第七章 网络诱骗系统.ppt

第七章 网络诱骗系统 网络诱骗系统的概念 网络诱骗系统的实现技术 蜜罐的分类和实例 六种honeypot 网络诱骗工具和产品 本章重点和复习要点 本章重点和复习要点 网络诱骗系统基本功能，有哪些优缺点？ 有哪几种蜜罐主机技术？ 为什么要使用镜像系统来建立蜜罐？它有什么优点？ 如何用虚拟系统来建立蜜罐？有什么优点？ 什么是陷阱网络技术？ 三代陷阱网络技术有什么区别？ 为什么使用基于代理的诱导技术能够防止真实的主机不被攻击？ 什么是低交互、中交互和高交互型蜜罐？它们各有什么特点？有什么不同？ 返回首页 网络诱骗系统的概念 网络诱骗系统是一种主动防御技术，能对攻击 者造成威胁和损害，已成为网络安全研究热点： 1）网络诱骗可消耗攻击者拥有的资源、加重攻击者的工作量和迷惑攻击者。 2）甚至可以事先掌握攻击者的行为，跟踪攻击者，并有效制止攻击者的破坏行为，形成威慑力量。 返回首页 蜜罐是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人设计的。蜜罐系统是一个包含漏洞的诱骗系统，通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。 由于蜜罐并没有向外界提供真正有价值的服务，因此所有试图与其进行连接的行为均是可疑的，也让攻击者在蜜罐上浪费时间，延缓对真正目标攻击。 取证、入侵检测 蜜罐可对入侵取证提供重要信息和有用线索，并使之成为入侵的有力证据——蜜罐是一个“诱捕”攻击者的陷阱。 虽然蜜罐不能直接提高网络安全，但却是不可替代的一种主动防御技术，目前已成为诱骗攻击者的非常有效而实用的方法。 蜜罐最主要功能是对系统中所有操作和行为进行记录，通过对系统进行伪装，使得攻击者在进入到蜜罐后并不知晓已处于系统监视之中。 蜜罐的优点： 1）使用简单 蜜罐并不涉及任何特殊的计算，不需要保存特征 数据库，也不需要配置规则库。所有蜜罐都只有一 个简单的前提：如果有人连接到蜜罐，就将他检测 并记录下来。越简单就越可靠。 2）占用资源少 许多安全工具都可能被大量网络流量淹没。而蜜罐仅捕获进入蜜罐的所有数据，对那些尝试与自己建立连接的行为进行记录和响应，不会出现资源耗尽的情况。 并且很多蜜罐都是模拟服务，不会为攻击者留下可乘之机，成为攻击者进行其他攻击的跳板。 3）数据价值高 用户可以快速轻松地找到自己所需的确切信息。 这些数据都具有很高的研究价值，用户不仅可以获 知各种网络行为，还可以完全了解进入系统的攻击 者究竟做了哪些动作。 蜜罐的缺点： 1）数据收集面狭窄 如果没人攻击蜜罐，它们就变得毫无用处。如果 攻击者闯入蜜罐所在的网络并攻击了某些非蜜罐系 统，蜜罐就会对这些行为一无所知。 如果攻击者辨别出用户系统为蜜罐，他就会避免 与该系统进行交互并在蜜罐没有发觉情况下潜入用 户所在网络。 2）给使用者带来风险 蜜罐一旦被攻陷，就可以用于攻击、潜入和危害其 他的系统。蜜罐越简单，所带来的风险就越小。 从具体形式来说，仅进行服务模拟的蜜罐就很难被 入侵。而具有真实操作系统的蜜罐，因为具有很多真 实系统的特性，就很容易被入侵并成为入侵者攻击其 他机器的跳板。 1. 蜜罐主机技术 1）空系统 是标准机器（主机而非服务器），运行着真实完 整的操作系统及应用程序，在空系统中可以找到真 实系统中存在的各种漏洞，没有刻意模拟某种环境 或者故意地使系统不安全。 任何欺骗系统做得再逼真，也决不可能与原系统 完全一样，利用空系统作蜜罐是一种简单的选择。 返回首页 2）镜像系统 攻击者往往要攻击那些对外提供服务的主机，当攻击者被诱导到空系统或模拟系统的时候，会很快发现这些系统并不是期望攻击的目标。 更有效地做法是建立一些提供网络服务的服务器镜像系统（与真实服务器基本一 致）。镜像系统对攻击者有更强欺骗性，通过分析攻击者对镜像系统所采用的攻击方法，有利于管理员加强真实系统的安全。 3）虚拟系统 在真实物理机上运行仿真软件，对计算机硬件进行模拟，使得在仿真平台上可以运行多个不同的操作系统，这样一台真实机器就变成多台机器（称为虚拟机）。 通常将真实机器的操作系统称为宿主操作系统，在仿真平台上安装的操作系统称为客户操作系统。 VMware是典型的仿真软件，它在宿主和客户操作系统之间建立了一个虚拟硬件仿真平台，客户操作系统可以基于相同的硬件平台模拟多台虚拟主机。 VMware还支持网卡模拟：每个虚拟机都拥有独立IP地址，可让一台真实机器模拟出连接在网上的多台主机，形成一个局域网，并可以通过TCP/IP协议进行通信。