第15章 蜜罐主机和蜜罐网络 网络攻防原理和 与实践课件.pptVIP

网络攻防原理与实践 高等教育出版社 高等教育出版社 第15章 蜜罐主机和蜜罐网络 高等教育出版社 本章要点 2. 蜜罐的实现技术 1. 蜜罐概述 3. 蜜罐主机的部署 4. 蜜罐网络 蜜罐的基本概念 蜜罐是一种安全资源，它的价值就在于被扫描、攻击和攻陷，并对这些攻击活动进行监视、检测和分析。 设计蜜罐的初衷是为吸引那些试图非法入侵他人计算机系统的人，借此收集证据，同时隐藏真实的服务器地址。 蜜罐具有发现攻击、产生警告、记录攻击信息、欺骗、调查取证等功能。 蜜罐最大的优势在于它能主动地检测和响应网络入侵和攻击，并且采集的信息价值高。 蜜罐的分类 按价值体现分类 欺骗型蜜罐 纯粹的以欺骗性目的存在的蜜罐系统，通过伪装成攻击目标，从而转移攻击者的注意力，同时通过报警等各种附加机制对攻击进行响应。 威慑型蜜罐 对攻击者产生心理上的威吓及迷惑作用的蜜罐系统，其主要职责就是告诉攻击者自己是个蜜罐系统，这样可以形成一定的阻吓作用，减弱攻击者的攻击意图。 蜜罐的分类 检测型蜜罐 通过提高蜜罐系统的检测能力，用户不只可以通过蜜罐系统的活动情况判断攻击行为的发生，还可以更加广泛和细致的监测攻击活动。 研究型蜜罐 蜜罐系统可以提供一个非常强大的用于了解攻击者和安全威胁的机制。 研究型蜜罐可以让使用者获悉很多未知的安全隐患和攻击方法，这可以做为一种预警机制来提前发现将要造成破坏的攻击行为。 蜜罐的优点 数据价值 蜜罐通常只会收集少量的数据，但这些数据却具有极高的价值。 蜜罐能以一种快捷而易懂的格式提供所需的精确信息，简化了分析，提高了响应速度。 资源 蜜罐只会对少量活动进行捕获和监视，所以在它们身上通常不会发生资源枯竭问题。 蜜罐只会捕获那些直接针对其本身的活动，因此系统并不会受到流量的震荡。 蜜罐的优点 简捷性 无需开发奇异的算法，无需维护签名数据库，不会出现错误配置的规则库。只要把蜜罐拿过来，放到组织中的某个地方，然后就可以静观其变了。 投资回报 蜜罐迅速且不断地展现着其自身的价值所在，它不仅可以用来证实其自身的价值，而且还包括对其他安全资源所做的投资。 蜜罐的缺点 视野有限 蜜罐只能看到何种活动是直接针对它们自身的，而漏掉周围的事件。 指纹识别 指纹识别指的是由于蜜罐具备一些特定的预期特征或者行为，因而能够被攻击者识别出其真实身份的情况。 风险 一旦一个蜜罐遭受了攻击，就可以被用于攻击、渗透，甚至危害其他的系统或者组织。 蜜罐的伪装 采用真实系统作蜜罐，能提供黑客与系统的交互能力，伪装程度明显提高。 还要对这些真实系统进行配置，最为逼真的配置办法是把一个修改过敏感信息的工作系统的内容直接拷贝到蜜罐上。 目前蜜罐的主要网络欺骗技术有： 模拟端口 模拟系统漏洞和应用服务 IP空间欺骗 流量仿真 网络动态配置 组织信息欺骗 网络服务 蜜罐主机 信息的采集 蜜罐系统需要隐蔽地采集尽量全面的黑客活动信息。 对黑客在蜜罐上的活动，需要从系统级、网络级等多个层次进行记录，以完整认识黑客的活动。 蜜罐依据收集和分析数据地点的不同将收集信息的方式进行分类： 基于主机的信息收集 基于网络的信息收集 主动的信息收集 基于主机的信息收集 记录数据流 将攻击者的信息存放在一个安全的、远程的地方。 以通过串行设备、并行设备、USB或Firewire技术和网络接口将连续数据存储到远程日志服务器。 “Peeking”机制 MD-5检验和检查：如果攻击者有一个和蜜罐对比的参照系统，就会计算所有标准的系统二进制文件的MD-5校验和来测试蜜罐。 库的依赖性和进程相关性检查：即使攻击者不知道原始二进制系统的确切结构，仍然能应用特定程序观察共享库的依赖性和进程的相关性。 基于网络的信息收集 基于网络的信息收集将收集机制设置在蜜罐之外，以一种不可见的方式运行。 可以利用防火墙和入侵检测系统从网络上收集进出蜜罐的信息。 防火墙 可以配置防火墙记录所有的出入数据，供以后仔细地检查。 入侵检测系统 NIDS在网络中的放置方式使得它能够对网络中所有机器进行监控，可以用HIDS记录进出蜜罐的所有数据包，也可以配置NIDS只去捕获感兴趣的数据流。 主动的信息收集 信息也可以主动获得，使用第三方的机器或服务甚至直接针对攻击者反探测 如Whois，Portscan等。 这种方式很危险，容易被攻击者察觉并离开蜜罐，而且不是蜜罐所研究的主要范畴。 风险控制 在运行蜜罐时，将存在的风险分为三个方面： 未发现黑客对蜜罐的接管 蜜罐被黑客控制并接管是非常严重的，这样的蜜罐已毫无意义且充满危险。 对蜜罐失去控制 一个优秀的蜜罐应该可以随时安全地终止进出蜜罐的任何通信，随时备份系统状态以备以后分析。要做到即使蜜罐被完全攻陷，也仍在控制之中。 对第三方的损害 攻击者