蜜罐与蜜网技术分析

第三篇网络防护篇第11章安全扫描技术的原理与应用第12章操作系统安全防范第13章密码及认证技术第14章防火墙的技术原理与应用第15章入侵检测技术的原理与应用第16章蜜罐与蜜网技术第17章数据备份与灾难恢复技术第18章网络安全综合防范平台第16章蜜罐与蜜网技术新兴的蜜罐技术，基于主动防御理论而提出，日益受到网络安全领域重视。蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵，进而了解攻击思路、攻击工具和攻击目的等行为信息，特别是对各种未知攻击行为信息的学习。蜜网作为蜜罐技术的高级学习工具，不同于蜜罐技术的低级形式单机蜜罐，一般是由防火墙、路由器、入侵检测系统以及一台或多台蜜罐主机组成的网络系统。第16章蜜罐与蜜网技术16.1概述16.2蜜罐技术16.3蜜网工程16.4常见的网络诱骗工具及产品16.5实验：Honeyd的安装和配置16.1概述网络诱骗技术是一种欺骗黑客攻击的技术,它用来吸引攻击者,使他们进入受控环境中,使用各种监控技术来捕获攻击者的行为,网络诱骗技术的核心是强大的网络和系统活动的监视能力,以及监视机制的隐蔽性,这是记录黑客攻击活动的根本条件。目前,对于网络诱骗的研究有两个大类。一类是蜜罐(honeypot)技术,一类是蜜网(honeynet)工程。蜜罐(honeypot)技术。国际上的一些安全组织首先研究蜜罐(honeypot)技术。在一般情况下,honeypot模拟某些常见的漏洞,模拟其它操作系统的特征或者在某个系统上做了一些设置,使其成为一台“牢笼”主机,来诱骗入侵者,目的是增加黑客攻击系统所花的开销,使攻击者劳而无功,从而降低黑客攻击系统的兴趣,减少重要系统被攻击的危险。16.1概述蜜网(honeynet)工程。Honeynet工程建立在一个真实的网络和主机环境,所有系统都是标准的机器,在这些系统之上运行的是真实完整的操作系统及应用程序,没有刻意地模拟某种环境或者故意地使系统不安全,这样可使建立的网络环境看上去会更加真实可信,以增强其诱骗的效果。在该工程中,网络和系统都隐藏在防火墙后面，所有进出该网络的数据和网络诱骗主机上的行为都受到监视、捕获及控制。16.1概述16.2蜜罐技术“蜜罐”这一概念最初出现在1990年出版的一本小说《TheCuckoo’sEgg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。“蜜网项目组”(TheHoneynetProject)的创始人LanceSpitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷，而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。16.2蜜罐技术16.2.1蜜罐的发展历程16.2.2蜜罐的分类16.2.3蜜罐的优缺点蜜罐技术的发展历程可以分为以下三个阶段。从九十年代初蜜罐概念的提出直到1998年左右，“蜜罐”还仅仅限于一种思想，通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。16.2.1蜜罐的发展历程从1998年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工具，如FredCohen所开发的DTK(欺骗工具包)、NielsProvos开发的Honeyd等,同时也出现了像KFSensor、Specter等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。16.2.1蜜罐的发展历程但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题，从2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。16.2.1蜜罐的发展历程蜜罐可以按照其部署目的分为1.产品型蜜罐2.研究型蜜罐16.2.2.蜜罐的分类产品型蜜罐的目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署,而且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTraq等一系列的商业产品。16.2.2.蜜罐的分类研究型蜜罐则是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐,对黑客攻击进行追踪和分析，能够捕获黑客的攻击记录；了解到黑客所使用的攻击工具及攻击方法；甚至能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作，具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术。16.2.2.蜜罐的分类蜜罐还可以按照其交互度的等级划分为1.低交互蜜罐2.高交互蜜罐交互度反应了黑客在蜜罐上进行攻击活动的自由度。16.2.2.蜜罐的分类低交互蜜罐一般仅仅模拟操作系统和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动较为有限,因此通过低交互蜜罐能够收集的信息也比较有限,同时由于低交互蜜罐通常是模拟的虚拟蜜罐,或多或少存在着一些容易被黑客所识别的指纹(Fingerprinting)信息。产品型蜜罐一般属于低交互蜜罐。16.2.2.蜜罐的分类高交互蜜罐则完全提供真实的操作系统和网络服务，没有任何的模拟。高交互蜜罐在提升黑客活动自由度的同时，自然地加大了部署和维护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐，也有部分蜜罐产品，如ManTrap,属于高交互蜜罐。16.2.2.蜜罐的分类蜜罐技术的优点包括:(1)收集数据的保真度,由于蜜罐不提供任何实际的作用,因此其收集到的数据很少,同时收集到的数据很大可能就是由于黑客攻击造成的,蜜罐不依赖于任何复杂的检测技术等,因此减少了漏报率和误报率。使用蜜罐技术能够收集到新的攻击工具和攻击方法,而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。16.2.3蜜罐的优缺点蜜罐技术的优点包括：(2)蜜罐技术不需要强大的资源支持,可以使用一些低成本的设备构建蜜罐,不需要大量的资金投入。16.2.3蜜罐的优缺点蜜罐技术的优点包括：(3)相对入侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。16.2.3蜜罐的优缺点蜜罐技术也存在着一些缺陷,主要有:(1)需要较多的时间和精力投入。蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限,不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。(2)蜜罐技术不能直接防护有漏洞的信息系统。16.2.3蜜罐的优缺点(3)部署蜜罐会带来一定的安全风险。部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为跳板从而对第三方发起攻击，一旦黑客识别出蜜罐后,他将可能通知黑客社团,从而避开蜜罐,甚至他会向蜜罐提供错误和虚假的数据,从而误导安全防护和研究人员。防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹,并使得蜜罐与真实的漏洞主机毫无差异。16.2.3蜜罐的优缺点16.3蜜网工程蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又可成为诱捕网络。其主要目的是收集黑客的攻击信息，但与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中,我们可以包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具以方便对攻击信息的采集和分析。16.3蜜网工程16.3.1蜜网项目组16.3.2第二代蜜网方案“蜜网项目组”是一个非赢利性的研究组织，其目标为学习黑客社团所使用的工具、战术和动机，并将这些学习到的信息共享给安全防护人员。为了联合和协调各国的蜜网研究组织共同对黑客社团的攻击进行追踪和学习，2002年1月成立了“蜜网研究联盟”(HoneynetResearchAlliance)，到2002年12月为止,该联盟已经拥有了10个来自不同国家的研究组织。联盟目前的执行委员会主席为来自Sun公司的LanceSpitzner。16.3.1蜜网项目组“蜜网项目组”目前的规划分为四个阶段：第一个阶段即1999年－2001年,主要针对蜜网技术进行一些原理证明性(ProofofConcept)的实验,提出了第一代蜜网架构；第二阶段从2001年到2003年,对蜜网技术进行发展,并提出了第二代蜜网架构,开发了其中的关键工具－HoneyWall和Sebek；16.3.1蜜网项目组第三阶段从2003年到2004年，其任务着重于将所有相关的数据控制和数据捕获工具集成到一张自启动的光盘中，使得比较容易地部署第二代蜜网，并规范化所搜集到的攻击信息格式；第四阶段从2004年到2005年，主要目标为将各个部署的蜜网项目所采集到的黑客攻击信息汇总到一个中央管理系统中，并提供容易使用的人机交互界面，使得研究人员能够比较容易地分析黑客攻击信息，并从中获得一些价值。16.3.1蜜网项目组一个蜜网是由许多用来与攻击者进行交互的蜜罐组成的网络，其中的这些靶子（蜜网内的蜜罐）可以是你想提供的任何类型的系统，服务或是信息。此外，虚拟蜜网通过应用虚拟操作系统软件(如VMWare和UserModeLinux等)使得我们可以在单一的主机上实现整个蜜网的体系架构。16.3.2第二代蜜网方案虚拟蜜网的引入使得架设蜜网的代价大幅降低，也较容易部署和管理,但同时也带来了更大的风险，黑客有可能识别出虚拟操作系统软件的指纹，也可能攻破虚拟操作系统软件从而获得对整个虚拟蜜网的控制权。16.3.2第二代蜜网方案蜜网有着三大核心需求：1.数据控制；2.数据捕获；3.数据分析。通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全，以减轻蜜网架设的风险；数据捕获技术能够检测并审计黑客攻击的所有行为数据；而数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。16.3.2第二代蜜网方案目前“蜜网项目组”已经开发出较为完善的第二代蜜网架构，并以一张可启动光盘的形式提供部署和维护第二代蜜网所需的关键工具：HoneyWall和Sebek。以下结合“蜜网项目组”及其推出的第二代蜜网技术方案对蜜网的核心需求进行分析。16.3.2第二代蜜网方案第二代蜜网方案的整体架构如下图所示，其中最为关键的部件为称为HoneyWall的蜜网网关，包括三个网络接口，eth0接入外网，eth1连接蜜网,而eth2作为一个秘密通道，连接到一个监控网络。16.3.2第二代蜜网方案第二代蜜网体系架构16.3.2第二代蜜网方案HoneyWall是一个对黑客不可见的链路层桥接设备，作为蜜网与其他网络的唯一连接点，所有流入流出蜜网的网络流量都将通过HoneyWall，并受其控制和审计.同时由于HoneyWall是一个工作在链路层的桥接设备，不会对网络数据包进行TTL递减和网络路由，也不会提供本身的MAC地址，因此对黑客而言，HoneyWall是完全不可见的，因此黑客不会识别出其所攻击的网络是一个蜜网。16.3.2第二代蜜网方案HoneyWall实现了蜜网的第一大核心需求－数据控制，如下图所示，HoneyWall对流入的网络包不进行任何限制，使得黑客能攻入蜜网，但对黑客使用蜜网对外发起的跳板攻击进行严格控制，控制的方法包括攻击包抑制和对外连接数限制两种手段。16.3.2第二代蜜网方案HoneyWall的数据控制机制16.3.2第二代蜜网方案攻击包抑制主要针对使用少量连接即能奏效的已知攻击(如权限提升攻击等)，在HoneyWall中使用了snort_inline网络入侵防御系统(NIPS)作为攻击包抑制器，检测出从蜜网向外发出的含有的攻击特征的攻击数据