《虚拟蜜罐软件 Honeyd(v1.0)简介、安装与使用》.pdfVIP

虚拟蜜罐软件Honeyd(v1.0)简介、安装与使用文档 The Artemis Project/狩猎女神项目组 诸葛建伟，梁知音 1. Honeyd 软件简介 Honeyd 是一款非常优秀的开源虚拟蜜罐软件，由Google 公司软件工程师Niels Provos 于2003 年开始研发，2005 年发布v1.0 正式版，目前已发布了v1.5b 。 Honeyd能让一台主机在一个模拟的局域网环境中配有多个地址（曾测试过的最多可以 达到65536个），外界的主机可以对虚拟的蜜罐主机进行ping、traceroute等网络操作，虚拟 主机上任何类型的服务都可以依照一个简单的配置文件进行模拟，也可以为真实主机的服务 提供代理。 Honeyd可以通过提供威胁检测与评估机制来提高计算机系统的安全性，也可以通过将 真实系统隐藏在虚拟系统中来阻止外来的攻击者。因为Honeyd只能进行网络级的模拟，不 能提供真实的交互环境，能获取的有价值的攻击者的信息比较有限，所以Honeyd所模拟的 蜜罐系统常常是作为真实应用的网络中转移攻击者目标的设施，或者是与其他高交互的蜜罐 系统一起部署，组成功能强大但花费又相对较少的网络攻击信息收集系统。 2. Honeyd 的设计与实现 2.1. 网络数据收集 Honeyd 被设计用来应答目标地址属于模拟蜜罐范围之内的网络包。要让Honeyd 能够 接受到发送给虚拟蜜罐的数据包，必须要正确的配置网络。有几种方法可以实现网络的配置， 如为指向Honeyd 主机的虚拟IP 建立特殊的路由、使用代理ARP 或者使用网络隧道等。 这里我们假设A 为网络路由器的IP ，B 是Honeyd 主机的IP ，最简单的情形是，虚拟 蜜罐的IP 位于局域网范围之内。我们标识他们为V1,V2……Vn, 当攻击者通过互联网发送一 个数据包给蜜罐Vi ，路由器A 会接受到数据包并试图发送该数据包。路由器会查询路由表 来决定该将发送到Vi 的包传递到哪里。数据会有3 种处理方式： 当没有路由指向Vi 时，路由器会丢弃该数据包； 路由器A 将数据包转发到另一个路由器； Vi 位于路由器所在的局域网范围之内，路由器A 可以直接将数据包传送给Vi. 图 1 路由方式 为了将到Vi 的数据流导向Honeyd 主机B ，我们可以使用下面两种方法： 最简单的方法是将到Vi 的路由入口设置为指向B ，这样一来，路由器转发到虚拟蜜罐 的数据包将会直接发送到Honeyd 主机。 如果我们没有配置特殊的路由，路由器会使用ARP 指令来查询虚拟蜜罐的MAC 地址。 但由于没有响应的虚拟主机，ARP 查询会得不到应答，路由器在重试几次后就会将数据包 丢弃。此时，我们可以配置让Honeyd 主机利用自己的MAC 地址去响应针对Vi 的ARP 查 询。这种方法就称之为代理ARP 。代理ARP 允许路由器将发送到Vi 的数据发送到Honeyd 主机B 的MAC 地址。 在更复杂的环境下，可以将一段网络地址空间通过网络隧道连接到Honeyd 主机。我们 可以使用一般路由封装（generic routing encapsulation，GRE ）等隧道协议。 2.2. Honeyd 软件体系结构 Honeyd 体系由几个组件构成，这些组件是配置数据库、中央包分发器、协议处理器、 个性引擎和可选路由构件。如下图所示： 图 2 Honeyd 软件体系结构图 系统接受到的数据会由中央包分发器进行处理，首先中央包分发器进行处理会检查 IP 包的长度，修改包的校验和。Honeyd 框架响应的是最主要的3 种互联网协议：ICMP, TCP 和UDP,其他协议的包在被记入日志后会被悄悄丢弃。 在处理数据包之前，分发器会查询配置数据库以查找到一个符合目标地址的蜜罐配置。 如果没有特定的配置存在，系统会采用默认配置模板。给定配置后，数据包和相应的配置会 被转交给相应的协议处理器处理。 ICMP 协议处理器支持多数的ICMP 查