了解病毒之浅谈蜜罐诱骗的基础知识.docVIP

　　了解病毒之浅谈蜜罐诱骗的基础知识～教育资源库 　　1.引言 　　随着人类社会生活对Inter需求的日益增长，网络安全逐渐成为Inter及各项网络服务和应用进一步发展的关键问题，特别是1993年以后Inter开始商用化，通过Inter进行的各种电子商务业务日益增多，加之InterIntra技术日趋成熟，很多组织和企业都建立了自己的内部网络并将之与Inter联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据美国商业杂志《信息周刊》公布的一项调查报告称，黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失，在全球范围内每数秒钟就发生一起网络攻击事件。2003年夏天，对于运行着Microsoft ADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREA TARPI 123下一页 友情提醒：，特别！T，FACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEY十四种。 　　5.蜜罐的配置模式 　　① 诱骗服务（deception service） 　　诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络请求进行应答的应用程序。DTK就是这样的一个服务性产品。DTK吸引攻击者的诡计就是可执行性，但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统进行的，所以可以产生的应答非常有限。在这个过程中对所有的行为进行记录，同时提供较为合理的应答，并给闯入系统的攻击者带来系统并不安全的错觉。例如，当我们将诱骗服务配置为FTP服务的模式。当攻击者连接到TCP/21端口的时候，就会收到一个由蜜罐发出的FTP的标识。如果攻击者认为诱骗服务就是他要攻击的FTP，他就会采用攻击FTP服务的方式进入系统。这样，系统管理员便可以记录攻击的细节。 　　② 弱化系统（） 　　只要在外部因特网上有一台计算机运行没有打上补丁的微软ode server） 　　用户模式服务器实际上是一个用户进程，它运行在主机上，并且模拟成一个真实的服务器。在真实主机中，每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定是实例。而用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中，当INTER用户向用户模式服务器的IP地址发送请求，主机将接受请求并且转发到用户模式服务器上。（我们用这样一个图形来表示一下他们之间的关系）：这种模式的成功与否取决于攻击者的进入程度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被攻陷，由于用户模式服务器是一个用户进程，那么Administrator只要关闭该进程就可以了。另外就是可以将FIREWALL,IDS集中于同一台服务器上。当然，其局限性是不适用于所有的操作系统。 　　6.蜜罐的信息收集 　　当我们察觉到攻击者已经进入蜜罐的时候，接下来的任务就是数据的收集了。数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包，就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据。但日志文件很容易被攻击者删除，所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。（务必同时监控日志服务器。如果攻击者用新手法闯入了服务器，那么蜜罐无疑会证明其价值。） 　　近年来，由于黑帽子群体越来越多地使用加密技术，数据收集任务的难度大大增强。如今，他们接受了众多计算机安全专业人士的建议，改而采用SSH等密码协议，确保网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修改目标计算机的操作系统，以便所有敲入的字符、传输的文件及其它信息都记录到另一个监控系统的日志里面。因为攻击者可能会发现这类日志，蜜网计划采用了一种隐蔽技术。譬如说，把敲入字符隐藏到NetBIOS广播数据包里面。 　　7.蜜罐的实际例子 　　下面我们以Redhat linux 9.0为平台，做一个简单的蜜罐陷阱的配置。 　　我们知道，黑客一旦获得root口令，就会以root身份登录，这一登录过程就是黑客入侵的必经之路。其二，黑客也可能先以普通用户身份登录，然后用su命令转换成root身份，这又是一条必经之路。 　　我们讨论如何在以下情况下设置陷阱： 　　(1)当黑客以root身份登录时； 　　(2)当黑客用su命令转换成root身份时； 　　(3)当黑客以root身份成功登录后一段时间内； 　　第一种情况的陷阱设置 　　一般情况下，只要用户输入的用户名和口令正确，就能顺利进入系统。如果我们在进入系统时设置了陷阱，并使黑客对此防不胜防，就会大大提高入侵的难度系数。例如，当黑客已获取正确的root口令，并以root身份登录时，我们在此设置一个迷魂阵，提示它，你输入的口令错误，并让它重输