使用蜜罐分析一种蠕虫病毒运行机制.pdfVIP

使用蜜罐分析一种蠕虫病毒的运行机制 孙海峰 宋丽丽 （西南科技大学计算机科学与技术学院绵阳 621010 ） 摘要：本文使用 VMWare 以弱化系统方式在宿主机配置高交互的蜜罐系统。配置过程包括 安装虚拟操作系统、系统补丁和杀毒程序、系统监视、数据包捕获软件等。利用该系统捕获 了一种网络病毒，通过对捕获到的蠕虫病毒的攻击过程的记录和分析，了解了其特征和网络 病毒运行机制，为进一步采取防范措施提供参考。 关键词：虚拟机；弱化系统；蜜罐；蠕虫病毒 中图分类号：TP393.08 文献标识码：A Analyses Running Mechanisms of A Worm Using Honeypot Sun Hai-feng Song Li-li (College of Computer Science, Southwest University of Science Technology, Mianyang 621010, China) Abstract: Honeypot of high interactive weakened system is configured with VMWare on host. Configure progresses include installing of virtual OS, patches, antivirus program, system monitor program, recorders and packets capture program, etc. A kind of worm virus is captured with the honeypot system, by recording and analyzing the progresses of the worm virus captured, attack characters and mechanisms of the worm virus is discovered and known, which gives references for protection. Key words: VMWare; Weakened System; Honeypot; Worm Virus 1 引言 据CNCERT/CC （国家计算机网络应急技术处理协调中心）发布的《2005 年网络安全工 作报告》显示，我国大陆地区2 万2 千5 百多个IP 地址的主机被植入木马，至少有70 万 台主机被植入了某种类型的Spyware，境外22 万台主机曾对我国发起攻击，同时在线的节 点数大于5000 的僵尸网络有143 个。 要有效地维护系统安全，我们必须先要了解系统本身存在的漏洞和缺陷，了解攻击者的 意图、技术、技巧等。蜜罐技术就是一种可以了解黑客常用攻击工具和攻击策略的有效手段。 The Honeynet Project 的创始人 Lance Spitzner 给出了蜜罐的权威定义：蜜罐是一种安全资 源，其价值在于被扫描、攻击和攻陷。由此可以看出蜜罐没有其他用途，它不对外提供任何 服务，也不索取任何服务，所以，任何到蜜罐的连接都可能预示着被扫描、攻击，而蜜罐的 价值就在于对这些攻击行为进行监视、监测和分析。 2 蜜罐系统的配置 蜜罐有4 种配置方式：诱骗服务（Deception Service ）、弱化系统（Weakened System ）、 强化系统（Hardened System ）和用户模式服务（User Mode Service ）。 本文研究的是一种以弱化系统的方式来配置一个高交互的蜜罐系统。在宿主机使用虚拟 操作系统软件 VMWare 运行一个打了最新漏洞补丁的客户机操作系统 Windows 2000 Professional 。主要配置步骤如下： 2.1 安装虚拟操作系统并加固宿主机系统 使用虚拟机软件VMWare 安装Windows 2000 Professional 操作系统，安装SP4 补丁，但 不用升级到最新的补丁。虽然这样风险稍大一些，但是恶意攻击者更容易进入系统，蜜罐可 以收集到更多有关攻击的数据。给宿主机系统装上补