蜜罐系統(tǒng)搭建與測試分析報告

蜜罐系統(tǒng)搭建與測試分析互聯(lián)網(wǎng)作為世界交互的接口，是各國互聯(lián)網(wǎng)治理的必由之路。速度快、多變化、無邊界、多維度的網(wǎng)絡傳播，不僅加速了全球化的進程，也削減差異阻隔，尤其在全球經(jīng)濟一體化開展的背景下，互聯(lián)網(wǎng)已成為各國政治、文化和經(jīng)濟融合化、無邊界、多維度的網(wǎng)絡傳播，不僅加速了全球化的進程，也削減差異阻隔，尤其在全球經(jīng)濟一體化開展的背景下，互聯(lián)網(wǎng)已成為各國政治、文化和經(jīng)濟融合與博弈的重要場域。但是，與此同時互聯(lián)網(wǎng)安全面臨著巨大的考驗。開放性和各種操作系統(tǒng)、軟件的缺省安裝配置存在很多安全漏洞和缺陷，同時，大局部的網(wǎng)絡使用者還未真正擁有安全意識，也還很少進展安全加強工作，如與時打補丁、安裝防火墻和其他安全工具等，從而導致了目前的互聯(lián)網(wǎng)具有巨大的安全隱患。另一方面，隨著網(wǎng)絡攻擊技術的開展，特別是分布式拒絕效勞攻擊、跳板〔Step-stone〕攻擊與互聯(lián)網(wǎng)蠕蟲的盛行，互聯(lián)網(wǎng)上的每一臺主機都已經(jīng)成為攻擊的目標。此外，黑客社團也不像互聯(lián)網(wǎng)早期那么純潔，不再僅僅為了興趣和炫耀力量而出動，而更多的由于國家利益、商業(yè)利益與黑暗心理等因素促使其對互聯(lián)網(wǎng)安全構(gòu)成危害。同時攻擊者也不再需要很多的專業(yè)技術和技巧，他們可PacketStorm〕。而這些由高級黑客們開發(fā)的攻擊腳本和工具越來越簡潔使用，功能也越來越強，能夠造成的破壞也越來越大。特別值得留意的一個趨勢是多種攻擊腳本和工具的融合，如大量的內(nèi)核后門工具包〔Rootkit〕，與能夠集成多種攻擊腳本并供給易用接口的攻擊框架的消滅。以何種方式達成攻擊目標，以與為什么進展攻擊更是一無所知。作為安全防護工1/21作者，無論是安全爭論人員、安全產(chǎn)品研發(fā)人員、安全治理人員和安全響應效勞人員，都需要首先對黑客社團有深入的了解，包括他們所把握的攻擊技術、技巧和戰(zhàn)術、甚至心理和習慣等。只有在充分了解對手的前提下，我們才能更有效地維護互聯(lián)網(wǎng)安全。而蜜罐和蜜網(wǎng)技術為捕獲黑客的攻擊行為，并深入分析黑客供給了根底。蜜罐的概念1990年出版的一本小說《TheCuckoo’sEgg》中，在這本小說事?！懊劬W(wǎng)工程組〞〔TheHoneynetProject〕的創(chuàng)始人LanceSpitzner了對蜜罐的權威定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。這個定義明確蜜罐并無其他實際作用，因此全部流入/流出蜜罐的網(wǎng)絡流量都可1990年出版的一本小說《TheCuckoo’sEgg》中，在這本小說事?！懊劬W(wǎng)工程組〞〔TheHoneynetProject〕的創(chuàng)始人LanceSpitzner了對蜜罐的權威定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。這個定義明確蜜罐并無其他實際作用，因此全部流入/流出蜜罐的網(wǎng)絡流量都可檢測和分析。蜜罐技術的開展從九十年月初蜜罐概念的提出直到1998年左右，“蜜罐〞還僅僅限于2/21一種思想，通常由網(wǎng)絡治理人員應用，通過哄騙黑客到達追蹤的目的。這一階段的蜜罐實質(zhì)上是一些真正被黑客所攻擊的主機和系統(tǒng)。從1998年開頭，蜜罐技術開頭吸引了一些安全爭論人員的留意，并開發(fā)FredCohen所開發(fā)的DTK〔哄騙工HoneydKFSensor、Specter等一些商業(yè)蜜罐產(chǎn)品。這一階段的蜜罐可以稱為是虛擬蜜罐，即開發(fā)的這些蜜罐從而哄騙黑客。虛擬蜜罐工具的消滅也使得部署蜜罐也變得比較便利。但是由于虛擬蜜罐工具存在著交互程度低，較簡潔被黑客識別等問題，2023年之后，安全爭論人員更傾向于使用真實的主機、操作系統(tǒng)和應用程序搭建蜜罐，但與之前不同的是，融入了更強大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)掌握的工具，并且將蜜罐納入到一個完整的蜜網(wǎng)體系中，使得爭論人員能夠更便利地追蹤侵入到蜜網(wǎng)中的黑客并對他們的攻擊行為進展分析。蜜罐的分類目的在于為一個組織的網(wǎng)絡供給安全保護，包括檢測攻擊、防止攻擊造成破壞與幫助治理員對攻擊做出與時正確的響應等功能。一般產(chǎn)品型蜜罐較簡潔部署，而且不需要治理員投入大量的工作。較具代表性的產(chǎn)品型蜜罐包括DTK、honeyd等開源工具和KFSensor、ManTraq等一系列的商業(yè)產(chǎn)品。爭論型蜜罐如此是特地用于對黑客攻擊的捕獲和分析，通過部署爭論型蜜罐，對黑客攻擊進展追蹤和分析，能夠捕獲黑客的鍵擊記錄，了解到黑客所使用的攻擊工具與攻擊方法，甚3/21至能夠監(jiān)聽到黑客之間的交談，從而把握他們的心理狀態(tài)等信息。爭論型蜜罐需具是“蜜網(wǎng)工程組〞所推出的其次代蜜網(wǎng)技術。和網(wǎng)絡效勞，較簡潔部署且風險較小，但黑客在低交互蜜罐中能夠進展的攻擊活動較為有限，因此通過低交互蜜罐能夠收集的信息也比較有限，同時由于低交互蜜罐通常是模擬的虛擬蜜罐，或多或少存在著一些簡潔被黑客所識別的指紋〔Fingerprinting〕信息。統(tǒng)和網(wǎng)絡效勞，沒有任何的模擬，從黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子〞，因此在高交互蜜罐中，我們能夠獲得很多黑客攻擊的信息。高ManTrap，屬于高交互蜜罐。蜜罐的優(yōu)缺點蜜罐技術的優(yōu)點包括：1、收集數(shù)據(jù)的保真度，由于蜜罐不供給任何實際的作用，因此其收集到的數(shù)據(jù)很少，同時收集到的數(shù)據(jù)很大可能就是由于黑客攻擊造成的，蜜罐不依靠于任何簡單的檢測技術等，因此削減了漏報率和誤報率。2、使用蜜罐技術能夠收集到的攻擊工具和攻擊方法，而不像目前的大局4/21部入侵檢測系統(tǒng)只能依據(jù)特征匹配的方法檢測到的攻擊。3不需要大量的資金投入。4、相對入侵檢測等其他技術，蜜罐技術比較簡潔，使得網(wǎng)絡治理人員能夠比較簡潔地把握黑客攻擊的一些學問。蜜罐技術存在的缺陷有：1、需要較多的時間和精力投入。2不像入侵檢測系統(tǒng)能夠通過旁路偵聽等技術對整個網(wǎng)絡進展監(jiān)控。3、蜜罐技術不能直接防護有漏洞的信息系統(tǒng)。4、部署蜜罐會帶來肯定的安全風險。部署蜜罐所帶來的安全風險主要有蜜罐可能被黑客識別和黑客把蜜罐作從而避開蜜罐，甚至他會向蜜罐供給錯誤和虛假的數(shù)據(jù)，從而誤導安全防護和爭論人員。防止蜜罐被識別的解決方法是盡量消退蜜罐的指紋，并使得蜜罐與真實Anti-Honeypot〕之間相當于一個博弈問題，總是在相互競爭中共同開展。另外，蜜罐技術的初衷即是讓黑客攻破蜜罐并獲得蜜罐的掌握權限，并跟蹤其攻破蜜罐、在蜜罐埋伏等攻擊行為，但我們必需防止黑客利用蜜罐作為跳板對第三方網(wǎng)絡發(fā)起攻擊。為了確保黑客活動不對外構(gòu)成威逼，必需引入多個層次的數(shù)據(jù)掌握措施，必要的時候需要爭論人員的人工干預。5/21蜜網(wǎng)的根本概念蜜網(wǎng)是在蜜罐技術上逐步開展起來的一個的概念，又可成為誘捕網(wǎng)絡。蜜在這個架構(gòu)中，我們可以包含一個或多個蜜罐，同時保證了網(wǎng)絡的高度可控性，以與供給多種工具以便利對攻擊信息的采集和分析。VMWare和UserModeLinux大的風險，黑客有可能識別出虛擬操作系統(tǒng)軟件的指紋，也可能攻破虛擬操作系統(tǒng)軟件從而獲得對整個虛擬蜜網(wǎng)的掌握權。蜜網(wǎng)的核心需求蜜網(wǎng)有著三大核心需求：即數(shù)據(jù)掌握、數(shù)據(jù)捕獲和數(shù)據(jù)分析。通過數(shù)據(jù)掌握能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡的安全，以減輕蜜網(wǎng)架設的風險；數(shù)安全爭論人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動、使用工具與其意圖。以下其次代蜜網(wǎng)技術：其次代蜜網(wǎng)所需的關鍵工具：HoneyWallSebek。其次代蜜網(wǎng)方案的整體架構(gòu)如圖，其中最為關鍵的部件為稱為HoneyWall的蜜網(wǎng)網(wǎng)關，包括三個網(wǎng)絡接口，eth0接入外網(wǎng)，eth1連接蜜網(wǎng)，而eth2作為一個隱秘HoneyWall是一個對黑客不行見的鏈路層橋接設6/21備，作為蜜網(wǎng)與其他網(wǎng)絡的唯一連接點，全部流入流出蜜網(wǎng)的網(wǎng)絡流量都將通過HoneyWallHoneyWall是一個工作在鏈路層的橋TTL遞減和網(wǎng)絡路由，也不會供給本身的MAC地址，因此對黑客而言，HoneyWall攻擊的網(wǎng)絡是一個蜜網(wǎng)。1其次代蜜網(wǎng)方案的整體架構(gòu)HoneyWallHoneyWall的數(shù)據(jù)掌握機制，HoneyWall網(wǎng)，但對黑客使用蜜網(wǎng)對外發(fā)起的跳板攻擊進展嚴格掌握。掌握的方法包括：7/21●攻擊包抑制；●對外連接數(shù)限制；2HoneyWall的數(shù)據(jù)掌握機制在HoneyWall中使用了snort_inlineNIPS制器，檢測出從蜜網(wǎng)向外發(fā)出的含有的攻擊特征的攻擊數(shù)據(jù)包，發(fā)出報警信息并對攻擊數(shù)據(jù)包加以拋棄或修改，使其不能對第三方網(wǎng)絡構(gòu)成危害。HoneyWall通IPTables如此IPTables將其記錄到日志，并阻斷其后繼連接，從而防止蜜網(wǎng)中被攻陷的蜜罐作為黑客的跳板對第三方網(wǎng)絡進展探測或拒絕效勞攻擊。8/213HoneyWall中數(shù)據(jù)掌握的具體流程3HoneyWall中實現(xiàn)的數(shù)據(jù)掌握機制〔即攻擊包抑制和對外Swatch監(jiān)視工具將snort_inline和IPTablesmail圖4HoneyWall圖4如此給出了HoneyWalleth0IPTables防火墻，依據(jù)防火墻規(guī)如此，將對9/21流入的連接活動進展記錄，由于我們無需對流入的攻擊進展過濾，因此可以直接snort_inline，但在eth1流出的時候，由一個作為網(wǎng)絡監(jiān)聽器使用的snort5，在蜜Sebek的客戶端，能夠?qū)诳驮诿酃奚系幕顒舆M展記錄，并通過對黑客隱蔽的通道將收集到的鍵擊記錄等信息傳送到位于HoneyWallSebeketh2隱蔽通道對HoneyWall中收集到的數(shù)據(jù)進展分析，從而學習到黑客所發(fā)動的攻擊方法。10/21試驗演示：winXPhoneywallwinXP攻擊機和靶機互ping11/21Honeywall測試Walleye遠程訪問，在192.168.200.2這臺虛擬機問s://192.168.200.8，結(jié)果如下12/21ICMPping包是否通過外網(wǎng)口和內(nèi)網(wǎng)口，攻擊機ping靶機的時候，tcpdump-ieth0icmpping靶機的時候，tcpdump-ieth1icmp13/21ping攻擊機的時候，tcpdump-ieth0icmpping攻擊機的時候，tcpdump-ieth1icmpSebek14/21Honeywall的MAC00:0C:29:1D:C7:83Honeywall15/21遠程訪問Walleye所觀看到