第11章：典型防御技术摘要.ppt

* 网络入侵与防范讲义 * * 网络入侵与防范讲义 * 蜜罐的基本配置方式 蜜罐有4种不同的配置方式： 诱骗服务(Deception Service) 弱化系统(Weakened System) 强化系统(Hardened System) 用户模式服务器(User Mode Server ) * 网络入侵与防范讲义 * 诱骗服务 诱骗服务是指在特定IP服务端口上侦听并像其他应用程序那样对各种网络请求进行应答的应用程序。例如，可以将诱骗服务配置为sendmail服务的模式，当攻击者连接到蜜罐的tcp/25端口时，就会收到一个由蜜罐发出的代表sendmail版本号的标识。 如果攻击者认为诱骗服务就是他要攻击的sendmail，他就会采用攻击sendmail服务的方式进入系统。此时，系统管理员便可以记录攻击的细节，并采取相应的措施及时保护网络中实际运行着sendmail的系统。日志记录也会提交给产品厂商、CERT或法律执行部门进行核查，以便对产品进行改进并提供相应的证据。 * 网络入侵与防范讲义 * 诱骗服务(2) 蜜罐的诱骗服务需要精心配置和设计。 首先，先要将服务模拟得足以让攻击者相信是一件非常困难的事情；另一个问题是诱骗服务只能收集有限的信息。 从理论上讲，诱骗服务本身可以在一定程度上允许攻击者访问系统，但是这样会带来一定的风险，如果攻击者找到了攻击诱骗服务的方法，蜜罐就陷于失控状