蜜罐主机和蜜罐网络

第15章蜜罐主机和蜜罐网络高等教育出版社本章要点

2.蜜罐的实现技术

1.蜜罐概述

3.蜜罐主机的部署

4.蜜罐网络网络攻防原理与实践高等教育出版社蜜罐的基本概念蜜罐是一种安全资源，它的价值就在于被扫描、攻击和攻陷，并对这些攻击活动进行监视、检测和分析。设计蜜罐的初衷是为吸引那些试图非法入侵他人计算机系统的人，借此收集证据，同时隐藏真实的服务器地址。蜜罐具有发现攻击、产生警告、记录攻击信息、欺骗、调查取证等功能。蜜罐最大的优势在于它能主动地检测和响应网络入侵和攻击，并且采集的信息价值高。网络攻防原理与实践高等教育出版社蜜罐的分类按价值体现分类欺骗型蜜罐纯粹的以欺骗性目的存在的蜜罐系统，通过伪装成攻击目标，从而转移攻击者的注意力，同时通过报警等各种附加机制对攻击进行响应。威慑型蜜罐对攻击者产生心理上的威吓及迷惑作用的蜜罐系统，其主要职责就是告诉攻击者自己是个蜜罐系统，这样可以形成一定的阻吓作用，减弱攻击者的攻击意图。网络攻防原理与实践高等教育出版社蜜罐的分类检测型蜜罐通过提高蜜罐系统的检测能力，用户不只可以通过蜜罐系统的活动情况判断攻击行为的发生，还可以更加广泛和细致的监测攻击活动。研究型蜜罐蜜罐系统可以提供一个非常强大的用于了解攻击者和安全威胁的机制。研究型蜜罐可以让使用者获悉很多未知的安全隐患和攻击方法，这可以做为一种预警机制来提前发现将要造成破坏的攻击行为。网络攻防原理与实践高等教育出版社蜜罐的分类按交互级别分类低交互度蜜罐一个低交互度的蜜罐很容易安装和部署，并只能对少量服务进行模拟。低交互度蜜罐的主要价值在于检测，具体说来就是对未授权扫描或者未授权连接尝试的检测。中交互度蜜罐中交互度的蜜罐能够预期一些活动，并且旨在可以给出一些低交互度蜜罐所无法给予的响应。网络攻防原理与实践高等教育出版社蜜罐的分类高交互度蜜罐高交互度的蜜罐可以提供大量关于攻击者的信息，目的是为攻击者提供对实际操作系统的访问权，在这种环境下没有任何东西是模拟的或者受限的。Honeynet蜜网不仅为攻击者提供了完整的操作系统进行攻击和交互，而且还提供了多个蜜罐。Honeynet的复杂性在于对往来于蜜罐的所有活动既进行控制又加以捕获的控制网络的构建。网络攻防原理与实践高等教育出版社蜜罐的优点数据价值蜜罐通常只会收集少量的数据，但这些数据却具有极高的价值。蜜罐能以一种快捷而易懂的格式提供所需的精确信息，简化了分析，提高了响应速度。资源蜜罐只会对少量活动进行捕获和监视，所以在它们身上通常不会发生资源枯竭问题。蜜罐只会捕获那些直接针对其本身的活动，因此系统并不会受到流量的震荡。网络攻防原理与实践高等教育出版社蜜罐的优点简捷性无需开发奇异的算法，无需维护签名数据库，不会出现错误配置的规则库。只要把蜜罐拿过来，放到组织中的某个地方，然后就可以静观其变了。投资回报蜜罐迅速且不断地展现着其自身的价值所在，它不仅可以用来证实其自身的价值，而且还包括对其他安全资源所做的投资。网络攻防原理与实践高等教育出版社蜜罐的缺点视野有限蜜罐只能看到何种活动是直接针对它们自身的，而漏掉周围的事件。指纹识别指纹识别指的是由于蜜罐具备一些特定的预期特征或者行为，因而能够被攻击者识别出其真实身份的情况。风险一旦一个蜜罐遭受了攻击，就可以被用于攻击、渗透，甚至危害其他的系统或者组织。网络攻防原理与实践高等教育出版社蜜罐的伪装采用真实系统作蜜罐，能提供黑客与系统的交互能力，伪装程度明显提高。还要对这些真实系统进行配置，最为逼真的配置办法是把一个修改过敏感信息的工作系统的内容直接拷贝到蜜罐上。目前蜜罐的主要网络欺骗技术有：模拟端口模拟系统漏洞和应用服务IP空间欺骗流量仿真网络动态配置组织信息欺骗网络服务蜜罐主机网络攻防原理与实践高等教育出版社信息的采集蜜罐系统需要隐蔽地采集尽量全面的黑客活动信息。对黑客在蜜罐上的活动，需要从系统级、网络级等多个层次进行记录，以完整认识黑客的活动。蜜罐依据收集和分析数据地点的不同将收集信息的方式进行分类：基于主机的信息收集基于网络的信息收集主动的信息收集网络攻防原理与实践高等教育出版社基于主机的信息收集记录数据流将攻击者的信息存放在一个安全的、远程的地方。以通过串行设备、并行设备、USB或Firewire技术和网络接口将连续数据存储到远程日志服务器。“Peeking”机制MD-5检验和检查：如果攻击者有一个和蜜罐对比的参照系统，就会计算所有标准的系统二进制文件的MD-5校验和来测试蜜罐。库的依赖性和进程相关性检查：即使攻击者不知道原始二进制系统的确切结构，仍然能应用特定程序观察共享库的依赖性和进程的相关性。网络攻防原理与实践高等教育出版社基于网络的信息收集基于网络的信息收集将收集机制设置在蜜罐之外，以一种不可见的方式运行。可以利用防火墙和入侵检测系统从网络上收集进出蜜罐的信息。防火墙可以配置防火墙记录所有的出入数据，供以后仔细地检查。入侵检测系统NIDS在网络中的放置方式使得它能够对网络中所有机器进行监控，可以用HIDS记录进出蜜罐的所有数据包，也可以配置NIDS只去捕获感兴趣的数据流。网络攻防原理与实践高等教育出版社主动的信息收集信息也可以主动获得，使用第三方的机器或服务甚至直接针对攻击者反探测如Whois，Portscan等。这种方式很危险，容易被攻击者察觉并离开蜜罐，而且不是蜜罐所研究的主要范畴。网络攻防原理与实践高等教育出版社风险控制在运行蜜罐时，将存在的风险分为三个方面：未发现黑客对蜜罐的接管蜜罐被黑客控制并接管是非常严重的，这样的蜜罐已毫无意义且充满危险。对蜜罐失去控制一个优秀的蜜罐应该可以随时安全地终止进出蜜罐的任何通信，随时备份系统状态以备以后分析。要做到即使蜜罐被完全攻陷，也仍在控制之中。对第三方的损害攻击者可能利用蜜罐去攻击第三方，如把蜜罐作为跳板攻击其他系统。网络攻防原理与实践高等教育出版社数据分析蜜罐系统一般要从网络、系统等多方面采集信息，任何单方面的数据都可能被黑客破坏，这些数据需要相互印证分析，以确定黑客的真实活动及其影响。从研究方法上讲，攻击分析和特征提取可以借鉴其他领域中处理数据信息的一些成熟的理论、方法和技术。

网络攻防原理与实践高等教育出版社蜜罐主机的部署根据所需要的服务，蜜罐主机既可以放置于互联网中，也可以放置在内联网中。如果你更加关心互联网，那么蜜罐主机可以放置在另外的地方：防火墙外面(Internet)DMZ(非军事区)防火墙后面(Intranet)网络攻防原理与实践高等教育出版社蜜罐主机的部署网络攻防原理与实践高等教育出版社防火墙前将蜜罐系统置于防火墙前的位置(1)，不用调整防火墙的设置，因为可以将防火墙外部的蜜罐系统看成是外部网络的一个机器。蜜罐会吸引像端口扫描等大量的攻击，而这些攻击不会被防火墙记录也不让内部IDS系统产生警告，只会由蜜罐本身来记录。内部局域网的攻击者无法定位蜜罐系统，是这个方案的最大弊端。网络攻防原理与实践高等教育出版社DMZ位置(2)，由于DMZ内其他系统和蜜罐系统一起被安全控制，是个较好的解决方案。蜜罐运行在自己的DMZ内，同时保证DMZ内的其他服务器是安全的，只提供所必需的服务，蜜罐通常会伪装尽可能多的服务。惟一的缺点就是增加了硬件要求。网络攻防原理与实践高等教育出版社防火墙后位置(3)，可能给内部网络引入新的安全威胁，特别是如果蜜罐和内部网络之间没有额外的防火墙保护。蜜罐系统通常都提供大量的伪装服务。将蜜罐系统置于防火墙后一个最大的原因就是能探测内部的攻击者。缺点是一旦蜜罐被外部攻击者攻陷就会危害整个内网。网络攻防原理与实践高等教育出版社蜜罐网络

蜜罐网络(Honeynet)简称蜜网，是一种研究型的高交互蜜罐技术，它与传统的蜜罐技术相比具有两大优势：首先，蜜网是一种高交互型的，用来获取广泛安全威胁信息的蜜罐。其次，蜜网是由多个蜜罐以及防火墙、入侵防御系统、系统行为记录、自动报警、辅助分析等一系列系统和工具所组成的，这种体系结构创建了一个高度可控的网络。网络攻防原理与实践高等教育出版社蜜罐网络蜜网体系结构具有三大关键需求：数据控制：对攻击者在蜜网中对第三方发起的攻击行为进行限制，以降低部署蜜网所带来的安全风险。数据捕获：监控和记录黑客在蜜网内的所有行为。数据分析：对捕获到的攻击数据进行整理和融合，从中分析出其中蕴涵的攻击工具、方法、技术和动机。虚拟蜜网是指在同一硬件平台上运行多个操作系统和多种网络服务的虚拟网络环境。网络攻防原理与实践高等教育出版社虚拟蜜网分类独立虚拟蜜网搭建在一台计算机上的一个完整的蜜网网络。网络内包括不定数量的虚拟蜜罐，数据控制和数据捕获也由这台机器来完成，一般是要使用软件防火墙和基于主机的入