第4章 (扩)蜜罐与蜜网技术.pptVIP

蜜罐与蜜网技术Introduction to Honeypot and Honeynet 内容概要 蜜罐技术简介 提出、发展历程、概念、Honeyd、发展趋势 Gen 3蜜网技术 蜜网基本原理、发展历程、框架、技术细节、部署实例 蜜罐与蜜网技术的应用举例 僵尸网络(Botnet)、网络钓鱼(Phishing) 蜜罐技术概述 互联网安全状况 安全基础薄弱 操作系统/软件存在大量漏洞 安全意识弱、缺乏安全技术能力 任何主机都是攻击目标！ DDoS、跳板攻击需要大量僵尸主机 蠕虫、病毒的泛滥 并不再仅仅为了炫耀：Spamming, Phishing 攻击者不需要太多技术 攻击工具的不断完善 Metasploit: 40+ Exploits 攻击脚本和工具可以很容易得到和使用 0-day exploits: packetstorm 网络攻防的非对称博弈 工作量不对称 攻击方：夜深人静, 攻其弱点 防守方：24*7, 全面防护 信息不对称 攻击方：通过网络扫描、探测、踩点对攻击目标全面了解 防守方：对攻击方一无所知 后果不对称 攻击方：任务失败，极少受到损失 防守方：安全策略被破坏，利益受损 蜜罐技术的提出 试图改变攻防博弈的非对称性 对攻击者的欺骗技术－增加攻击代价、减少对实际系统的安全威胁 了解攻击者所使用的攻击工具和攻击方法 追踪攻击源、攻击行为审计取证 Honeypot: 首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990) Fred Cohen DTK: Deception Tool Kit (1997) A Framework for Deception (2001) 蜜罐技术概述 蜜罐技术的概念 “A security resource who’s value lies in being probed, attacked or compromised” 对攻击者的欺骗技术 没有业务上的用途，不存在区分正常流量和攻击的问题 所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷 用以监视、检测和分析攻击 蜜罐的分类 交互性：攻击者在蜜罐中活动的交互性级别 低交互型－虚拟蜜罐 模拟服务和操作系统 只能捕获少量信息 / 容易部署，减少风险 例: Honeyd 高交互型－物理蜜罐 提供真实的操作系统和服务，而不是模拟 可以捕获更丰富的信息 / 部署复杂，高安全风险 例: 蜜网 虚拟机蜜罐－虚拟硬件、真实操作系统/网络服务 蜜罐技术优势 高度保真的小数据集 低误报率 低漏报率 能够捕获新的攻击方法及技术 并不是资源密集型 原理简单，贴近实际 蜜罐技术概述 Honeyd A virtual honeypot framework Honeyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc. 支持同时模拟多个IP地址主机 经过测试，最多同时支持65535个IP地址 支持模拟任意的网络拓扑结构 通过服务模拟脚本可以模拟任意TCP/UDP网络服务 IIS, Telnet, pop3… 支持ICMP 对ping和traceroutes做出响应 通过代理机制支持对真实主机、网络服务的整合 add windows tcp port 23 proxy “59 23” Honeyd监控未使用IP地址 Honeyd设计上的考虑 接收网络流量 模拟蜜罐系统 仅模拟网络协议栈层次，而不涉及操作系统各个层面 可以模拟任意的网络拓扑 Honeyd宿主主机的安全性 限制只能在网络层面与蜜罐进行交互 捕获网络连接和攻击企图 日志功能 接收网络流量 Honeyd模拟的蜜罐系统接收相应网络流量三种方式 为Honeyd模拟的虚拟主机建立路由 ARP代理 支持网络隧道模式 (GRE) Honeyd体系框架 路由模块 中央数据包分发器 将输入的数据包分发到相应的协议处理器 协议处理器 Service模拟脚本 个性化引擎 配置数据库 存储网络协议栈的个性化特征 路由模块 Honeyd支持创建任意的网络拓扑结构 对路由树的模拟 配置一个路由进入点 可配置链路时延和丢包率 模拟任意的路由路径 扩展 将物理主机融合入模拟的网络拓扑 通过GRE隧道模式支持分布式部署 FTP服务模拟脚本 个性化引擎 为什么需要个性化引擎? 不同的操作系统有不同的网络协议栈行为 攻击者通常会运行指纹识别工具，如Xprobe和Nmap获得目标系统的进一步信息 个性化引擎使得虚拟蜜罐看起来像真实的目标 每个由Honeyd产生的包都通过个性化引擎 引入操作系统特定的指纹，让Nmap/Xprobe进行识别 使用Nmap指纹库作为TCP/UDP连接的参考 使用Xprobe指纹库作为ICMP包的参考 日志功能 Hone