虛擬蜜罐Honeyd的分析和研究

1、假造蜜罐Honeyd的闡發(fā)和研究摘要：該文先容一個(gè)新的主動(dòng)型的網(wǎng)絡(luò)寧?kù)o體系蜜罐。起首給出了蜜罐的界說(shuō)和分類(lèi)，然后詳細(xì)形貌了一個(gè)網(wǎng)絡(luò)條理上的模擬盤(pán)算機(jī)體系的假造蜜罐框架Hneyd，討論了Hneyd的原理、布局、特點(diǎn)、方案和實(shí)現(xiàn)，并對(duì)它的成效作了全面的測(cè)試評(píng)估。關(guān)鍵字：蜜罐，交互性，本性，路由拓?fù)?，模?蜜罐Hneypt的先容本日網(wǎng)絡(luò)寧?kù)o題目正日益嚴(yán)峻。黑客利用主動(dòng)化的大范圍的缺點(diǎn)掃描東西，可以在創(chuàng)造缺點(diǎn)后不久就使環(huán)球的盤(pán)算機(jī)體系遭受粉碎。但是顛末數(shù)十年的研究和探究，我們?nèi)耘f不克不及確保盤(pán)算機(jī)體系的寧?kù)o，乃至無(wú)法正確評(píng)估它們的寧?kù)o性。如今我們先容一種新的網(wǎng)絡(luò)寧?kù)o預(yù)警體系：蜜罐Hneypt。蜜罐是指

2、受到精細(xì)監(jiān)控的網(wǎng)絡(luò)誘騙體系，它可以疑惑仇人，將打擊從網(wǎng)絡(luò)中比力緊張的呆板上轉(zhuǎn)移開(kāi)，對(duì)新打擊發(fā)出預(yù)警，更緊張的是可以引誘黑客打擊而并對(duì)其打擊的舉動(dòng)和歷程舉行深化的闡發(fā)研究。將蜜罐和入侵檢測(cè)體系、防火墻等結(jié)合利用，可以有效進(jìn)步體系寧?kù)o性。Hneypt分為兩種范例：一種是低交互性蜜罐L-InteratinHneypt，另一種是高交互性蜜罐High-InteratinHneypt。低交互性蜜罐通常是運(yùn)行于現(xiàn)有操縱體系上的仿真辦事，只容許少量的交互行動(dòng),黑客只能在仿真辦事預(yù)設(shè)的范疇內(nèi)行動(dòng)，它的長(zhǎng)處是布局簡(jiǎn)樸，擺設(shè)輕易，風(fēng)險(xiǎn)很低。高交互性蜜罐通常由真實(shí)的操縱體系來(lái)構(gòu)建，提供應(yīng)黑客的是真實(shí)的體系和辦事。接納

3、這種方法可以得到大量的有效信息，包羅我們完全不相識(shí)的新的網(wǎng)絡(luò)打擊方法。同時(shí)，它也帶來(lái)了更多的風(fēng)險(xiǎn)-黑客大概通過(guò)這個(gè)完全開(kāi)放的真實(shí)體系去打擊和滲出網(wǎng)絡(luò)中的其他呆板。設(shè)置高交互性的物理的蜜罐本錢(qián)很高，由于每個(gè)蜜罐是具有自已IP地點(diǎn)的真實(shí)呆板，要有它自已的操縱體系和相應(yīng)硬件。而假造蜜罐是由一臺(tái)呆板去模擬布局一個(gè)擁有的多個(gè)假造主機(jī)和假造辦事的網(wǎng)絡(luò)。相對(duì)而言，假造蜜罐必要較少的盤(pán)算機(jī)資源和維護(hù)用度。本文形貌的Hneyd，就是一個(gè)在網(wǎng)絡(luò)條理上模擬盤(pán)算機(jī)體系的假造蜜罐框架。2Hneyd的方案和實(shí)行Hneyd是一個(gè)輕型的開(kāi)放源代碼的假造蜜罐的框架，可以模擬多個(gè)操縱體系和網(wǎng)絡(luò)辦事，支持IP協(xié)議族，創(chuàng)立恣意拓?fù)洳?/p>

4、局的假造網(wǎng)絡(luò)。同時(shí)，為了模擬拓?fù)涫枭⒌木W(wǎng)絡(luò)地點(diǎn)空間和共享負(fù)荷，該布局也支持網(wǎng)絡(luò)通道。圖1Hneyd的數(shù)據(jù)吸收?qǐng)D2Hneyd的布局2.1網(wǎng)絡(luò)數(shù)據(jù)的吸收要使Hneyd可以對(duì)目的IP地點(diǎn)屬于假造蜜罐之一的網(wǎng)絡(luò)數(shù)據(jù)包正常的擔(dān)當(dāng)和回應(yīng)，有如下要領(lǐng)：對(duì)指向Hneyd主機(jī)的假造IP地點(diǎn)創(chuàng)立特定路由、利用ARP署理及利用網(wǎng)絡(luò)通道。在龐大的環(huán)境下，我們也可以應(yīng)用通用路由封裝GRE通道協(xié)議在網(wǎng)絡(luò)地點(diǎn)空間和hndyd主機(jī)間創(chuàng)立通道。2.2Hneyd布局Hneyd布局由幾部門(mén)組成：一個(gè)設(shè)置數(shù)據(jù)庫(kù)，一其中心包分派器，協(xié)議處置懲罰器，本性化引擎和隨機(jī)的路由組件，見(jiàn)圖2。Hneyd支持三種重要的互聯(lián)網(wǎng)協(xié)議：IP，TP和UD

5、P。輸入的包由中心包分派器處置懲罰，它起首檢測(cè)IP包的長(zhǎng)度并驗(yàn)證校驗(yàn)，然后查詢(xún)?cè)O(shè)置數(shù)據(jù)庫(kù)尋到與目的IP地點(diǎn)相對(duì)應(yīng)的蜜罐設(shè)置，假設(shè)不存在專(zhuān)用的設(shè)置，那么應(yīng)用缺省模板。確定了設(shè)置后，數(shù)據(jù)包被傳送給相應(yīng)的協(xié)議處置懲罰器。IP協(xié)議處置懲罰器支持大多數(shù)IP哀求。缺省時(shí)，對(duì)EH哀求做出反響并給出目的地點(diǎn)不成達(dá)的信息。對(duì)TP和UDP來(lái)說(shuō)，該布局能為恣意的辦事創(chuàng)立毗連，辦事是在STDIN上擔(dān)當(dāng)數(shù)據(jù)并把輸動(dòng)身送到STDUT的外部應(yīng)用。Hneyd包羅一個(gè)簡(jiǎn)化的TP狀態(tài)機(jī)，完全支持三次握手Three-ayHandshake的創(chuàng)立毗連和通過(guò)FIN或RST撤消毗連，但是擔(dān)當(dāng)器和擁塞窗口辦理沒(méi)有完全實(shí)現(xiàn)。UDP數(shù)據(jù)報(bào)直接

6、傳到應(yīng)用，當(dāng)收到一個(gè)發(fā)往封閉端口的UDP包的時(shí)間，默認(rèn)發(fā)出一個(gè)IP端口不成達(dá)的信息。Hneyd布局也支持毗連的重定向，重定向可以是靜態(tài)的或依靠于毗連四元組源地點(diǎn)，源端口，目的地點(diǎn)，目的端口。重定向容許我們把假造蜜罐上的一個(gè)辦事毗連哀求轉(zhuǎn)遞給一個(gè)在真正的辦事器上運(yùn)行的辦事，比方，我們可以把DNS哀求重指向一個(gè)域名辦事器乃至可以把毗連反傳給仇人。2.3本性化引擎PersnalityEngine黑客通常會(huì)運(yùn)用象Xprbe或Nap的指紋識(shí)別東西來(lái)網(wǎng)絡(luò)目的體系的信息，為了疑惑仇人，Hneyd可以模擬給定操縱體系的網(wǎng)絡(luò)堆棧舉動(dòng)，我們把這稱(chēng)為假造蜜罐的本性(Persnality)。本性化引擎使蜜罐的網(wǎng)絡(luò)堆棧

7、根據(jù)本性設(shè)置來(lái)改變每個(gè)外出包的協(xié)議頭，以便與被設(shè)置的操縱體系的特性符合。Hneyd布局應(yīng)用Nap指紋庫(kù)作為本性的TP和UP舉動(dòng)的參照，用Xprbe的指紋據(jù)庫(kù)作為本性的IP舉動(dòng)的參照。下面先容怎樣應(yīng)用Nap提供的指紋信息來(lái)改變蜜罐的網(wǎng)絡(luò)堆棧特性。FingerprintindsNT4.0SP6a+htfixesTSeq(lass=RI%gd=6%SI=40132290%IPID=BI|RPI%TS=U)T1(DF=Y%=2022%AK=S+%Flags=AS%ps=)T2(Resp=Y%DF=N%=0%AK=S%Flags=AR%ps=)T3(Resp=Y%DF=Y%=2022%AK=S+%Fla

8、gs=AS%ps=)T4(DF=N%=0%AK=%Flags=R%ps=)T5(DF=N%=00|800%AK=S+%Flags=AR%ps=NETL)T6(DF=N%=0%AK=%Flags=R%ps=NETL)T7(DF=N%=0%AK=%Flags=R%ps=NETL)PU(Resp=N|Y)圖3Nap指紋的例子每個(gè)Nap指紋有一個(gè)雷同于圖3中所示的格式，F(xiàn)ingerprint標(biāo)記后的字符串為本性化名字，反面的九行形貌九個(gè)差異測(cè)試的效果。第一個(gè)測(cè)試是最緊張的，它決定著長(zhǎng)途操縱體系的網(wǎng)絡(luò)堆棧怎樣為T(mén)PSYN字段產(chǎn)生初始序列號(hào)ISN，在lass字段指明猜測(cè)ISN的難度，在gd和SI字段提供I

9、SN漫衍的更多詳細(xì)信息，同時(shí)它也決定IP報(bào)文標(biāo)識(shí)和TP時(shí)間戳。下七個(gè)測(cè)試確定到達(dá)開(kāi)放和封閉的TP端口的包的堆棧舉動(dòng)，末了的測(cè)試PU闡發(fā)了對(duì)封閉的UDP端口的IP反響包。2.4路由拓?fù)鋟tingTplgyHneyd可以或許模擬隨機(jī)的網(wǎng)絡(luò)路由拓?fù)?。通常假造的路由拓?fù)涫且恢陿?shù)，根節(jié)點(diǎn)是數(shù)據(jù)包進(jìn)入假造網(wǎng)絡(luò)的入口。樹(shù)的每個(gè)內(nèi)部節(jié)點(diǎn)代表著一個(gè)路由器。每個(gè)邊代表著一個(gè)包羅著時(shí)間等候和包喪失等特性的毗連。樹(shù)的終端節(jié)點(diǎn)與網(wǎng)絡(luò)相對(duì)應(yīng)。當(dāng)Hneyd接到包時(shí)，它尋到準(zhǔn)確的入口路由樹(shù)并穿過(guò)它，從根開(kāi)始直到創(chuàng)造包羅包的目的IP地點(diǎn)的一個(gè)節(jié)點(diǎn)為止，沿途的包喪失和全部邊的時(shí)間等候積聚起來(lái)，確定是否揚(yáng)棄該包和它的傳送應(yīng)該耽誤多

10、長(zhǎng)時(shí)間。數(shù)據(jù)包每通過(guò)一個(gè)假造路由器，就相應(yīng)淘汰的保存期TTL的值，當(dāng)TTL為零時(shí)，Hneyd發(fā)出包羅導(dǎo)致TTL為零的路由器IP的一個(gè)IP超時(shí)信息。Hneyd也可以把真正的體系與假造的路由拓?fù)浣Y(jié)合起來(lái)，當(dāng)布局收一個(gè)真實(shí)體系的包時(shí)，包沿著網(wǎng)絡(luò)拓?fù)湫凶咧钡剿鼊?chuàng)造直接對(duì)真正的呆板所屬的網(wǎng)絡(luò)空間賣(mài)力的一個(gè)假造路由器。認(rèn)真正的體系發(fā)出ARP哀求時(shí)，布局以相應(yīng)的假造路由器的ARP復(fù)興來(lái)相應(yīng)。2.5設(shè)置在Hneyd框架中，通過(guò)設(shè)置模板(Teplate)來(lái)設(shè)置假造的蜜罐。設(shè)置語(yǔ)言是一種上下文無(wú)關(guān)文法，可以設(shè)置假造網(wǎng)絡(luò)，操縱體系和辦事。下面是一個(gè)完備的inds模板設(shè)置典范：#indsputersreateinds

11、#創(chuàng)立一inds操縱體系模板setindspersnalityindsNT4.0ServerSP5-SP6#設(shè)置該模板的Nap指紋setindsdefaulttpatinreset#設(shè)置缺省的TP行動(dòng)setindsdefaultudpatinreset#設(shè)置缺省的UDP行動(dòng)addindstpprt80perlsripts/iis-0.95/iiseul8.pl#設(shè)置體系監(jiān)聽(tīng)到80端口，而且調(diào)用足本sripts/iis-0.95/iiseul8.pl#處置懲罰對(duì)該端口的拜候addindstpprt139pen#翻開(kāi)TP139端口addindstpprt138pen#翻開(kāi)TP137端口addind

12、sudpprt137pen#翻開(kāi)UDP137端口addindsudpprt135pen#翻開(kāi)UDP135端口setindsuptie3284460#設(shè)置inds體系啟動(dòng)時(shí)間3Hneyd的測(cè)試評(píng)估我們利用Hneyd模擬了的一個(gè)包羅五個(gè)路由器，10個(gè)假造蜜罐，兩個(gè)入口點(diǎn)和一個(gè)融入假造網(wǎng)絡(luò)的真實(shí)蜜罐呆板龐大網(wǎng)絡(luò)，然后用traerute來(lái)測(cè)試去恣意假造主機(jī)的途徑，效果表現(xiàn)Hneyd樂(lè)成地模擬了一個(gè)根底不存在的網(wǎng)絡(luò)拓?fù)?。為了更充?shí)地測(cè)試Hneyd布局疑惑了Nap的本領(lǐng),我們創(chuàng)立了一個(gè)B類(lèi)網(wǎng)絡(luò)，每個(gè)假造蜜罐設(shè)置有Nap指紋庫(kù)中一個(gè)指紋，剔除重復(fù)，我們利用了600個(gè)特別的指紋。蜜罐被設(shè)置只有開(kāi)放一個(gè)端口，運(yùn)行一個(gè)eb辦事。然后對(duì)全部設(shè)置的IP地點(diǎn)，啟動(dòng)Nap來(lái)識(shí)別操縱體系。效果是，對(duì)555個(gè)指紋Nap正確簡(jiǎn)直認(rèn)了模擬的操縱體系，對(duì)37個(gè)指紋Nap列出包羅模擬的本性在內(nèi)的多個(gè)大概選擇，Nap只有對(duì)8個(gè)指紋沒(méi)有識(shí)別出準(zhǔn)確的操縱體系。這大概是Hneyd的題目也大概是由于指紋數(shù)據(jù)庫(kù)構(gòu)造題目。4結(jié)語(yǔ)Hneyd通過(guò)假造主機(jī)，網(wǎng)絡(luò)和報(bào)酬設(shè)置的辦事，可以應(yīng)用在網(wǎng)絡(luò)寧?kù)o的很多范疇。比方：病毒探測(cè)、反蠕蟲(chóng)、制止垃