计算机安全问题 七 陷阱，诱饵和蜜罐.pdfVIP

下载 第7章 陷阱，诱饵和蜜罐 我们已经讲过，安全网关应该尽可能少地运行服务器。一般来说，因为没有一种机制可 以记录那些想使用未开通的服务的连接请求，所以，大多数系统管理员无法断定是否有人正 试图探测这些服务。 如果日志例程附加在这些端口，就有一定把握检测到攻击。有时整个机器，甚至网络， 都可以设置成密罐 (honey pot) ，用以检测浏览者。在安全防护墙后面，靠近重要目标的地方， 设置这样一些装置，特别使人欣慰。这无异于在加锁的保险库里放置一部监视照相机。 注意仔细区别这些安全日志和那些添加在标准网络服务中的日志。后者监视常规操作的 行为，很像会计师监视商业现金流动。安全日志则是你的卫兵，你的预警系统—在某些情 况下，还是你的系上了染色炸弹的钱包。 7.1 日志记录什么 我们的研究网关用日志记录程序武装。这样做的目的，不仅是要保护机器，而且也想借 此判定网络上采用的探测技术的速率和复杂程度，并且学习新的攻击策略。我们使用的程序 中有些非常专业化，另一些则属于普通的数据包吸入器 ( s u c k e r ) 。它们记录进来的数据，试图 追踪调用，并尽可能尝试区分出正当用户和攻击者。 f i n g e r服务器是一个好例子。通常，总是从友善地寻找电子邮件地址着手，以便找出一个 特定的用户。但是，即使没有我们的监视程序，这种方式也不会奏效，因为大多数用户并不 登录到网关机器上。作为替代，我们打印出解释信息，说明如何按名字发送邮件。普通的 f i n g e r攻击经常习惯于收集登录名、个人信息和帐户使用信息，以便用来发动黑客攻击。因此， 返回一个完全假的输出，显示 g u e s t和b e r f e r d —一个伪用户名—登录进来了。在这种情况 下，不能进行反间谍活动，包括“逆向 f i n g e r ”等，其理由是，如果在另一端也运行类似软件， 很可能触发一场f i n g e r混战。所有的f i n g e r尝试都被记录下来，以便以后分析。 所谓的r命令也值得特别考虑，因为它提供额外信息。例如 r l o g i n 和r s h命令，其协议包括 原始的用户登录名和我们网关上需要的登录名。这样，我们可以进行目标明确的逆向 f i n g e r ， 并能评估威胁的程度。用户 f o o 的登录尝试以及在R E S E A R C H . AT T. C O M上同样的登录请求， 可能是一个无碍大局的错误。相反，将 d o m a i n n a m e命令作为用户b i n 来操作的企图(见图7 - 1 )则 代表了敌对行为 (这暗示进攻机器已经退让了。还要注意，显示表明登录进系统的所有人都是 闲着的) 。一个合法帐户以g u e s t身份进行r l o g i n 的尝试行为，通常属于扭锁柄的行为范畴。 对于其他的大多数服务，我们依赖于一个简单的数据包吸入器。这是一个程序，被安装 在套接字上的 i n e t d 调用，读取并记录所有进入该套接字的东西。此时，反间谍行动被启动。 T C P数据包吸入器在连接关闭时退出， U D P 版本则取决于超时值，但如果有数据包从其他源 到达时，也将退出。如图 7 - 2所示，用这种简单技术获得的信息很有意思。图中显示了一次通 过T F T P攫取我们的口令文件的攻击行为。 104使用第二部分 构建你自己的防火墙 下载 From: adm@ To: trappers Attempted rsh to inet[24640] Call from host Some.Random.COM (7) remuser: b i n l o c u s e r : b i n command: d o m a i n n a m e (/usr/ucb/finger @7; /usr/ucb/finger bin@7) 21 [ 1 7 6 . 7 5 . 9 2 . 8 7 ]