解析蜜罐的配置模式和信息收集 .pdfVIP

解析蜜罐的配置模式和信息收集

蜜罐的配置模式

①诱骗服务（deceptionservice）

诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络请求进行应答的

应用程序。DTK就是这样的一个服务性产品。DTK吸引攻击者的诡计就是可执行性，但是

它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统进行的，所以可以产生的应答

非常有限。在这个过程中对所有的行为进行记录，同时提供较为合理的应答，并给闯入系统

的攻击者带来系统并不安全的错觉。例如，当我们将诱骗服务配置为FTP服务的模式。当

攻击者连接到TCP/21端口的时候，就会收到一个由蜜罐发出的FTP的标识。如果攻击者认

为诱骗服务就是他要攻击的FTP，他就会采用攻击FTP服务的方式进入系统。这样，系统

管理员便可以记录攻击的细节。

②弱化系统（weakenedsystem）

只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者RedHatLinux即

行。这样的特点是攻击者更加容易进入系统，系统可以收集有效的攻击数据。因为黑客可能

会设陷阱，以获取计算机的日志和审查功能，需要运行其他额外记录系统，实现对日志记录

的异地存储和备份。它的缺点是“高维护低收益”。因为，获取已知的攻击行为是毫无意义的。

③强化系统（hardenedsystem）

强化系统同弱化系统一样，提供一个真实的环境。不过此时的系统已经武装成看似足够安全

的。当攻击者闯入时，蜜罐就开始收集信息，它能在最短的时间内收集最多有效数据。用这

种蜜罐需要系统管理员具有更高的专业技术。如果攻击者具有更高的技术，那么，他很可能

取代管理员对系统的控制，从而对其它系统进行攻击。

④用户模式服务器（usermodeserver）

用户模式服务器实际上是一个用户进程，它运行在主机上，并且模拟成一个真实的服务器。

在真实主机中，每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定是实例。

而用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中，当INTERNET

用户向用户模式服务器的IP地址发送请求，主机将接受请求并且转发到用户模式服务器上。

（我们用这样一个图形来表示一下他们之间的关系）：这种模式的成功与否取决于攻击者的

进入程度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被

攻陷，由于用户模式服务器是一个用户进程，那么Administrator只要关闭该进程就可以了。

另外就是可以将FIREWALL,IDS集中于同一台服务器上。当然，其局限性是不适用于所有

的操作系统。

蜜罐的信息收集

当我们察觉到攻击者已经进入蜜罐的时候，接下来的任务就是数据的收集了。数据收集是设

置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包，就能够对黑客的

所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很容易被攻

击者删除，所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服

务器发送日志备份。（务必同时监控日志服务器。如果攻击者用新手法闯入了服务器，那么

蜜罐无疑会证明其价值。）

近年来，由于黑帽子群体越来越多地使用加密技术，数据收集任务的难度大大增强。如今，

他们接受了众多计算机安全专业人士的建议，改而采用SSH等密码协议，确保网络监控对

自己的通讯无能为力。蜜网对付密码的计算就是修改目标计算机的操作系统，以便所有敲入

的字符、传输的文件及其它信息都记录到另一个监控系统的日志里面。因为攻击者可能会发

现这类日志，蜜网计划采用了一种隐蔽技术。譬如说，把敲入字符隐藏到NetBIOS广播数

据包里面