第16章 蜜罐主机和的欺骗网络.pptVIP

第16章 蜜罐主机和欺骗网络 ;16.1 蜜罐主机(Honeypot) ; 16.1.2 蜜罐主机的价值 正如前面所述，蜜罐主机不能直接解决任何网络安全问题，甚至于会引来更多的入侵者来进攻自己的网络。那么，蜜罐主机到底能给我们提供什么有用信息？我们又如何利用这些信息？ 有两种类型的蜜罐主机：产品型(Production)蜜罐主机和研究型(Research)蜜罐主机。产品型蜜罐主机用于降低网络的安全风险；研究型蜜罐主机则用于收集尽可能多的信息。这些蜜罐主机不会为网络增加任何安全价值，但它们确实可以帮助我们明确黑客社团以及他们的攻击行为，以便更好地抵御安全威胁。; 蜜罐主机是专门用来被人入侵的一种资源。所有通过蜜罐主机的通信流量都被认为是可疑的，因为在蜜罐主机上不会运行额外的、会产生其它通信流量的系统。通常，进出蜜罐主机的通信都是非授权的，因此蜜罐主机所收集的信息也是我们所感兴趣的数据，而且这些信息不会掺杂有其它系统所产生的额外通信数据，因此分析起来相对容易一些。它所收集的数据的价值相对较高。 ; 但是如果一台蜜罐主机没有被攻击，那么它就毫无意义。蜜罐主机通常位于网络的某点(Single Point)，因此它被攻击者发现的概率是很小的。蜜罐主机有可能增加额外的风险：入侵者有可能被整个网络所吸引或者蜜罐主机可能被攻陷。 ; 16.1.3 部分蜜罐主机产品比较 这一节对部分可用的产品和解决办法进行比较说明[2][3][4]。表16-1对几种常用蜜罐主机的关键要素进行比较。 ;表16-1 蜜罐主机比较表 ; 上述各个蜜罐主机有各自的强项。Specter最容易配置和运行，这得益于它的图形化用户界面。它的价值并不很高，因为它不是真正的操作系统一级的，当然这也有助于降低安全风险。 ManTrap和DTK这两种蜜罐主机的构造则是高度自定义的。它们的价值和风险都相对较高，因此它们的日常维护费用也较高。ManTrap相对于DTK的优势在于其图形化界面，因此配置、分析和管理起来相对容易一些。;16.2 连累等级(Level of Involvement); 16.2.1 低连累蜜罐主机 一台典型的低连累蜜罐主机只提供某些伪装的服务。一种最基本的实现形式可以是程序在某一个特定端口侦听。例如，一条简单的命令“netcat-1-p 80/1og/honeypot/port_80.log”，就可以侦听80号端口(HTTP)，并记录所有进入的通信到一个日志文件当中。当然这种方法无法实现复杂协议通信数据的捕获。例如由于没有对进入的请求进行应答，所以仅仅依赖一个初始SMTP握手数据包并不能获得太多有用信息。 ;图16-1 低连累蜜罐主机 ; 在一个低连累蜜罐主机上，由于攻击者并不与实际的操作系统打交道，从而可以大大降低蜜罐主机所带来的安全风险。不过这种蜜罐也有其缺点，那就是蜜罐无法看到攻击者同操作系统的交互过程。一个低连累蜜罐主机就如同一条单向连接，我们只能听，无法提出问题。这是一种被动式蜜罐，如图16-1所示。 低连累蜜罐主机类似于一个被动的入侵检测系统，它们不对通信流进行修改或者同攻击者进行交互。如果进入的包匹配某种实现定义的模式，它们就会产生日志和告警信息。 ;图16-2 中连累蜜罐主机同攻击者进行交互; 16.2.2 中连累蜜罐主机 中连累蜜罐主机(如图16-2所示)提供更多接口同底层的操作系统进行交互，伪装的后台服务程序也要复杂一些，对其所提供的特定服务需要的知识也更多，同时风险也在增加。随着蜜罐主机复杂度的提升，攻击者发现其中的安全漏洞的机会也在增加，攻击者可以采取的攻击技术也相应更多。 由于协议和服务众多，开发中连累蜜罐主机要更复杂和花费更多时间。必须特别注意的是，所有开发的伪装后台服务程序必须足够安全，不应该存在出现在实际服务中的漏洞。; 16.2.3 高连累蜜罐主机 高连累蜜罐主机如图16-3所示，由于高连累蜜罐主机与底层操作系统的交互是“实实在在”的，所以随着操作系统复杂性的提高，由蜜罐主机所带来的安全风险也不断增高。同时，蜜罐主机所能够收集到的信息越多，也就越容易吸引入侵者。黑客的目标就是完全 控制蜜罐主机，而高连累蜜罐主机也确实为黑客提供了这样的工作环境。此时，整个系统已经不能再被当作是安全的，虽然，蜜罐主机通常运行在一个受限制的虚拟环境中(所谓的沙箱或者VMWare[