蜜罐技术详解与案例分析

1.引言伴随人类社会生活对Internet需求的日益增长，网络安全逐渐成为Internet及各项网络服务和应用深入发展的关键问题，尤其是1993年后来Internet开始商用化，通过Internet进行的多种电子商务业务日益增多，加之Internet/Intranet技术日趋成熟，诸多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为袭击者的目的。据美国商业杂志《信息周刊》公布的一项调查汇报称，黑客袭击和病毒等安全问题在导致了上万亿美元的经济损失，在全球范围内每数秒钟就发生一起网络袭击事件。夏天，对于运行着MicrosoftWindows的成千上万台主机来说简直就是场恶梦！也给广大网民留下了悲伤的回忆，这某些都归结于冲击波蠕虫的全世界范围的传播。2.蜜罐技术的发展背景网络与信息安全技术的关键问题是对计算机系统和网络进行有效的防护。网络安全防护波及面很广，从技术层面上讲重要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安全技术中，大多数技术都是在袭击者对网络进行袭击时对系统进行被动的防护。而蜜罐技术可以采用积极的方式。顾名思义，就是用特有的特性吸引袭击者，同步对袭击者的多种袭击行为进行分析并找到有效的对付措施。（在这里，也许要申明一下，刚刚也说了，“用特有的特性去吸引袭击者”，也许有人会认为你去吸引袭击者，这是不是一种自找麻烦呢，不过，我想，假如袭击者不对你进行袭击的话，你又怎么能吸引他呢？换一种说话，也许就叫诱敌深入了）。3.蜜罐的概念在这里，我们首先就提出蜜罐的概念。美国L．Spizner是一种著名的蜜罐技术专家。他曾对蜜罐做了这样的一种定义：蜜罐是一种资源，它的价值是被袭击或攻陷。这就意味着蜜罐是用来被探测、被袭击甚至最终被攻陷的，蜜罐不会修补任何东西，这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计算机网络安全，不过它却是其他安全方略所不可替代的一种积极防御技术。详细的来讲，蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录，可以网络安全专家通过精心的伪装，使得袭击者在进入到目的系统后仍不懂得自己所有的行为已经处在系统的监视下。为了吸引袭击者，一般在蜜罐系统上留下某些安全后门以吸引袭击者上钩，或者放置某些网络袭击者但愿得到的敏感信息，当然这些信息都是虚假的信息。此外某些蜜罐系统对袭击者的聊天内容进行记录，管理员通过研究和分析这些记录，可以得到袭击者采用的袭击工具、袭击手段、袭击目的和袭击水平等信息，还能对袭击者的活动范围以及下一种袭击目的进行理解。同步在某种程度上，这些信息将会成为对袭击者进行起诉的证据。不过，它仅仅是一种对其他系统和应用的仿真，可以创立一种监禁环境将袭击者困在其中，还可以是一种原则的产品系统。无论使用者怎样建立和使用蜜罐，只有它受到袭击,它的作用才能发挥出来。4.蜜罐的详细分类和体现的安全价值自从计算机初次互连以来，研究人员和安全专家就一直使用着多种各样的蜜罐工具，根据不一样的原则可以对蜜罐技术进行不一样的分类，前面已经提到，使用蜜罐技术是基于安全价值上的考虑。不过，可以肯定的就是，蜜罐技术并不会替代其他安全工具，例如防火墙、系统侦听等。这里我也就安全面的价值来对蜜罐技术进行探讨。★根据设计的最终目的不一样我们可以将蜜罐分为产品型蜜罐和研究型蜜罐两类。①产品型蜜罐一般运用于商业组织的网络中。它的目的是减轻组织将受到的袭击的威胁，蜜罐加强了受保护组织的安全措施。他们所做的工作就是检测并且对付恶意的袭击者。⑴此类蜜罐在防护中所做的奉献很少，蜜罐不会将那些试图袭击的入侵者拒之门外，由于蜜罐设计的初衷就是妥协，因此它不会将入侵者拒绝在系统之外，实际上，蜜罐是但愿有人闯入系统，从而进行各项记录和分析工作。⑵虽然蜜罐的防护功能很弱，不过它却具有很强的检测功能，对于许多组织而言，想要从大量的系统日志中检测出可疑的行为是非常困难的。虽然，有入侵检测系统（IDS）的存在，不过，IDS发生的误报和漏报，让系统管理员疲于处理多种警告和误报。而蜜罐的作用体目前误报率远远低于大部分IDS工具，也务须当心特性数据库的更新和检测引擎的修改。由于蜜罐没有任何有效行为，从原理上来讲，任何连接到蜜罐的连接都应当是侦听、扫描或者袭击的一种，这样就可以极大的减低误报率和漏报率，从而简化检测的过程。从某种意义上来讲，蜜罐已经成为一种越来越复杂的安全检测工具了。⑶假如组织内的系统已经被入侵的话，那些发生事故的系统不能进行脱机工作，这样的话，将导致系统所提供的所有产品服务都将被停止，同步，系统管理员也不能进行合适的鉴定和分析，而蜜罐可以对入侵进行响应，它提供了一种具有低数据污染的系统和牺牲系统可以随时进行脱机工作。此时，系统管理员将可以对脱机的系统进行分析，并且把分析的成果和经验运用于后来的系统中。②研究型蜜罐专门以研究和获取袭击信息为目的而设计。此类蜜罐并没有增强特定组织的安全性，恰恰相反，蜜罐要做的是让研究组织面对各类网络威胁，并寻找可以对付这些威胁更好的方式，它们所要进行的工作就是搜集恶意袭击者的信息。它一般运用于军队，安全研究组织。★根据蜜罐与袭击者之间进行的交互，可以分为3类：低交互蜜罐，中交互蜜罐和高交互蜜罐，同步这也体现了蜜罐发展的3个过程。①低交互蜜罐最大的特点是模拟。蜜罐为袭击者展示的所有袭击弱点和袭击对象都不是真正的产品系统，而是对多种系统及其提供的服务的模拟。由于它的服务都是模拟的行为，因此蜜罐可以获得的信息非常有限，只能对袭击者进行简朴的应答，它是最安全的蜜罐类型。②中交互是对真正的操作系统的多种行为的模拟，它提供了更多的交互信息，同步也可以从袭击者的行为中获得更多的信息。在这个模拟行为的系统中，蜜罐可以看起来和一种真正的操作系统没有区别。它们是真正系统还要诱人的袭击目的。③高交互蜜罐具有一种真实的操作系统，它的长处体目前对袭击者提供真实的系统，当袭击者获得ROOT权限后，受系统，数据真实性的困惑，他的更多活动和行为将被记录下来。缺陷是被入侵的也许性很高，假如整个高蜜罐被入侵，那么它就会成为袭击者下一步袭击的跳板。目前在国内外的重要蜜罐产品有DTK，空系统，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREATARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四种。5.蜜罐的配置模式①诱骗服务（deceptionservice）诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对多种网络祈求进行应答的应用程序。DTK就是这样的一种服务性产品。DTK吸引袭击者的诡计就是可执行性，不过它与袭击者进行交互的方式是模仿那些具有可袭击弱点的系统进行的，因此可以产生的应答非常有限。在这个过程中对所有的行为进行记录，同步提供较为合理的应答，并给闯入系统的袭击者带来系统并不安全的错觉。例如，当我们将诱骗服务配置为FTP服务的模式。当袭击者连接到TCP/21端口的时候，就会收到一种由蜜罐发出的FTP的标识。假如袭击者认为诱骗服务就是他要袭击的FTP，他就会采用袭击FTP服务的方式进入系统。这样，系统管理员便可以记录袭击的细节。②弱化系统（weakenedsystem）只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者RedHatLinux即行。这样的特点是袭击者愈加轻易进入系统，系统可以搜集有效的袭击数据。由于黑客也许会设陷阱，以获取计算机的日志和审查功能，需要运行其他额外记录系统，实现对日志记录的异地存储和备份。它的缺陷是“高维护低收益”。由于，获取已知的袭击行为是毫无意义的。③强化系统（hardenedsystem）强化系统同弱化系统同样，提供一种真实的环境。不过此时的系统已经武装成看似足够安全的。当袭击者闯入时，蜜罐就开始搜集信息，它能在最短的时间内搜集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。假如袭击者具有更高的技术，那么，他很也许取代管理员对系统的控制，从而对其他系统进行袭击。④顾客模式服务器（usermodeserver）顾客模式服务器实际上是一种顾客进程，它运行在主机上，并且模拟成一种真实的服务器。在真实主机中，每个应用程序都当作一种具有独立IP地址的操作系统和服务的特定是实例。而顾客模式服务器这样一种进程就嵌套在主机操作系统的应用程序空间中，当INTERNET顾客向顾客模式服务器的IP地址发送祈求，主机将接受祈求并且转发到顾客模式服务器上。（我们用这样一种图形来表达一下他们之间的关系）：这种模式的成功与否取决于袭击者的进入程度和受骗程度。它的长处体目前系统管理员对顾客主机有绝对的控制权。虽然蜜罐被攻陷，由于顾客模式服务器是一种顾客进程，那么Administrator只要关闭该进程就可以了。此外就是可以将FIREWALL,IDS集中于同一台服务器上。当然，其局限性是不合用于所有的操作系统。6.蜜罐的信息搜集当我们察觉到袭击者已经进入蜜罐的时候，接下来的任务就是数据的搜集了。数据搜集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包，就可以对黑客的所作所为一清二楚。蜜罐自身上面的日志文献也是很好的数据来源。但日志文献很轻易被袭击者删除，因此一般的措施就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。（务必同步监控日志服务器。假如袭击者用新手法闯入了服务器，那么蜜罐无疑会证明其价值。）近年来，由于黑帽子群体越来越多地使用加密技术，数据搜集任务的难度大大增强。如今，他们接受了众多计算机安全专业人士的提议，改而采用SSH等密码协议，保证网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修改目的计算机的操作系统，以便所有敲入的字符、传播的文献及其他信息都记录到另一种监控系统的日志里面。由于袭击者也许会发现此类日志，蜜网计划采用了一种隐蔽技术。譬如说，把敲入字符隐藏到NetBIOS广播数据包里面。7.蜜罐的实际例子下面我们以Redhatlinux9.0为平台，做一种简朴的蜜罐陷阱的配置。我们懂得，黑客一旦获得root口令，就会以root身份登录，这一登录过程就是黑客入侵的必经之路。其二，黑客也也许先以一般顾客身份登录，然后用su命令转换成root身份，这又是一条必经之路。我们讨论怎样在如下状况下设置陷阱：(1)当黑客以root身份登录时；(2)当黑客用su命令转换成root身份时；(3)当黑客以root身份成功登录后一段时间内；第一种状况的陷阱设置一般状况下，只要顾客输入的顾客名和口令对的，就能顺利进入系统。假如我们在进入系统时设置了陷阱，并使黑客对此防不胜防，就会大大提高入侵的难度系数。例如，当黑客已获取对的的root口令，并以root身份登录时，我们在此设置一种迷魂阵，提醒它，你输入的口令错误，并让它重输顾客名和口令。而其实，这些提醒都是虚假的，只要在某处输入一种密码就可通过。黑客因此就掉入这个陷阱，不停地输入root顾客名和口令，却不停地得到口令错误的提醒，从而使它怀疑所获口令的对的性，放弃入侵的企图。给超级顾客也就是root顾客设置陷阱，并不会给系统带来太多的麻烦，由于，拥有root口令的人数不会太多，为了系统的安全，稍微增长一点复杂性也是值得的。这种陷阱的设置时很以便的，我们只要在root顾客的.profile中加一段程序就可以了。我们完全可以在这段程序中触发其他入侵检测与预警控制程序。陷阱程序如下：#root.profileClearEcho“Youhadinputanerrorpassword,pleaseinputagain!”EchoEcho–n“Login:”ReadpIf(“$p”=“123456”)thenClearElseExit第二种状况的陷阱设置在诸多状况下，黑客会通过su命令转换成root身份，因此，必须在此设置陷阱。当黑客使用su命令，并输入对的的root口令时，也应当报错，以此来困惑它，使它误认为口令错误，从而放弃入侵企图。这种陷阱的设置也很简朴，你可以在系统的/etc/profile文献中设置一种alias，把su命令重新定义成转到一般顾客的状况就可以了，例如aliassu=”suuser1”。这样，当使用su时，系统判断的是user1的口令，而不是root的口令，当然不能匹配。虽然输入suroot也是错误的，也就是说，从此屏蔽了转向root顾客的也许性。第三种状况的陷阱设置假如前两种设置都失效了，黑客已经成功登录，就必须启用登录成功的陷阱。一旦root顾客登录，就可以启动一种计时器，正常的root登录就能停止计时，而非法入侵者因不懂得何处有计时器，就无法停止计时，等到一种规定的时间到，就意味着有黑客入侵，需要触发必要的控制程序，如关机处理等，以免导致损害，等待系统管理员进行善后处理。陷阱程序如下：#.testfiletimes=0while[$times–le30]dosleep1times=$[times+1]donehalt/*30秒时间到，触发入侵检测与预警控制*/将该程序放入root.bashrc中后台执行：#root.bashrc….Sh.testfile&该程序不能用Ctrl-C终止，系统管理员可用jobs命令检查到，然后用kill%n将它停止。从上述三种陷阱的设置，我们可以看到一种一般的规律：变化正常的运行状态，设置虚假信息，使入侵者落入陷阱，从而触发入侵检测与预警控制程序。8.关键技术设计自蜜罐概念诞生之日起，有关技术一直在长足的发展。到今天为止，蜜罐技术应用的最高度应当说是Honeynet技术的实现。9.总结任何事物的存在都会有利弊，蜜罐技术的发展也是伴伴随多种不一样的观点而不停的成长的。蜜罐技术是通过诱导让黑客们误入歧途，消耗他们的精力，为我们加强防备赢得时间。通过蜜网让我们在受袭击的同步懂得谁在使坏，目的是什么。同步也检查我们的安全方略与否对的，防线与否牢固，蜜罐的引入使我们与黑客之间同处在互相斗智的平台counter-intelligence,而不是到处遭到黑枪的被动地位。我们的网络并不安全，IDS，FIREWALL，Encryption技术均有其缺陷性，我们期待它们与蜜罐的完美结合，那将是对网络安全的最佳礼品。我们完全相信，蜜罐技术必将在网络安全中发挥出极其重要的作用，一场世界上声势浩大的蜜罐技术行动必将到来黄河科技大学校园网中蜜罐技术的研究.com期刊门户-中国期刊网-12-16来源:《中小企业管理与科技》供稿文/蔡丽虹1张韧志2[导读]摘要：以往校园网中一直使用老式蜜罐。老式蜜罐确实有着不少的长处，例如搜集数据的保真度，不依赖于任何复杂的检测技术等。然而伴随应用的广泛，老式蜜罐的缺陷也开始显现了出来。取而代之的是由一组高交互用来获取广泛威胁信息的蜜罐构成的蜜网。本文针对蜜网中蜜罐所面临的挑战：捕捉工具隐藏、加密会话数据的捕捉、数据传播隐蔽通道，给出了详细的处理方案，从而更好地处理了我校校园网的安全问题。摘要：以往校园网中一直使用老式蜜罐。老式蜜罐确实有着不少的长处，例如搜集数据的保真度，不依赖于任何复杂的检测技术等。然而伴随应用的广泛，老式蜜罐的缺陷也开始显现了出来。取而代之的是由一组高交互用来获取广泛威胁信息的蜜罐构成的蜜网。本文针对蜜网中蜜罐所面临的挑战：捕捉工具隐藏、加密会话数据的捕捉、数据传播隐蔽通道，给出了详细的处理方案，从而更好地处理了我校校园网的安全问题。

关键词：蜜罐Linux模块隐藏加密会话捕捉隐蔽通道

１引言

蜜罐是一种安全资源，其价值在于被扫描、袭击和攻陷。老式蜜罐有着不少的长处，例如搜集数据的保真度，蜜罐不依赖于任何复杂的检测技术等，因此减少了漏报率和误报率。使用蜜罐技术可以搜集到新的袭击工具和袭击措施，而不像目前的大部分入侵检测系统只能根据特性匹配的措施检测到已知的袭击。不过伴随应用的广泛，老式蜜罐的缺陷也开始暴露了出来，综合起来重要有3个方面：（1）蜜罐技术只能对针对蜜罐的袭击行为进行监视和分析，其视图不像入侵检测系统可以通过旁路侦听等技术对整个网络进行监控。（2）蜜罐技术不能直接防护有漏洞的信息系统并有也许被袭击者运用带来一定的安全风险。（3）袭击者的活动在加密通道上进行（IPSec，SSH，SSL，等等）增多，数据捕捉后需要花费时间破译，这给分析袭击行为增长了困难。

针对以上问题出现了蜜网技术。蜜网技术实质上是一类研究型的高交互蜜罐技术，与老式蜜罐技术的差异在于，蜜网构成了一种黑客诱捕网络体系架构，在这个架构中，可以包括一种或多种蜜罐，同步保证了网络的高度可控性，以及提供多种工具以以便对袭击信息的采集和分析。

2蜜网中蜜罐所面临的挑战

蜜网是一种体系构造，成功地布署一种蜜网环境，这里有两个严格的需求，这也是针对老式蜜罐的缺陷而提出来的。这两个需求是：数据控制和数据捕捉。数据控制就是限制袭击者活动的机制，它可以减少安全风险。数据捕捉就是监控和记录所有袭击者在蜜网内部的活动，包括记录加密会话中击键，恢复使用SCP拷贝的文献，捕捉远程系统被记录的口令，恢复使用保护的二进制程序的口令等。这些捕捉的数据将会被用于分析，从中学习黑客界组员们使用的工具、方略以及他们的动机。这正是蜜罐所要做的工作。

3处理方案

3.1捕捉工具隐藏

3.1.1隐藏模块。捕捉数据的工具是以模块化的机制在Linux系统启动后动态地加载到内核成为内核的一部分进行工作的。当捕捉程序的模块被加载到内核时，一种记载已加载模块信息的安装模块链表里面就记录下已加载模块的信息，顾客可以通过内存里动态生成的proc文献系统下的module文献来查看到。当特权顾客root调用/sbin/insmod命令加载模块时会有一种系统调用sys_create_module，这个函数在Linux2.4的源代码中位于kernel/module.c。它会将具有新加载的模块信息的数据构造structmodule插入到名为moudle_list的模块链表中去。

当一种模块加载时，它被插入到一种单向链表的表头。黑客们在攻入蜜罐系统后，可以根据以上存在的漏洞，找出他们认为是可疑的蜜罐捕捉模块并从内核卸载模块，这样蜜罐也就失去了它的功能。为了到达隐藏模块的目的就必须在加载模块后，将指向该模块的链表指针删除，这样通过遍历表查找时就再也无法找到该模块了。

3.1.2进程隐藏。进程是一种随执行过程不停变化的实体。在Linux系统运行任何一种命令或程序系统时都会建立起至少一种进程来执行。这样蜜罐捕捉程序必然会在系统中运行多种进程，运用类似于ps这样查询进程信息的命令便可以得到所有的进程信息，这样很轻易就会暴露蜜罐的存在。由于在Linux中不存在直接查询进程信息的系统调用，类似于ps这样查询进程信息的命令是通过查询proc文献系统来实现的。proc文献系统是一种虚拟的文献系统，它通过文献系统的接口实现，用于输出系统运行状态。它以文献系统的形式，为操作系统自身和应用进程之间的通信提供了一种界面，使应用程序可以安全、以便地获得系统目前的运行状况以及内核的内部数据信息，并可以修改某些系统的配置信息。由于proc以文献系统的接口实现，因此可以象访问一般文献同样访问它，但它只存在于内存之中，因此可以用隐藏文献的措施来隐藏proc文献系统中的文献，以到达隐藏进程的目的。

判断文献与否属于proc文献系统是根据它只存在于内存之中，不存在于任何实际设备之上这一特点，因此Linux内核分派给它一种特定的主设备号0以及一种特定的次设备号1，除此之外在外存上没有与之对应的i节点，因此系统也分派给它一种特殊的节点号PROC_ROOT_INO（值为1），而设备上的1号索引节点是保留不用的。这样可以得出判断一种文献与否属于proc文献系统的措施。(1)得到该文献对应的inode构造d_inode；(2)if(d_inode->i_ino==PROC_ROOT_INO.&&!MAJO(d_inode->i_dev)&；MINOR(d_inode->i_dev)==1){该文献属于proc文献系统}。

3.2捕捉加密会话数据

为了观测入侵者使用加密的会话，就必须找到破解加密会话的措施，不过许多组织已经证明这是非常困难的。强攻不行就只能智取，加密的信息假如要使用就肯定会在某些地方不是被加密的，绕过加密进程就可以捕捉未加密的数据。这是解密工作的基本机制，然后获得访问未保护的数据。使用二进制木马程序是对付加密的一种措施。当入侵者攻破蜜罐，他也许会使用如SSH的加密工具来登陆被攻陷的主机，登陆的时候肯定要输入命令，这时木马shell程序会记录他们的动作。不过二进制木马程序隐蔽性不高，并且入侵者也许会安装他们自己的二进制程序。

从操作系统内核访问数据将是一种很好的捕捉措施。不管入侵者使用什么二进制程序，都可以从内核捕捉数据并且可以记录它们的行为。并且，由于顾客空间和内核空间是分开的，因此在技术上还可以实现对所有包括root在内的顾客隐藏自己的动作。图中左边的数据捕捉机制阐明了其工作的原理。

数据捕捉是由内核模块来完毕的，因此要使用这个模块获得蜜罐机操作系统内核空间的访问，从而捕捉所有read()和write()的数据。捕捉模块通过替代系统调用表的read()和write()函数来实现这个功能，这个替代的新函数只是简朴的调用老read()和write()函数，并且把内容拷贝到一种数据包缓存。

3.3数据传播隐蔽通道的建立

当蜜罐捕捉到数据后，那么它需要在入侵者没有察觉的状况下把数据发送到蜜网网关服务端。蜜罐一般都是布置在局域网内，假如捕捉模块只是简朴使用UDP流来给服务端发送数据，入侵者只需监听网络上的数据传播就可以判断与否有蜜罐系统的存在了。不过捕捉模块还是可以使用UDP来给服务端发送数据，只不过它需要修改内核使顾客无法看到这些数据包，包括其他主机发送的该类型使用相似配置的数据包。当捕捉模块把这些数据发送到网络的时候，操作系统也无法制止这些数据包的传播。

假如一种局域网上每个蜜罐安装了按照以上措施改善后的数据捕捉模块，入侵者将不能发现任何捕捉模块的数据，然而服务端可以完全访问这些由蜜罐客户端捕捉的数据。每个read()或write()调用祈求都会产生一种或多种日志数据包，每个数据包都包括了一点有关这个调用内容的信息和这个调用访问的数据。每个包还包括了一种记录，这个记录包括某些产生调用的进程描述、调用产生的时间和记录数据的大小。这些包完全由捕捉模块产生，而不是使用TCP/IP协议栈来产生或发送数据包，因此系统无法看到或阻断这些数据包。当数据包创