攻防技术个性化引擎每个由Honeyd产生的包都通过个性化引擎网络攻67日志功能Honeyd的日志功能Honeyd对任何协议创建网络连接日志，报告试图发起的、或完整的网络连接在网络协议模拟实现中可以进行相关信息收集网络攻防技术日志功能Honeyd的日志功能网络攻防技术68蜜罐网络Honeynet蜜网技术实质上是一种研究型、高交互型的蜜罐技术一个体系框架包括一个或多个蜜罐多层次的数据控制机制－高度可控全面的数据捕获机制辅助研究人员对攻击数据进行深入分析网络攻防技术蜜罐网络Honeynet蜜网技术网络攻防技术69虚拟蜜网在一台机器上部署蜜网的解决方案VMware&UserModeLinux优势减少部署成本更容易管理劣势虚拟机的指纹－虚拟硬件的配置信息网络攻防技术虚拟蜜网在一台机器上部署蜜网的解决方案网络攻防技术70蜜网项目组非赢利性研究机构目标Tolearnthetools,tactics,andmotivesoftheblackhatcommunityandsharetheselessonslearned历史1999–非正式的邮件列表June2000–演变为蜜网项目组Jan.2002–发起蜜网研究