第16章 蜜罐主机与欺骗网络.ppt

第16章 蜜罐主机和欺骗网络 16.1 蜜罐主机(Honeypot) 16.2 连累等级(Level of Involvement) 16.3 蜜罐主机的布置 16.4 欺骗网络(Honeynet) 16.5 总结 16.1 蜜罐主机(Honeypot) 16.1.1 蜜罐主机基础 术语“蜜罐主机”现在是随处可见，不同的厂商都声称他们可以提供蜜罐主机类产品。但到底什么是蜜罐主机，一直没有确切的定义。在此，我们把蜜罐主机定义为：蜜罐主机是一种资源，它被伪装成一个实际目标；蜜罐主机希望人们去攻击或入侵它；它的主要目的在于分散攻击者的注意力和收集与攻击和攻击者有关的信息。 16.1.2 蜜罐主机的价值 正如前面所述，蜜罐主机不能直接解决任何网络安全问题，甚至于会引来更多的入侵者来进攻自己的网络。那么，蜜罐主机到底能给我们提供什么有用信息？我们又如何利用这些信息？ 有两种类型的蜜罐主机：产品型(Production)蜜罐主机和研究型(Research)蜜罐主机。产品型蜜罐主机用于降低网络的安全风险；研究型蜜罐主机则用于收集尽可能多的信息。这些蜜罐主机不会为网络增加任何安全价值，但它们确实可以帮助我们明确黑客社团以及他们的攻击行为，以便更好地抵御安全威胁。 蜜罐主机是专门用来被人入侵的一种资源。所有通过蜜罐主机的通信流量都被认为是可疑的，因为在蜜罐主机上不会运行额外的、会产生其它通信流量的系统。通常，进出蜜罐主机的通信都是非授权的，因此蜜罐主机所收集的信息也是我们所感兴趣的数据，而且这些信息不会掺杂有其它系统所产生的额外通信数据，因此分析起来相对容易一些。它所收集的数据的价值相对较高。 但是如果一台蜜罐主机没有被攻击，那么它就毫无意义。蜜罐主机通常位于网络的某点(Single Point)，因此它被攻击者发现的概率是很小的。蜜罐主机有可能增加额外的风险：入侵者有可能被整个网络所吸引或者蜜罐主机可能被攻陷。 16.1.3 部分蜜罐主机产品比较 这一节对部分可用的产品和解决办法进行比较说明[2][3][4]。表16-1对几种常用蜜罐主机的关键要素进行比较。 上述各个蜜罐主机有各自的强项。Specter最容易配置和运行，这得益于它的图形化用户界面。它的价值并不很高，因为它不是真正的操作系统一级的，当然这也有助于降低安全风险。 ManTrap和DTK这两种蜜罐主机的构造则是高度自定义的。它们的价值和风险都相对较高，因此它们的日常维护费用也较高。ManTrap相对于DTK的优势在于其图形化界面，因此配置、分析和管理起来相对容易一些。 16.2 连累等级(Level of Involvement) 蜜罐主机的一个重要特性就是连累等级。连累等级是指攻击者同蜜罐主机所在的操作系统的交互程度。 16.2.1 低连累蜜罐主机 一台典型的低连累蜜罐主机只提供某些伪装的服务。一种最基本的实现形式可以是程序在某一个特定端口侦听。例如，一条简单的命令“netcat-1-p 80/1og/honeypot/port_80.log”，就可以侦听80号端口(HTTP)，并记录所有进入的通信到一个日志文件当中。当然这种方法无法实现复杂协议通信数据的捕获。例如由于没有对进入的请求进行应答，所以仅仅依赖一个初始SMTP握手数据包并不能获得太多有用信息。 在一个低连累蜜罐主机上，由于攻击者并不与实际的操作系统打交道，从而可以大大降低蜜罐主机所带来的安全风险。不过这种蜜罐也有其缺点，那就是蜜罐无法看到攻击者同操作系统的交互过程。一个低连累蜜罐主机就如同一条单向连接，我们只能听，无法提出问题。这是一种被动式蜜罐，如图16-1所示。 低连累蜜罐主机类似于一个被动的入侵检测系统，它们不对通信流进行修改或者同攻击者进行交互。如果进入的包匹配某种实现定义的模式，它们就会产生日志和告警信息。 16.2.2 中连累蜜罐主机 中连累蜜罐主机(如图16-2所示)提供更多接口同底层的操作系统进行交互，伪装的后台服务程序也要复杂一些，对其所提供的特定服务需要的知识也更多，同时风险也在增加。随着蜜罐主机复杂度的提升，攻击者发现其中的安全漏洞的机会也在增加，攻击者可以采取的攻击技术也相应更多。 由于协议和服务众多，开发中连累蜜罐主机要更复杂和花费更多时间。必须特别注意的是，所有开发的伪装后