蜜罐主機(jī)和欺騙網(wǎng)絡(luò)

蜜罐主機(jī)和欺騙網(wǎng)絡(luò)第1頁，共67頁，2023年，2月20日，星期四16.1蜜罐主機(jī)(Honeypot)

16.1.1蜜罐主機(jī)基礎(chǔ)術(shù)語“蜜罐主機(jī)”現(xiàn)在是隨處可見，不同的廠商都聲稱他們可以提供蜜罐主機(jī)類產(chǎn)品。但到底什么是蜜罐主機(jī)，一直沒有確切的定義。在此，我們把蜜罐主機(jī)定義為：蜜罐主機(jī)是一種資源，它被偽裝成一個(gè)實(shí)際目標(biāo)；蜜罐主機(jī)希望人們?nèi)ス艋蛉肭炙?；它的主要目的在于分散攻擊者的注意力和收集與攻擊和攻擊者有關(guān)的信息。第2頁，共67頁，2023年，2月20日，星期四

16.1.2蜜罐主機(jī)的價(jià)值正如前面所述，蜜罐主機(jī)不能直接解決任何網(wǎng)絡(luò)安全問題，甚至于會(huì)引來更多的入侵者來進(jìn)攻自己的網(wǎng)絡(luò)。那么，蜜罐主機(jī)到底能給我們提供什么有用信息？我們又如何利用這些信息？有兩種類型的蜜罐主機(jī)：產(chǎn)品型(Production)蜜罐主機(jī)和研究型(Research)蜜罐主機(jī)。產(chǎn)品型蜜罐主機(jī)用于降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)；研究型蜜罐主機(jī)則用于收集盡可能多的信息。這些蜜罐主機(jī)不會(huì)為網(wǎng)絡(luò)增加任何安全價(jià)值，但它們確實(shí)可以幫助我們明確黑客社團(tuán)以及他們的攻擊行為，以便更好地抵御安全威脅。第3頁，共67頁，2023年，2月20日，星期四蜜罐主機(jī)是專門用來被人入侵的一種資源。所有通過蜜罐主機(jī)的通信流量都被認(rèn)為是可疑的，因?yàn)樵诿酃拗鳈C(jī)上不會(huì)運(yùn)行額外的、會(huì)產(chǎn)生其它通信流量的系統(tǒng)。通常，進(jìn)出蜜罐主機(jī)的通信都是非授權(quán)的，因此蜜罐主機(jī)所收集的信息也是我們所感興趣的數(shù)據(jù)，而且這些信息不會(huì)摻雜有其它系統(tǒng)所產(chǎn)生的額外通信數(shù)據(jù)，因此分析起來相對(duì)容易一些。它所收集的數(shù)據(jù)的價(jià)值相對(duì)較高。第4頁，共67頁，2023年，2月20日，星期四但是如果一臺(tái)蜜罐主機(jī)沒有被攻擊，那么它就毫無意義。蜜罐主機(jī)通常位于網(wǎng)絡(luò)的某點(diǎn)(SinglePoint)，因此它被攻擊者發(fā)現(xiàn)的概率是很小的。蜜罐主機(jī)有可能增加額外的風(fēng)險(xiǎn)：入侵者有可能被整個(gè)網(wǎng)絡(luò)所吸引或者蜜罐主機(jī)可能被攻陷。第5頁，共67頁，2023年，2月20日，星期四

16.1.3部分蜜罐主機(jī)產(chǎn)品比較這一節(jié)對(duì)部分可用的產(chǎn)品和解決辦法進(jìn)行比較說明[2][3][4]。表16-1對(duì)幾種常用蜜罐主機(jī)的關(guān)鍵要素進(jìn)行比較。第6頁，共67頁，2023年，2月20日，星期四表16-1蜜罐主機(jī)比較表主機(jī)關(guān)鍵要素ManTrapSpecterDTK交互程度高低中可擴(kuò)展√—√開放源碼——√免費(fèi)——√費(fèi)用高低中支持日志文件√√√告警通知√√√配置難容易中GUI圖形界面√√—第7頁，共67頁，2023年，2月20日，星期四上述各個(gè)蜜罐主機(jī)有各自的強(qiáng)項(xiàng)。Specter最容易配置和運(yùn)行，這得益于它的圖形化用戶界面。它的價(jià)值并不很高，因?yàn)樗皇钦嬲牟僮飨到y(tǒng)一級(jí)的，當(dāng)然這也有助于降低安全風(fēng)險(xiǎn)。

ManTrap和DTK這兩種蜜罐主機(jī)的構(gòu)造則是高度自定義的。它們的價(jià)值和風(fēng)險(xiǎn)都相對(duì)較高，因此它們的日常維護(hù)費(fèi)用也較高。ManTrap相對(duì)于DTK的優(yōu)勢(shì)在于其圖形化界面，因此配置、分析和管理起來相對(duì)容易一些。第8頁，共67頁，2023年，2月20日，星期四16.2連累等級(jí)(LevelofInvolvement)蜜罐主機(jī)的一個(gè)重要特性就是連累等級(jí)。連累等級(jí)是指攻擊者同蜜罐主機(jī)所在的操作系統(tǒng)的交互程度。第9頁，共67頁，2023年，2月20日，星期四16.2.1低連累蜜罐主機(jī)一臺(tái)典型的低連累蜜罐主機(jī)只提供某些偽裝的服務(wù)。一種最基本的實(shí)現(xiàn)形式可以是程序在某一個(gè)特定端口偵聽。例如，一條簡單的命令“netcat-1-p80>/1og/honeypot/port_80.log”，就可以偵聽80號(hào)端口(HTTP)，并記錄所有進(jìn)入的通信到一個(gè)日志文件當(dāng)中。當(dāng)然這種方法無法實(shí)現(xiàn)復(fù)雜協(xié)議通信數(shù)據(jù)的捕獲。例如由于沒有對(duì)進(jìn)入的請(qǐng)求進(jìn)行應(yīng)答，所以僅僅依賴一個(gè)初始SMTP握手?jǐn)?shù)據(jù)包并不能獲得太多有用信息。第10頁，共67頁，2023年，2月20日，星期四圖16-1低連累蜜罐主機(jī)第11頁，共67頁，2023年，2月20日，星期四在一個(gè)低連累蜜罐主機(jī)上，由于攻擊者并不與實(shí)際的操作系統(tǒng)打交道，從而可以大大降低蜜罐主機(jī)所帶來的安全風(fēng)險(xiǎn)。不過這種蜜罐也有其缺點(diǎn)，那就是蜜罐無法看到攻擊者同操作系統(tǒng)的交互過程。一個(gè)低連累蜜罐主機(jī)就如同一條單向連接，我們只能聽，無法提出問題。這是一種被動(dòng)式蜜罐，如圖16-1所示。低連累蜜罐主機(jī)類似于一個(gè)被動(dòng)的入侵檢測(cè)系統(tǒng)，它們不對(duì)通信流進(jìn)行修改或者同攻擊者進(jìn)行交互。如果進(jìn)入的包匹配某種實(shí)現(xiàn)定義的模式，它們就會(huì)產(chǎn)生日志和告警信息。第12頁，共67頁，2023年，2月20日，星期四圖16-2中連累蜜罐主機(jī)同攻擊者進(jìn)行交互第13頁，共67頁，2023年，2月20日，星期四

16.2.2中連累蜜罐主機(jī)中連累蜜罐主機(jī)(如圖16-2所示)提供更多接口同底層的操作系統(tǒng)進(jìn)行交互，偽裝的后臺(tái)服務(wù)程序也要復(fù)雜一些，對(duì)其所提供的特定服務(wù)需要的知識(shí)也更多，同時(shí)風(fēng)險(xiǎn)也在增加。隨著蜜罐主機(jī)復(fù)雜度的提升，攻擊者發(fā)現(xiàn)其中的安全漏洞的機(jī)會(huì)也在增加，攻擊者可以采取的攻擊技術(shù)也相應(yīng)更多。由于協(xié)議和服務(wù)眾多，開發(fā)中連累蜜罐主機(jī)要更復(fù)雜和花費(fèi)更多時(shí)間。必須特別注意的是，所有開發(fā)的偽裝后臺(tái)服務(wù)程序必須足夠安全，不應(yīng)該存在出現(xiàn)在實(shí)際服務(wù)中的漏洞。第14頁，共67頁，2023年，2月20日，星期四

16.2.3高連累蜜罐主機(jī)高連累蜜罐主機(jī)如圖16-3所示，由于高連累蜜罐主機(jī)與底層操作系統(tǒng)的交互是“實(shí)實(shí)在在”的，所以隨著操作系統(tǒng)復(fù)雜性的提高，由蜜罐主機(jī)所帶來的安全風(fēng)險(xiǎn)也不斷增高。同時(shí)，蜜罐主機(jī)所能夠收集到的信息越多，也就越容易吸引入侵者。黑客的目標(biāo)就是完全控制蜜罐主機(jī)，而高連累蜜罐主機(jī)也確實(shí)為黑客提供了這樣的工作環(huán)境。此時(shí)，整個(gè)系統(tǒng)已經(jīng)不能再被當(dāng)作是安全的，雖然，蜜罐主機(jī)通常運(yùn)行在一個(gè)受限制的虛擬環(huán)境中(所謂的沙箱或者VMWare[5])，但入侵者總會(huì)有辦法突破這個(gè)軟件邊界。第15頁，共67頁，2023年，2月20日，星期四由于高連累蜜罐主機(jī)的高安全風(fēng)險(xiǎn)，因而我們有必要對(duì)蜜罐一直進(jìn)行監(jiān)視，否則蜜罐主機(jī)本身可能成為另一個(gè)安全漏洞。因此，蜜罐主機(jī)可以訪問的資源和范圍必須受到一定的限制，對(duì)于進(jìn)出蜜罐主機(jī)的通信流必須進(jìn)行過濾，以防止成為黑客發(fā)動(dòng)其它攻擊的跳板。第16頁，共67頁，2023年，2月20日，星期四圖16-3高連累蜜罐主機(jī)第17頁，共67頁，2023年，2月20日，星期四由于高連累蜜罐主機(jī)給攻擊者提供的是完整的操作系統(tǒng)，攻擊者不僅可以同蜜罐主機(jī)交互，還可以同操作系統(tǒng)交互，因此它可以成功入侵系統(tǒng)的概率也就很大。當(dāng)然，我們從蜜罐主機(jī)獲得的信息也就越多。表16-2對(duì)不同連累等級(jí)蜜罐主機(jī)的優(yōu)缺點(diǎn)進(jìn)行了比較。第18頁，共67頁，2023年，2月20日，星期四表16-2各連累等級(jí)蜜罐的優(yōu)缺點(diǎn)比較等級(jí)

低中高交互等級(jí)低中高真實(shí)操作系統(tǒng)——√安全風(fēng)險(xiǎn)低中高信息收集按連接按請(qǐng)求全面希望被入侵——√運(yùn)行所需知識(shí)低低高開發(fā)所需知識(shí)低高中高維護(hù)時(shí)間低低很高第19頁，共67頁，2023年，2月20日，星期四16.3蜜罐主機(jī)的布置蜜罐主機(jī)對(duì)于其運(yùn)行環(huán)境并沒有太多限制，正如一臺(tái)標(biāo)準(zhǔn)服務(wù)器一樣，可以位于網(wǎng)絡(luò)的任何位置，但對(duì)于不同的擺放位置有其不同的優(yōu)缺點(diǎn)。第20頁，共67頁，2023年，2月20日，星期四根據(jù)所需要的服務(wù)，蜜罐主機(jī)既可以放置于互聯(lián)網(wǎng)中，也可以放置在內(nèi)聯(lián)網(wǎng)中。如果把密罐主機(jī)放置于內(nèi)聯(lián)網(wǎng)，那么對(duì)于檢測(cè)內(nèi)部網(wǎng)的攻擊者會(huì)有一定的幫助。但是必須注意的是，一旦蜜罐主機(jī)被突破，它就像一把尖刀直插你的心臟，因此要盡量降低其運(yùn)行等級(jí)。第21頁，共67頁，2023年，2月20日，星期四如果你更加關(guān)心互聯(lián)網(wǎng)，那么蜜罐主機(jī)可以放置在另外的地方：①防火墻外面(Internet)②DMZ(非軍事區(qū))③防火墻后面(Intranet)

每種擺放方式都有各自的優(yōu)缺點(diǎn)。如果把蜜罐主機(jī)放在防火墻外面(見圖16-4中的位置(1))，那么對(duì)內(nèi)部網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)不會(huì)有任何影響。這樣就可以消除在防火墻后面出現(xiàn)一臺(tái)失陷主機(jī)的可能性。第22頁，共67頁，2023年，2月20日，星期四圖16-4蜜罐主機(jī)的布置第23頁，共67頁，2023年，2月20日，星期四蜜罐主機(jī)有可能吸引和產(chǎn)生大量的不可預(yù)期的通信量，如端口掃描或網(wǎng)絡(luò)攻擊所導(dǎo)致的通信流。如果把蜜罐主機(jī)放在防火墻外面，這些事件就不會(huì)被防火墻記錄或者導(dǎo)致內(nèi)部入侵檢測(cè)系統(tǒng)產(chǎn)生告警信息。對(duì)于防火墻或者入侵檢測(cè)系統(tǒng)，以及任何其它資源來說，最大的好處莫過于在防火墻外面運(yùn)行的蜜罐主機(jī)不會(huì)影響它們，不會(huì)給它們帶來額外的安全威脅。缺點(diǎn)是外面的蜜罐主機(jī)無法定位內(nèi)部攻擊信息。第24頁，共67頁，2023年，2月20日，星期四特別是如果防火墻本身就限制內(nèi)部通信流直接通向互聯(lián)網(wǎng)的話，那么蜜罐主機(jī)基本上看不到內(nèi)部網(wǎng)的通信流。因此把蜜罐主機(jī)放在DMZ(見圖16-4中的位置(2))似乎是一種較好的解決方案，但這必須首先保證DMZ內(nèi)的其它服務(wù)器是安全的。大多數(shù)DMZ內(nèi)的服務(wù)器只提供所必需的服務(wù)，也就是防火墻只允許與這些服務(wù)相關(guān)的通信經(jīng)過，而蜜罐主機(jī)通常會(huì)偽裝盡可能多的服務(wù)，因此，如何處理好這個(gè)矛盾是放置在DMZ內(nèi)的密罐主機(jī)需要解決的關(guān)鍵問題所在。第25頁，共67頁，2023年，2月20日，星期四如果把蜜罐主機(jī)置于防火墻后面(見圖16-4中的位置(3))，那么就有可能給內(nèi)部網(wǎng)絡(luò)引入新的安全威脅，特別是在蜜罐主機(jī)和內(nèi)部網(wǎng)絡(luò)之間沒有額外的防火墻保護(hù)的情況下。正如前面所述的，蜜罐主機(jī)通常都提供大量的偽裝服務(wù)，因此不可避免地必須修改防火墻的過濾規(guī)則，對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的通信流和蜜罐主機(jī)的通信流加以區(qū)別對(duì)待。否則，一旦蜜罐主機(jī)失陷，那么整個(gè)內(nèi)部網(wǎng)絡(luò)將完全暴露在攻擊者面前。從互聯(lián)網(wǎng)經(jīng)由防火墻到達(dá)蜜罐主機(jī)的通信流是暢通無阻的，因此對(duì)于內(nèi)部網(wǎng)中的蜜罐主機(jī)的安全性要求相對(duì)較高，特別是對(duì)高連累型蜜罐主機(jī)。第26頁，共67頁，2023年，2月20日，星期四最好的辦法就是讓蜜罐主機(jī)運(yùn)行在自己的DMZ內(nèi)，同其它網(wǎng)絡(luò)的連接都用防火墻隔離，防火墻可以根據(jù)需要建立同互聯(lián)網(wǎng)或內(nèi)聯(lián)網(wǎng)的連接。這種布置可以很好地解決對(duì)蜜罐主機(jī)的嚴(yán)格控制以及靈活的運(yùn)行環(huán)境的矛盾，從而實(shí)現(xiàn)最高安全。第27頁，共67頁，2023年，2月20日，星期四16.4欺騙網(wǎng)絡(luò)(Honeynet)通常情況下，蜜罐主機(jī)會(huì)模擬某些常見的漏洞、其它操作系統(tǒng)或者是在某個(gè)系統(tǒng)上做了設(shè)置使其成為一臺(tái)“牢籠”(Cage)主機(jī)。在物理上，蜜罐主機(jī)是單臺(tái)主機(jī)，要控制外出的通信流通常是不太可能的，它需要借助于防火墻等設(shè)備才能對(duì)通信流進(jìn)行限制。第28頁，共67頁，2023年，2月20日，星期四這樣便慢慢演化出一種更為復(fù)雜的欺騙網(wǎng)絡(luò)環(huán)境，被稱為欺騙網(wǎng)絡(luò)(Honeynet)。一個(gè)典型的欺騙網(wǎng)絡(luò)包含多臺(tái)蜜罐主機(jī)以及防火墻(或網(wǎng)橋式防火墻)來限制和記錄網(wǎng)絡(luò)通信流，通常還會(huì)包含入侵檢測(cè)系統(tǒng)，用以察看潛在的攻擊，解碼其中的網(wǎng)絡(luò)通信信息。圖16-5給出了不同的蜜罐主機(jī)和欺騙網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖。第29頁，共67頁，2023年，2月20日，星期四圖16-5不同的蜜罐主機(jī)和欺騙網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)第30頁，共67頁，2023年，2月20日，星期四欺騙網(wǎng)絡(luò)與傳統(tǒng)意義上的蜜罐主機(jī)有兩個(gè)最大的不同點(diǎn)：

(1)一個(gè)欺騙網(wǎng)絡(luò)是一個(gè)網(wǎng)絡(luò)系統(tǒng)，而并非某臺(tái)單一主機(jī)。這一網(wǎng)絡(luò)系統(tǒng)是隱藏在防火墻后面的，所有進(jìn)出的數(shù)據(jù)都被監(jiān)視、截獲及控制。這些被截獲的數(shù)據(jù)可以用于分析黑客團(tuán)體使用的工具、方法及動(dòng)機(jī)。在這個(gè)欺騙網(wǎng)絡(luò)中，可以使用各種不同的操作系統(tǒng)及設(shè)備，如Solaris,Linux,WindowsNT,CiscoSwitch等等。這樣建立的網(wǎng)絡(luò)環(huán)境看上去會(huì)更加真實(shí)可信。第31頁，共67頁，2023年，2月20日，星期四同時(shí)，可在不同的系統(tǒng)平臺(tái)上運(yùn)行不同的服務(wù)，比如Linux的DNSServer，WindowsNT的Webserver或者一個(gè)Solaris的FTPServer。我們可以學(xué)習(xí)不同的工具以及不同的策略——或許某些入侵者僅僅把目標(biāo)鎖定在幾個(gè)特定的系統(tǒng)漏洞上，而這種多樣化的系統(tǒng)配置，就更能準(zhǔn)確地勾勒出黑客團(tuán)體的趨勢(shì)和特征。第32頁，共67頁，2023年，2月20日，星期四

(2)在欺騙網(wǎng)絡(luò)中的所有系統(tǒng)都是標(biāo)準(zhǔn)的機(jī)器，上面運(yùn)行的都是真實(shí)完整的操作系統(tǒng)及應(yīng)用程序——就像在互聯(lián)網(wǎng)上找到的系統(tǒng)一樣。它們不需要被刻意地模擬某種環(huán)境或者故意地使系統(tǒng)不安全。在欺騙網(wǎng)絡(luò)里面找到的存在安全風(fēng)險(xiǎn)和漏洞的系統(tǒng)，與大多數(shù)互聯(lián)網(wǎng)上的公司組織內(nèi)的系統(tǒng)毫無區(qū)別，因而可以簡單地把自己的產(chǎn)品放到欺騙網(wǎng)絡(luò)中。第33頁，共67頁，2023年，2月20日，星期四通過在蜜罐主機(jī)之前設(shè)置防火墻，我們就可以控制進(jìn)入和流出蜜罐主機(jī)的通信流，大大降低因?yàn)槊酃拗鳈C(jī)所帶來的額外安全風(fēng)險(xiǎn)，而且網(wǎng)絡(luò)信息流的審計(jì)也變得相對(duì)容易。對(duì)所有蜜罐主機(jī)的審計(jì)可以通過集中管理方式來實(shí)現(xiàn)，所捕獲的數(shù)據(jù)也沒有必要存放在各個(gè)蜜罐主機(jī)內(nèi)，這樣可確保這些數(shù)據(jù)的安全。第34頁，共67頁，2023年，2月20日，星期四欺騙網(wǎng)絡(luò)的目的是對(duì)入侵者群體進(jìn)行研究，因而就必須能夠跟蹤他們的舉動(dòng)。這就需要建立一個(gè)透明的環(huán)境，以使我們能夠?qū)ζ垓_網(wǎng)絡(luò)里發(fā)生的任何事都有清楚的了解。傳統(tǒng)的方法是對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，但這里存在一個(gè)最大的問題：過大的數(shù)據(jù)量會(huì)使安全工程師疲于奔命。安全工程師必須從大量的數(shù)據(jù)中判斷哪些是正常的流量，哪些是惡意的活動(dòng)。一些如入侵檢測(cè)系統(tǒng)和基于主機(jī)的檢測(cè)及日志分析的工具、技術(shù)等會(huì)在很大程度上給我們帶來幫助，但是數(shù)據(jù)過載、信息被破壞、未知的活動(dòng)、偽造的日志等等都會(huì)為分析、檢查帶來困難。第35頁，共67頁，2023年，2月20日，星期四欺騙網(wǎng)絡(luò)對(duì)此采用了最簡單的解決方式。我們的目的是研究系統(tǒng)被侵害的一些相關(guān)事件，而不是分析網(wǎng)絡(luò)流量，因此可以假設(shè)認(rèn)為，從外界對(duì)欺騙網(wǎng)絡(luò)的訪問，除去正常訪問外，其它可能是一些掃描、探測(cè)及攻擊的行為，而從系統(tǒng)內(nèi)部對(duì)外界發(fā)起的連接，一般情況下，表明系統(tǒng)已被侵害了，入侵者正在利用它進(jìn)行一些活動(dòng)。這就使我們的分析活動(dòng)相對(duì)簡單化了。第36頁，共67頁，2023年，2月20日，星期四要成功地建立一個(gè)欺騙網(wǎng)絡(luò)，需要解決兩個(gè)問題：信息控制及信息捕獲。信息控制代表了一種規(guī)則，你必須能夠確定你的信息包能夠發(fā)送到什么地方。其目的是，當(dāng)欺騙網(wǎng)絡(luò)里的蜜罐主機(jī)被入侵后，它不會(huì)被用來攻擊欺騙網(wǎng)絡(luò)以外的機(jī)器。信息捕獲則是要抓到入侵者群體的所有流量，從他們的擊鍵到他們發(fā)送的信息包。只有這樣，我們才能進(jìn)一步分析他們使用的工具、策略及目的。第37頁，共67頁，2023年，2月20日，星期四

16.4.1信息控制如上面所講，信息控制是對(duì)入侵者的活動(dòng)進(jìn)行限制。在我們與入侵者進(jìn)行智力上的較量時(shí)，總會(huì)冒一定的風(fēng)險(xiǎn)，但必須盡可能地降低這些風(fēng)險(xiǎn)。我們必須確保當(dāng)系統(tǒng)失陷時(shí)，蜜罐主機(jī)不會(huì)對(duì)欺騙網(wǎng)絡(luò)以外的系統(tǒng)產(chǎn)生任何危害。這里的最大挑戰(zhàn)在于，我們對(duì)信息流的控制不能讓入侵者引起懷疑。在入侵者突破系統(tǒng)之后，他們最需要的就是網(wǎng)絡(luò)連接，以便從網(wǎng)絡(luò)上下載他們的工具包、打開IRC連接等等，因而我們必須給他們做這些事情的權(quán)利——這正是我們所想要分析的東西。第38頁，共67頁，2023年，2月20日，星期四因此，千萬不要禁止任何往外發(fā)的包——入侵者對(duì)此往往是非常敏感的。所以我們需要做的是，允許他們做大部分的“合法”事情，但是對(duì)攻擊其它系統(tǒng)的“需求”，比如發(fā)起拒絕服務(wù)攻擊、對(duì)外部進(jìn)行掃描以及利用程序攻擊他人的行為，則一概禁止。欺騙網(wǎng)絡(luò)應(yīng)當(dāng)能夠截獲進(jìn)出網(wǎng)絡(luò)的所有連接，因此，我們?cè)谄垓_網(wǎng)絡(luò)前端放置一個(gè)防火墻，所有的信息包都必須通過防火墻。第39頁，共67頁，2023年，2月20日，星期四防火墻能夠?qū)W(wǎng)絡(luò)中所有蜜罐主機(jī)往外發(fā)的每一個(gè)連接進(jìn)行跟蹤，當(dāng)某蜜罐主機(jī)外發(fā)信息的數(shù)量達(dá)到我們預(yù)先設(shè)定的上限時(shí)，防火墻便會(huì)阻塞那些信息包。在保證機(jī)器不被濫用的前提下，應(yīng)允許入侵者做盡可能多的他們想做的事。一般情況下，設(shè)定外發(fā)連接數(shù)為5～10是比較合適的，不會(huì)引起入侵者的懷疑。這樣做就避免了蜜罐主機(jī)成為入侵者的掃描、探測(cè)及攻擊他人的系統(tǒng)。第40頁，共67頁，2023年，2月20日，星期四另外，在防火墻與欺騙網(wǎng)絡(luò)之間還可放置一個(gè)路由器。之所以放置它，有下面兩個(gè)原因：

(1)路由器隱藏了防火墻。這種布局更像一個(gè)真實(shí)的網(wǎng)絡(luò)環(huán)境，沒人會(huì)注意到在路由器的外面還有一臺(tái)防火墻。

(2)路由器可以作為第二層訪問控制設(shè)備，是防火墻的一個(gè)很好補(bǔ)充，可以確保蜜罐主機(jī)不會(huì)被用來攻擊欺騙網(wǎng)絡(luò)之外的機(jī)器。防火墻與路由器的配合使用可以在技術(shù)上十分完善地對(duì)外出的信息包進(jìn)行過濾，也可以最大程度地讓入侵者們做他們想做的事情而不致產(chǎn)生懷疑。第41頁，共67頁，2023年，2月20日，星期四

16.4.2信息捕獲數(shù)據(jù)捕獲能夠獲得所有入侵者的行動(dòng)記錄，這些記錄最終將幫助我們分析他們所使用的工具、策略以及攻擊的目的。我們的目的是在入侵者不發(fā)現(xiàn)的情況下，捕獲盡可能多的數(shù)據(jù)信息。另外，捕獲到的數(shù)據(jù)不能放在蜜罐主機(jī)上，否則很可能會(huì)被入侵者發(fā)現(xiàn)，從而令其得知該系統(tǒng)是一個(gè)陷阱平臺(tái)。而這時(shí)，放置其上的數(shù)據(jù)可能會(huì)丟失或被銷毀，因此需要把數(shù)據(jù)放在遠(yuǎn)程安全的主機(jī)上。第42頁，共67頁，2023年，2月20日，星期四因而，不能僅僅依靠單一的方法，而應(yīng)采取多層的保護(hù)來使數(shù)據(jù)盡可能的完整和安全。信息捕獲技術(shù)可分為基于主機(jī)的信息捕獲技術(shù)和基于網(wǎng)絡(luò)的信息捕獲技術(shù)。

1．基于主機(jī)的信息捕獲信息捕獲工具可以分為兩類：(a)產(chǎn)生信息流的工具(例如攻擊者在蜜罐主機(jī)上的所有按鍵記錄)；(b)可以幫助管理員獲得系統(tǒng)信息或者蜜罐主機(jī)處于特定狀態(tài)的信息的工具(例如當(dāng)前CPU的使用率或者進(jìn)程列表)。第43頁，共67頁，2023年，2月20日，星期四當(dāng)使用第一種工具時(shí)，最大的問題在于在什么地方存儲(chǔ)這些數(shù)據(jù)，特別是沒有采用虛擬環(huán)境時(shí)更加突出。一種可能是保存在蜜罐主機(jī)上，例如某個(gè)隱藏分區(qū)內(nèi)。缺點(diǎn)是這些數(shù)據(jù)沒法被管理員實(shí)時(shí)處理，除非實(shí)現(xiàn)某種查看機(jī)制，允許遠(yuǎn)程獲得這些被記錄的數(shù)據(jù)。另外一個(gè)問題在于有限的本地存儲(chǔ)空間，導(dǎo)致無法采用冗長的、詳盡的記錄方式。入侵者對(duì)此也是心知肚明，他會(huì)想盡辦法來操縱這個(gè)區(qū)域，不管是刪除或者修改，還是緩存溢出，最終都將導(dǎo)致記錄數(shù)據(jù)不可信。圖16-6是不同信息記錄方法的示意圖。第44頁，共67頁，2023年，2月20日，星期四因此有關(guān)入侵的數(shù)據(jù)最好保存在安全的遠(yuǎn)程(意味著入侵者無法訪問到)主機(jī)內(nèi)，這種方式的可信度相對(duì)要高些。當(dāng)然，如果入侵者知道記錄機(jī)制，那么入侵者就有可能偽造日志數(shù)據(jù)(或索性讓日志進(jìn)程停止工作)，但是只要數(shù)據(jù)離開蜜罐主機(jī)，就無法刪除事件信息。第45頁，共67頁，2023年，2月20日，星期四圖16-6不同的信息記錄方法第46頁，共67頁，2023年，2月20日，星期四

1)Windows系統(tǒng)有人或許認(rèn)為由于Windows系統(tǒng)存在大量的攻擊方法，因此把它作為蜜罐主機(jī)是比較理想的，但事實(shí)上并非如此。Windows系統(tǒng)本身的系統(tǒng)結(jié)構(gòu)使得它作為數(shù)據(jù)捕獲設(shè)備相對(duì)很難(至少對(duì)基于主機(jī)的是這樣)。第47頁，共67頁，2023年，2月20日，星期四直到今天，Windows操作系統(tǒng)的源代碼仍未公開，因此要對(duì)操作系統(tǒng)進(jìn)行修改是很難的事情，且任何日志功能的增加都是在用戶空間完成的，無法做到透明的實(shí)現(xiàn)，因此入侵者很容易發(fā)現(xiàn)蜜罐主機(jī)。把數(shù)據(jù)捕獲機(jī)制作為可裝載模塊或許是一種比較好的解決辦法。對(duì)于Windows系統(tǒng)的管理員來說，它能做的無非是記錄運(yùn)行的進(jìn)程列表，周期性地檢查事件日志和檢查系統(tǒng)文件的完整性(用MD-5算法[6])。第48頁，共67頁，2023年，2月20日，星期四

2)UNIX類系統(tǒng)

UNIX類操作系統(tǒng)可以為我們提供更多的數(shù)據(jù)捕獲機(jī)制。幾乎所有的系統(tǒng)部件都可以得到其源代碼，從而可以修改這些源代碼，把捕獲機(jī)制集成到這些部件當(dāng)中。但這也不是沒有任何問題的。這些經(jīng)過修改的源代碼被編譯后生成的可執(zhí)行程序雖然很難被檢查出來，但并不是沒有可能。對(duì)于高明的入侵者來說，還是能區(qū)分出來原版與補(bǔ)丁(Patched)后的版本之間的差異：第49頁，共67頁，2023年，2月20日，星期四●MD-5校驗(yàn)和(MD-5Checksums)：如果入侵者擁有一個(gè)參考系統(tǒng)，那么他就可以拿它與蜜罐主機(jī)進(jìn)行比較，從而發(fā)現(xiàn)其中的不同之處。例如入侵者可以對(duì)所有的標(biāo)準(zhǔn)系統(tǒng)文件計(jì)算其MD-5校驗(yàn)和。●庫依賴性檢查(LibraryDependencyChecks)：即使入侵者不知道原始系統(tǒng)文件的確切結(jié)構(gòu)，它也可以使用UNIX的“l(fā)dd”命令來檢查一些奇異的共享庫依賴性。例如，如果UNIX二進(jìn)制程序“grep”(用于文本搜索)依賴某一個(gè)函數(shù)來同syslog后臺(tái)服務(wù)程序通信，那么入侵者就會(huì)產(chǎn)生懷疑。一種可能的解決辦法是使用靜態(tài)鏈接庫。第50頁，共67頁，2023年，2月20日，星期四●進(jìn)程捆綁(TrussingProcesses)：在UNIX操作系統(tǒng)中，超級(jí)用戶可以用“truss”或“strace”命令查看任何進(jìn)程，特別是該進(jìn)程所使用的系統(tǒng)調(diào)用。如果一個(gè)二進(jìn)制程序，例如“grep”，突然開始同另外的進(jìn)程(例如syslog后臺(tái)程序)進(jìn)行通信，那么入侵者就會(huì)知道被攻擊的系統(tǒng)有問題。第51頁，共67頁，2023年，2月20日，星期四大多數(shù)的入侵者都會(huì)在被入侵的主機(jī)上安裝所謂的工具箱(Rootkits)。這些工具箱包含了預(yù)編譯好的系統(tǒng)程序，它們可以直接被拷貝到被入侵的主機(jī)上執(zhí)行。因此，你原來在蜜罐主機(jī)上所做的系統(tǒng)修改就可能失效。解決辦法之一就是對(duì)所有的系統(tǒng)程序進(jìn)行補(bǔ)丁，這樣總有一些系統(tǒng)程序會(huì)被保留下來；另外一種辦法就是修改系統(tǒng)內(nèi)核，直接在內(nèi)核里集成數(shù)據(jù)捕獲能力。第52頁，共67頁，2023年，2月20日，星期四目前，很多的UNIX系統(tǒng)使用模塊化內(nèi)核，這樣用戶就可以在運(yùn)行時(shí)向內(nèi)核增加新的功能。這或許會(huì)給入侵者提供機(jī)會(huì)，增加某些特殊的對(duì)抗措施到內(nèi)核當(dāng)中，例如隱藏所安裝的所有文件或進(jìn)程。

2．基于網(wǎng)絡(luò)的信息捕獲基于主機(jī)的信息捕獲通常都位于蜜罐主機(jī)內(nèi)，因此也就更容易被檢測(cè)和失效，而基于網(wǎng)絡(luò)的信息捕獲則是不可見的，這些工具只是分析網(wǎng)絡(luò)流量，而不是修改它們。相應(yīng)地，其安全性就更高；被檢測(cè)到的概率也就更小。第53頁，共67頁，2023年，2月20日，星期四圖16-7欺騙網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)第54頁，共67頁，2023年，2月20日，星期四第一重?cái)?shù)據(jù)捕獲是防火墻。我們可以對(duì)防火墻進(jìn)行配置來控制防火墻捕獲我們想要的數(shù)據(jù)。例如防火墻可以記錄所有的進(jìn)入及外出欺騙網(wǎng)絡(luò)的連接。我們不僅可以設(shè)定防火墻記錄下所有的連接企圖，而且還可以及時(shí)地發(fā)出警告信息。比如說，某人嘗試Telnet到欺騙網(wǎng)絡(luò)中的某臺(tái)主機(jī)上，防火墻就會(huì)記錄并且報(bào)警。這對(duì)跟蹤端口掃描非常有效。另外，它還可以記錄對(duì)后門及一些非常規(guī)端口的連接企圖。多數(shù)的漏洞利用程序都會(huì)建立一個(gè)Shell或者打開某個(gè)端口等待外來的連接，而防火墻可以輕易地判斷出對(duì)這些端口的連接企圖并且報(bào)警。第55頁，共67頁，2023年，2月20日，星期四同樣地，網(wǎng)絡(luò)內(nèi)部的蜜罐主機(jī)往外發(fā)起的連接，一樣會(huì)被記錄在案。當(dāng)然，這些警告多數(shù)說明了有人對(duì)你的系統(tǒng)感興趣，并且已經(jīng)侵入你的系統(tǒng)中。你可以通過一些如發(fā)送E-mail或者發(fā)送BP機(jī)短信等方法來對(duì)系統(tǒng)管理員進(jìn)行告警提示。同樣，我們還可以在防火墻上執(zhí)行某些統(tǒng)計(jì)處理。第56頁，共67頁，2023年，2月20日，星期四第二重?cái)?shù)據(jù)捕獲是入侵檢測(cè)系統(tǒng)。它有兩個(gè)作用，首先也是最重要的就是它可以捕獲系統(tǒng)中的所有舉動(dòng)；其次就是對(duì)網(wǎng)絡(luò)中的信息流量進(jìn)行監(jiān)控、分析和記錄。注意欺騙網(wǎng)絡(luò)的拓?fù)鋱D，其中的IDS在網(wǎng)絡(luò)中的放置方式可以確保所有的主機(jī)都能監(jiān)控到。IDS的第一個(gè)作用是能夠抓出所有入侵者在網(wǎng)上的舉動(dòng)并記錄下來。另外，它還能在發(fā)現(xiàn)一些可疑舉動(dòng)的時(shí)候發(fā)出警報(bào)。多數(shù)的IDS都有一個(gè)入侵特征庫，當(dāng)網(wǎng)絡(luò)傳輸?shù)男畔械奶卣髯执c該庫中某一特定項(xiàng)目符合的時(shí)候，它就會(huì)發(fā)出告警的消息。第57頁，共67頁，2023年，2月20日，星期四

3．主動(dòng)信息捕獲蜜罐主機(jī)的信息捕獲大多是被動(dòng)的，所收集的信息來自網(wǎng)絡(luò)信息流或者機(jī)器本身的比特和字節(jié)，但信息捕獲也可以是主動(dòng)的。通過查詢特定服務(wù)或者機(jī)器，有可能獲得有關(guān)一個(gè)人，一個(gè)IP地址或者一次攻擊的更多信息。不過這種信息查詢嘗試也有可能引起入侵者的注意。常見的、可利用的服務(wù)有：whois、網(wǎng)絡(luò)通信指紋、端口掃描和finger和其中的某些方法可能被入侵者檢測(cè)到，所要冒的風(fēng)險(xiǎn)相對(duì)較大。第58頁，共67頁，2023年，2月20日，星期四

16.4.3欺騙網(wǎng)絡(luò)維護(hù)及其風(fēng)險(xiǎn)欺騙網(wǎng)絡(luò)并不是一個(gè)裝好后就可以忘卻的解決方案，它需要持續(xù)的維護(hù)及關(guān)注，才能發(fā)揮最大的作用——這樣才能在第一時(shí)間發(fā)現(xiàn)并對(duì)一些安全事件作出及時(shí)的反應(yīng)。通過實(shí)時(shí)地觀察入侵者的舉動(dòng)，可以提升數(shù)據(jù)捕獲及分析的能力。同樣地，為了捕獲到新的、有價(jià)值的數(shù)據(jù)，可能需要經(jīng)常對(duì)可疑的網(wǎng)絡(luò)事件進(jìn)行深度分析。這需要很長的時(shí)間及熟練的分析能力。舉例說，一個(gè)入侵者在你的欺騙網(wǎng)絡(luò)上花了30分鐘進(jìn)行攻擊，但你卻必須花費(fèi)30～40小時(shí)來分析它。第59頁，共67頁，2023年，2月20日，星期四同樣，你還必須維持這個(gè)欺騙網(wǎng)絡(luò)的正常運(yùn)行，任何的誤操作都可能導(dǎo)致一些致命的錯(cuò)誤，可能會(huì)令欺騙網(wǎng)絡(luò)無法正確運(yùn)行。比如說，“報(bào)警”進(jìn)程丟掉了，磁盤空間滿了，IDS的特征字串不夠新，系統(tǒng)配置文件可能出現(xiàn)損壞，日志文件需要查看，需要對(duì)防火墻進(jìn)行補(bǔ)丁升級(jí)工作等等。這里說的只是整個(gè)欺騙網(wǎng)絡(luò)的一部分，還有很多工作需要做。第60頁，共67頁，2023年，2月20日，星期四在真正實(shí)現(xiàn)欺騙網(wǎng)絡(luò)的時(shí)候，還可能有一些比較棘手的問題，比如，為了讓入侵者群體能夠入侵，就得把機(jī)器接入網(wǎng)絡(luò)，這時(shí)我們就暴露于互聯(lián)網(wǎng)上了。最終，入侵者們會(huì)成為你機(jī)器上的root，此時(shí)，你必須確保自己的機(jī)器及帶寬不會(huì)成為進(jìn)攻他人的工具，而且，很重要的是，當(dāng)我們使用這一工具的時(shí)候，總有可能犯下各種錯(cuò)誤——最終導(dǎo)致的結(jié)果將是很嚴(yán)重的，所以必須用多種方法來降低風(fēng)險(xiǎn)。第61頁，共67頁，2023年，2月20日，星期四入侵者們很有可能通過各種方式手段