基于MHN蜜网校园网防御部署及入侵探析.docVIP

基于MHN蜜网校园网防御部署及入侵探析 　　摘 要 ：传统的被动式防御为基础的网络保护措施已经很难适应新型的主动攻击手段。为此我们采用蜜罐技术对校园网进行防御部署，有效的引导黑客的攻击，并且对各种攻击行为主动做出分析与判断。根据蜜罐捕获的数据分析，利用模拟的漏洞，分析黑客针对漏洞的入侵行为，为校园网防御黑客的入侵防御提供依据 关键词：主动式防御 校园网络安全 蜜罐技术 蜜网 蜜罐技术是一种通过暴露特定的漏洞，从而引导迷惑黑客，从他们的手段中了解他们的目的与信息，并协助计算机取证的主动防御手段。本文基于蜜罐主动防御的思想，结合MHN部署技术在校园网内部署应用蜜罐，从而提高网络安全性 1、 MHN蜜网的部署 MHN（Modern Honey Network）由美国ThreatStream安全公司开发，以NoSql技术的MongoDB数据库做为支持，结合Mnemosyne、ArcSight 与Splunk（Splunkweb+Splunkd）后端处理数据的一款蜜罐部署控制台程序。利用MHN Server控制台，把部署的大部分操作都简化，节省了大量的时间成本，图形界面提供了更直观的数据，配合Splunk的使用，大大减少了对日志的分析所需要的劳动力。蜜罐校园部署拓扑如图1 图1 蜜罐校园部署拓扑图 蜜罐1：处于防火墙之外，完全暴露在互联网上，不断的收集黑客攻击的数据，提供更多攻击者的信息，掌握更多未知的木马病毒与攻击手法，使校园网能够更安全的发展 蜜罐2：DMZ区域是黑客重点访问的对象，让管理员最头痛的就是黑客往往利用DMZ区域做为跳板，对数据库拖库，篡改数据，数据嗅探等等行为[12]。利用部署的蜜罐，以障眼法迷惑黑客，在一定时间内找出他们的目的，迅速作出反应 蜜罐3：内网区域分布数台蜜罐能有效的捕获来自内网的攻击，避免来攻击造成的损失 ?榱四芨?方便能够接受外网数据，我们将内网的MHN Server以映射的方式到解析到mhn.belive.cc，访问mhn.belive.cc，即可直接访问MHN Server。利用MHN Server的一句话部署，能高效准确的安装所需要的蜜罐 蜜罐1我们可以部署Kippo + Dionaea，KIPPO蜜罐是一款中等交互的SSH模拟软件，记录黑客每一次对SSH的爆破记录，若黑客爆破成功，将会提供一个模拟的shell环境迷惑黑客，并且将攻击源IP，客户端类型，输入的命令以及上传/下载的非法文件记录在服务器中，还可以通过修改kippo系统文件，让shell的模拟环境更真实。Dionaea蜜罐是一款低交互恶意代码捕获工具，将有漏洞的服务暴漏出来，保存黑客留下的恶意代码以及其他非法文件 这两款中低交互蜜罐，都依靠自身虚拟出环境与漏洞，和真实系统没有太多交互，所以这样设计的优点是大大降低真实操作系的安全风险，而不完善的地方是模拟服务会降低数据捕获能力并容易被黑客识别 蜜罐2和3我们采用Kippo+Glastopf+Sn ort+p0f分析模式，Glastopf是一款相当不错的WEB蜜罐，能模拟许多漏洞，比如说常见的远程文件包含漏洞，可以轻而易举的捕获到攻击者上传的可疑文件，为我们后期提取分析提供有力的数据支持。远程OS指纹被动判别工具p0f，与入侵检测系统Snort搭配利用，将安全模版和指纹判别结合，对网络流量实施高效的监控与分析 2 、入侵数据分析 经过数天的收集，分析可以发现来自内网攻击的基本为学生，攻击手段主要为端口扫描，万能密码与弱口令入侵，SQL注射攻击，XSS/CSRF盲注，以及入侵成功对内网进行ARP攻击 通过与防火墙的配合，可以将已经被入侵或者有风险的IP进行隔离，待解除后在自动移出隔离区，并且从蜜罐处获得该生的IP地址，并对其警告 我们分析部署在蜜罐1的kippo蜜罐，包括攻击次数，用户名和密码的口令猜测，攻击时间间隔的分析，攻击者IP的分布分析。账户admin与root被暴力破解次数最多，admin共计被破解1920次，root共计被破解1728次。密码暴力破解前四排名为123456，admin，1234，ubnt，password 我们还原了黑客在入侵后的操作，得知黑客利用了自动化脚本对网络进行大量的扫描，暴力破解并，自动下载木马文件与架设后门 通过分析扫描得知该文件属于Linux D DOS 木马文件，类型为Linux. BackDoor.Gat es.6 ，经过调查通过调查发现Linux.BackDo or.Gates.6木马是一类有着丰富的历史，隐藏手法巧妙，网络攻击行为显著的DDoS木马，木马木马名字源于函数中大量使用Gates这个单词，该木马主要针对中国地区的服务器进行DDoS