蜜罐与计算机取证技术

蜜罐与计算机网络取证技术摘要:随着信息化的飞速发展，网络安全得到人们前所未有的关注。对于网络安全的防护，传统的被动防御已经无法满足人们的需要，蜜罐技术作为一种主动枝术弥补了传统防护系统的不足。从定义、分类以及关键技术等方面对蜜罐技术给出一个比较系统的解释，并指出了蜜罐技术存在的问题，探讨了将来的发展趋势。本文结合当前网监工作面临的维护网络安全和打击网络犯罪艰巨任务，由于网络和计算机的特性.，是我们对计算机犯罪的预防、取证和侦破面临了很大的困难。提出了将蜜罐技术引入到网监工作中，使之成为维护网络安全和打击网络犯罪的有力武器。关键词:蜜罐、蜜罐技术应用、网络安全、犯罪取证一、引言以计算机网络为核心的信息技术的飞速发展使得电子商务、电子政务和电子军务等的应用日益广泛，也使得网络信息安全成为人们日益关注的问题。随着网络的不断普及，个人信息窃取、网络诈骗、病毒传播、网络攻击等网络犯罪也日益猖獗，例如：一些不法分子建立假冒的网上银行、向用户发送含有诈骗信息的电子邮件等，以窃取用户网上银行的用户名和密码，盗取用户资金；一些黑客为了证明自己的技术而去入侵政府官网，并肆意篡改网页内容，造成了极大的破坏。为了保障网络安全，防火墙和入侵检测等技术应运而生，并在各个领域得到了广泛的应用。然而，它们检测网络入侵行为大都是被动的、基于规则的，对入侵的发现及报警也是在规则的基础上，对一些新的入侵手段则无能为力，因此，单纯的防火墙或入侵检测等技术已不能满足需要。为了利用法律手段严惩网络犯罪，我们就必须取得入侵者犯罪的证据，于是，计算机取证技术也孕育而生了，蜜罐技术则是计算机取证中的一项关键技术。计算机取证(ComputerForensics)是网络主动防御技术在打击网络犯罪中的应用，它是应用计算机的辨析方法，对网络犯罪的行为进行捕获和分析，以保留犯罪的电子证据，并以此作为重要证据提起诉讼。对于网络入侵的犯罪行为，对被入侵的计算机、网络设备与系统进行扫描，将入侵的全过程重组，并将其获取、保存、分析、出示，形成具有法律效力的电子证据。计算机取证在计算机和网络犯罪猖獗的今天有着至关重要的作用，它是法学和计算机科学的融合，通过在计算机上提取犯罪证据，以打击计算机和网络犯罪。二、蜜罐技术1、蜜罐的概念和发展历程“蜜罐”这一概念最初出现在1990年出版的一本小说《TheCuckoo'sEgg》中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。“蜜网项目组”(TheHoneynetProject)的创始人LanceSpitzner给出了对蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流人/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。2、 蜜罐的定义蜜罐(Honeypot)是一种专门设计成被扫描、攻击和入侵的网络资源。具体来说，蜜罐就是一个包含漏洞的系统，它可以模拟一个或多个易受攻击的主机，可以包含一些不威胁系统安全的数据以引诱攻击者。由于它没被授权任何行为，没有任何产品价值，因此，所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐作为一种安全资源，其价值就在于被探测、被攻击或攻陷，尔后对这些攻击活动进行监视、检测和分析。设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。3、 蜜罐的类型世界上不会有非常全面的事物，蜜罐也一样。根据管理员的需要，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，而不是盲目设置来无聊的，因此，就产生了多种多样的蜜罐。实系统蜜罐实系统蜜罐是最真实的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是最初的，没有任何$?补丁，或者打了低版本、？补丁，根据管理员需要，也可能补上了一些漏洞，只要值得研究的漏洞还存在即可。然后把蜜罐连接上网络，根据目前的网络扫描频繁度来看，这样的蜜罐很快就能吸引到目标并接受攻击，系统运行着的记录程序会记下入侵者的一举一动，但同时它也是最危险的，因为入侵者每一个入侵都会引起系统真实的反应，例如被溢出、渗透、夺取权限等。伪系统蜜罐什么叫伪系统呢?不要误解成“假的系统”，它也是建立在真实系统基础上的，但是它最大的特点就是“平台与漏洞非对称性”。大家应该都知道，世界上操作系统不是只有Windows一家而已，在这个领域，还有Linux、Unix、OS2、BeOS等，它们的核心不同，因此会产生的漏洞缺陷也就不尽相同，简单的说，就是很少有能同时攻击几种系统的漏洞代码，也许你用LSASS溢出漏洞能拿到Windows的权限，但是用同样的手法去溢出Linux只能徒劳。根据这种特性，就产生了“伪系统蜜罐”，它利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”，入侵这样的“漏洞”，只能是在一个程序框架里打转，即使成功“渗透，也仍然是程序制造的梦境，也就是说系统本来就没有让这种漏洞成立的条件，谈何“渗透”？实现一个“伪系统”并不困难，Windows平台下的一些虚拟机程序、Linux自身的脚本功能加上第三方工具就能轻松实现，甚至在Linux/Unix下还能实时由管理员产生一些根本不存在的“漏洞”，让入侵者自以为得逞的在里面瞎忙。实现跟踪记录也很容易，只要在后台开着相应的记录程序即可。这种蜜罐的好处在于，它可以最大程度防止被入侵者破坏，也能模拟不存在的漏洞，甚至可以让一些Windows蠕虫攻击Linux,即只要你模拟出符合条件的Windows特征!但是它也存在坏处，因为一个聪明的入侵者只要经过几个回合就会识破伪装，另者，编写脚本不是很简便的事情，除非那个管理员很有耐心或者十分悠闲。4、 蜜罐的关键技术蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而，浏览数据、查明攻击者的实际行为也就容易多了。网络欺骗：是使入侵者相信信息系统存在有价值的、可利用的安全弱点。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功。数据的捕获技术：在攻击者入侵的同时，蜜罐系统将记录攻击者输入输出信息，键盘记录信息，屏幕信息，以及攻击者曾使用过的工具，并分析攻击者所要进行的下一步。端口重定向：是数据控制技术的一种，通过重定向器将网络各个子网中发现的恶意的或未授权的活动重定向到蜜罐中，以集中监控和捕获。从而控制攻击者出入蜜罐的活动，使其不会以蜜罐为跳板攻击和危害别的主机。攻击分析与特征提取：是对捕获的各种攻击数据进行融合、挖掘，分析黑客的工具、策略和动机，提取未知攻击的特征。攻击(入侵)报警：是感知网络安全态势，分析系统的漏洞，在攻击发生前采取相应的防御措施，发现攻击时能自动报警，为系统管理员提供实时信息。5、 蜜罐技术优缺点蜜罐技术的优点包括：收集数据的保真度，由于蜜罐不提供任何实际的作用，因此其收集到的数据很少，同时收集到的数据很大可能就是由于黑客攻击造成的，蜜罐不依赖于任何复杂的检测技术等，因此减少了漏报率和误报率。使用蜜罐技术能够收集到新的攻击工具和攻击方法，而不像目前的大部分人侵检测系统只能根据特征匹配的方法检测到已知的攻击。蜜罐技术不需要强大的资源支持，可以使用一些低成本的设备构建蜜罐，不需要大量的资金投人。相对人侵检测等其他技术，蜜罐技术比较简单，使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。蜜罐技术也存在着一些缺陷，主要有：需要较多的时间和精力投人。蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限，不像人侵检测系统能够通过旁路侦听等技术对整个网络进行监控。(3)蜜罐技术不能直接防护有漏洞的信息系统。(4)部署蜜罐会带来一定的安全风险。6、 常用的蜜罐技术工具DTK:DTK是一项针对互联网普通用户的源代码开放的蜜罐技术软件，由C语言和Perl脚本语言编写而成，该工具软件可以从网上免费下载。Honeyd:Honeyd是由Google公司研发的源代码开放的蜜罐技术软件，Honeyd是运行在UNIX下的软件，可以在网络上模拟主机的后台程序。该工具软件也可以从网上免费下载。VMware:VMware是一种可以让你在同一时刻运行多种操作系统的虚拟软件。VMware是通过在电脑上安装虚拟软件来工作的。此虚拟软件允许你在同一时刻启动和运行多个操作系统。IPTables:IPTables是一种灵活性相当高的正式的防火墙，有连接限制，网络地址转换，日志记录的功能，和许多其他的特性。我们把IPTables配置成我们HostOS上的过滤器，计算流出网络的数据报。一旦对向外的连接到达了限制的数量，之后所有的连接尝试都会被阻止，保证被人侵的honeypot不会对其他系统造成损害。Snort:Snort是一种开放源代码的IDS产品，我们可以用它来捕获所有的网络活动，对已知的具有攻击特征的信息发出警告。Snort有三种主要模式:信息包嗅探器、信息包记录器或成熟的侵人探测系统。三、蜜罐技术的使用1、 利用蜜罐取证的一般原则利用蜜罐进行取证分析时，一般遵循如下原则和步骤：（1） 确定攻击的方法、日期和时间（假设IDS的时钟和NTP参考时间源同步）；（2） 尽可能多的确定有关入侵者的信息；（3） 列出所有入侵者添加或修改的文件，并对这些程序（包括未编译或未重组部分，因为这些部分可能对确定函数在此时间中的作用和角色有帮助）进行分析，并回答如下问题：程序是否安装了嗅探器或密码，如果是，那么哪些文件与之相关，这些文件位于何处？是否有“rootkit”或者其他特洛伊木马程序安装在系统中，如果有，安装了什么操作系统程序，进行什么操作可能会把这些程序传播出去？系统中所发现的程序的来源是否公开？（4） 建立一条时间时间线，对系统行为进行详细分析，注意支撑或确认证据的来源（可以考虑与系统其他地方或与具有相似配置的“干净”系统相比较）；（5） 给出适合管理层面或新闻媒体需要的报告（包括入侵的常规方面而不必包括特殊的确定性数据）；（6） 对事故进行费用估计；（7）最后提交报告应（包含 index.txttimestnmp.txtcosts.txtevidence.txtsummary.txtadvisory.txtfiles.tar）。2、 工作中使用蜜罐的意义首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被人侵破坏，但是本质却完全不同，蜜罐是技术人员经过周密布置而设下的”黑匣子”，看似漏洞百出却尽在掌握之中，它收集的人侵数据十分有价值;而后者，根本就是送给人侵者的礼物，即使被人侵也不一定查得到痕迹.因此，蜜罐的定义是:蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。我们可以利用它来专门吸引并诱骗那些试图非法闯人他人计算机系统的人（如电脑黑客）还有捕获网络上流行的病毒，由于蜜罐并没有向外界提供真正有价值的服务，因此所有对蜜罐的尝试都被视为可疑的。简单点一说:蜜罐就是诱捕攻击者和病毒的一个陷阱。蜜罐的另一个用途是就是蜜罐是很好的情报收集系统，我们可以通过蜜罐收集大量的网络有害信息（比如:淫秽色情信息、反动信息等），这使得我们能更好的监督控制计算机网络，有利于我们及时发现和控制网上动态，避免网络中重大、恶性事件的发生。3、 蜜罐的理论使用3.1迷惑入侵者，保护服务器一般的客户/服务器模式里，浏览者是直接与网站服务器连接的，换句话说，整个网站服务器都暴露在入侵者面前，如果服务器安全措施不够，那么整个网站数据都有可能被入侵者轻易毁灭。但是如果在客户/服务器模式里嵌入蜜罐，让蜜罐作为服务器角色，真正的网站服务器作为一个内部网络在蜜罐上做网络端口映射，这样可以把网站的安全系数提高，入侵者即使渗透了位于外部的“服务器”，他也得不到任何有价值的资料，因为他入侵的是蜜罐而已。虽然入侵者可以在蜜罐的基础上跳进内部网络，但那要比直接攻下一台外部服务器复杂得多，许多水平不足的入侵者只能望而却步。蜜罐也许会被破坏，可是不要忘记了，蜜罐本来就是被破坏的角色。在这种用途上，蜜罐不能再设计得漏洞百出了。蜜罐既然成了内部服务器的保护层，就必须要求它自身足够坚固，否则，整个网站都要拱手送人了。3.2抵御入侵者，加固服务器入侵与防范一直都是热点问题，而在其间插入一个蜜罐环节将会使防范变得有趣，这台蜜罐被设置得与内部网络服务器一样，当一个入侵者费尽力气入侵了这台蜜罐的时候，管理员已经收集到足够的攻击数据来加固真实的服务器。采用这个策略去布置蜜罐，需要管理员配合监视，否则入侵者攻破了第一台，就有第二台接着承受攻击了……3.3诱捕网络罪犯这是一个相当有趣的应用，当管理员发现一个普通的客户/服务器模式网站服务器已经牺牲成肉鸡的时候，如果技术能力允许，管理员会迅速修复服务器。那么下次呢?既然入侵者已经确信自己把该服务器做成了肉鸡，他下次必然还会来查看战果，难道就这样任由他放肆?一些企业的管理员不会罢休，他们会设置一个蜜罐模拟出已经被入侵的状态，做起了姜太公。同样，一些企业为了查找恶意入侵者，也会故意设置一些有不明显漏洞的蜜罐，让入侵者在不起疑心的情况下乖乖被记录下一切行动证据，有些人把此戏称为“监狱机”，通过与电信局的配合，可以轻易揪出IP源头的那双黑手。4、蜜罐的实际使用：4.1利用蜜罐和网络蠕虫作斗争首先，让我们先在认识一下网络蠕虫，蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等等!在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪!蜜罐技术对于对付蠕虫是非常有用的，特别是可以捕获和分析它们。我们可以设置一台受害主机（受害主机可以是安装着原始的操作系统和一些适当的服务，也可以通VMWare来安装许多个操作系统，来迷惑蠕虫进行攻击.）为蜜罐，这样他就有被蠕虫人侵的可能性。我们将蜜罐放置在网络上等待被感染，蠕虫就会像蜜蜂发现蜂蜜一样自投罗网，我们只须等待蜜罐被感染后就可以顺利捕获蠕虫。4.2利用蜜罐和网络黑客作斗争蜜罐可以作为一个设计用来观测黑客如何探测并最终人侵系统的一个系统，它意味着包含一些并不会构成威胁的机密数据或应用程序同时对于黑客来说又具有很大的诱惑力的这样的一个系统，也就是放置在你网络上的一台计算机表面看来象一台普通的机器但同时通过一些特殊配置来引诱潜在的黑客并捕获他们的踪迹，就像捕鼠器一样。我们不仅可以使用它来获取黑客留下的蛛丝马迹顺藤摸瓜定位并抓到黑客，也为我们抓获黑客提供了强而有力的证据，而且还可以知道他们在并不知道自己被观测的情况下如何工作，黑客呆在honeypot（蜜罐）中的时间越长，他们所使用的技术就暴露的越多，而这些信息可以被用来评估他们的技术水平，了解他们使用的攻击工具。蜜。通过学习他们使用的工具和思路，我们不仅可以更好掌握黑客流行的攻击方法和技术。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。这样我们就可以更有效的打击网络犯罪。4.3利用蜜罐收集情报网络已经成为了快速传播信息和通讯的最佳手段，现在有很多犯罪分子通过即使通讯工具或者是邮件传播反动、淫秽信息，甚至有很多小的黑客团体利用即使通讯工具进行联系组织活动。我们还可以用蜜罐对各种途径发现的网站、聊天室、论坛进行监控，使犯罪分子对我们的监控不会产生怀疑。这样我们就可以从网络上获取更多更有价值的情报。使我们想到前面，做到前面，变被动为主动，将被动的防御变为主动积极的防御。使我们在网络这个没有硝烟的战场上利于不败之地。4.4利用蜜罐作攻防演练蜜罐还可以作为我们的网络攻防对抗技术实验平台，可以提高我们实践动手能力以及加深对网络攻防对抗技术的理解，成为提高自身技术水平的重要工具。我们可以将学习到的黑