蜜罐技術詳解與案例分析

1.引言伴隨人類社會生活對Internet需求的日益增長，網(wǎng)絡安全逐漸成為Internet及各項網(wǎng)絡服務和應用深入發(fā)展的關鍵問題，尤其是1993年后來Internet開始商用化，通過Internet進行的多種電子商務業(yè)務日益增多，加之Internet/Intranet技術日趨成熟，諸多組織和企業(yè)都建立了自己的內(nèi)部網(wǎng)絡并將之與Internet聯(lián)通。上述上電子商務應用和企業(yè)網(wǎng)絡中的商業(yè)秘密均成為襲擊者的目的。據(jù)美國商業(yè)雜志《信息周刊》公布的一項調(diào)查匯報稱，黑客襲擊和病毒等安全問題在導致了上萬億美元的經(jīng)濟損失，在全球范圍內(nèi)每數(shù)秒鐘就發(fā)生一起網(wǎng)絡襲擊事件。夏天，對于運行著MicrosoftWindows的成千上萬臺主機來說簡直就是場惡夢！也給廣大網(wǎng)民留下了悲傷的回憶，這某些都歸結于沖擊波蠕蟲的全世界范圍的傳播。2.蜜罐技術的發(fā)展背景網(wǎng)絡與信息安全技術的關鍵問題是對計算機系統(tǒng)和網(wǎng)絡進行有效的防護。網(wǎng)絡安全防護波及面很廣，從技術層面上講重要包括防火墻技術、入侵檢測技術,病毒防護技術,數(shù)據(jù)加密和認證技術等。在這些安全技術中，大多數(shù)技術都是在襲擊者對網(wǎng)絡進行襲擊時對系統(tǒng)進行被動的防護。而蜜罐技術可以采用積極的方式。顧名思義，就是用特有的特性吸引襲擊者，同步對襲擊者的多種襲擊行為進行分析并找到有效的對付措施。（在這里，也許要申明一下，剛剛也說了，“用特有的特性去吸引襲擊者”，也許有人會認為你去吸引襲擊者，這是不是一種自找麻煩呢，不過，我想，假如襲擊者不對你進行襲擊的話，你又怎么能吸引他呢？換一種說話，也許就叫誘敵深入了）。3.蜜罐的概念在這里，我們首先就提出蜜罐的概念。美國L．Spizner是一種著名的蜜罐技術專家。他曾對蜜罐做了這樣的一種定義：蜜罐是一種資源，它的價值是被襲擊或攻陷。這就意味著蜜罐是用來被探測、被襲擊甚至最終被攻陷的，蜜罐不會修補任何東西，這樣就為使用者提供了額外的、有價值的信息。蜜罐不會直接提高計算機網(wǎng)絡安全，不過它卻是其他安全方略所不可替代的一種積極防御技術。詳細的來講，蜜罐系統(tǒng)最為重要的功能是對系統(tǒng)中所有操作和行為進行監(jiān)視和記錄，可以網(wǎng)絡安全專家通過精心的偽裝，使得襲擊者在進入到目的系統(tǒng)后仍不懂得自己所有的行為已經(jīng)處在系統(tǒng)的監(jiān)視下。為了吸引襲擊者，一般在蜜罐系統(tǒng)上留下某些安全后門以吸引襲擊者上鉤，或者放置某些網(wǎng)絡襲擊者但愿得到的敏感信息，當然這些信息都是虛假的信息。此外某些蜜罐系統(tǒng)對襲擊者的聊天內(nèi)容進行記錄，管理員通過研究和分析這些記錄，可以得到襲擊者采用的襲擊工具、襲擊手段、襲擊目的和襲擊水平等信息，還能對襲擊者的活動范圍以及下一種襲擊目的進行理解。同步在某種程度上，這些信息將會成為對襲擊者進行起訴的證據(jù)。不過，它僅僅是一種對其他系統(tǒng)和應用的仿真，可以創(chuàng)立一種監(jiān)禁環(huán)境將襲擊者困在其中，還可以是一種原則的產(chǎn)品系統(tǒng)。無論使用者怎樣建立和使用蜜罐，只有它受到襲擊,它的作用才能發(fā)揮出來。4.蜜罐的詳細分類和體現(xiàn)的安全價值自從計算機初次互連以來，研究人員和安全專家就一直使用著多種各樣的蜜罐工具，根據(jù)不一樣的原則可以對蜜罐技術進行不一樣的分類，前面已經(jīng)提到，使用蜜罐技術是基于安全價值上的考慮。不過，可以肯定的就是，蜜罐技術并不會替代其他安全工具，例如防火墻、系統(tǒng)偵聽等。這里我也就安全面的價值來對蜜罐技術進行探討?！锔鶕?jù)設計的最終目的不一樣我們可以將蜜罐分為產(chǎn)品型蜜罐和研究型蜜罐兩類。①產(chǎn)品型蜜罐一般運用于商業(yè)組織的網(wǎng)絡中。它的目的是減輕組織將受到的襲擊的威脅，蜜罐加強了受保護組織的安全措施。他們所做的工作就是檢測并且對付惡意的襲擊者。⑴此類蜜罐在防護中所做的奉獻很少，蜜罐不會將那些試圖襲擊的入侵者拒之門外，由于蜜罐設計的初衷就是妥協(xié)，因此它不會將入侵者拒絕在系統(tǒng)之外，實際上，蜜罐是但愿有人闖入系統(tǒng)，從而進行各項記錄和分析工作。⑵雖然蜜罐的防護功能很弱，不過它卻具有很強的檢測功能，對于許多組織而言，想要從大量的系統(tǒng)日志中檢測出可疑的行為是非常困難的。雖然，有入侵檢測系統(tǒng)（IDS）的存在，不過，IDS發(fā)生的誤報和漏報，讓系統(tǒng)管理員疲于處理多種警告和誤報。而蜜罐的作用體目前誤報率遠遠低于大部分IDS工具，也務須當心特性數(shù)據(jù)庫的更新和檢測引擎的修改。由于蜜罐沒有任何有效行為，從原理上來講，任何連接到蜜罐的連接都應當是偵聽、掃描或者襲擊的一種，這樣就可以極大的減低誤報率和漏報率，從而簡化檢測的過程。從某種意義上來講，蜜罐已經(jīng)成為一種越來越復雜的安全檢測工具了。⑶假如組織內(nèi)的系統(tǒng)已經(jīng)被入侵的話，那些發(fā)生事故的系統(tǒng)不能進行脫機工作，這樣的話，將導致系統(tǒng)所提供的所有產(chǎn)品服務都將被停止，同步，系統(tǒng)管理員也不能進行合適的鑒定和分析，而蜜罐可以對入侵進行響應，它提供了一種具有低數(shù)據(jù)污染的系統(tǒng)和犧牲系統(tǒng)可以隨時進行脫機工作。此時，系統(tǒng)管理員將可以對脫機的系統(tǒng)進行分析，并且把分析的成果和經(jīng)驗運用于后來的系統(tǒng)中。②研究型蜜罐專門以研究和獲取襲擊信息為目的而設計。此類蜜罐并沒有增強特定組織的安全性，恰恰相反，蜜罐要做的是讓研究組織面對各類網(wǎng)絡威脅，并尋找可以對付這些威脅更好的方式，它們所要進行的工作就是搜集惡意襲擊者的信息。它一般運用于軍隊，安全研究組織。★根據(jù)蜜罐與襲擊者之間進行的交互，可以分為3類：低交互蜜罐，中交互蜜罐和高交互蜜罐，同步這也體現(xiàn)了蜜罐發(fā)展的3個過程。①低交互蜜罐最大的特點是模擬。蜜罐為襲擊者展示的所有襲擊弱點和襲擊對象都不是真正的產(chǎn)品系統(tǒng)，而是對多種系統(tǒng)及其提供的服務的模擬。由于它的服務都是模擬的行為，因此蜜罐可以獲得的信息非常有限，只能對襲擊者進行簡樸的應答，它是最安全的蜜罐類型。②中交互是對真正的操作系統(tǒng)的多種行為的模擬，它提供了更多的交互信息，同步也可以從襲擊者的行為中獲得更多的信息。在這個模擬行為的系統(tǒng)中，蜜罐可以看起來和一種真正的操作系統(tǒng)沒有區(qū)別。它們是真正系統(tǒng)還要誘人的襲擊目的。③高交互蜜罐具有一種真實的操作系統(tǒng)，它的長處體目前對襲擊者提供真實的系統(tǒng)，當襲擊者獲得ROOT權限后，受系統(tǒng)，數(shù)據(jù)真實性的困惑，他的更多活動和行為將被記錄下來。缺陷是被入侵的也許性很高，假如整個高蜜罐被入侵，那么它就會成為襲擊者下一步襲擊的跳板。目前在國內(nèi)外的重要蜜罐產(chǎn)品有DTK，空系統(tǒng)，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREATARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四種。5.蜜罐的配置模式①誘騙服務（deceptionservice）誘騙服務是指在特定的IP服務端口幀聽并像應用服務程序那樣對多種網(wǎng)絡祈求進行應答的應用程序。DTK就是這樣的一種服務性產(chǎn)品。DTK吸引襲擊者的詭計就是可執(zhí)行性，不過它與襲擊者進行交互的方式是模仿那些具有可襲擊弱點的系統(tǒng)進行的，因此可以產(chǎn)生的應答非常有限。在這個過程中對所有的行為進行記錄，同步提供較為合理的應答，并給闖入系統(tǒng)的襲擊者帶來系統(tǒng)并不安全的錯覺。例如，當我們將誘騙服務配置為FTP服務的模式。當襲擊者連接到TCP/21端口的時候，就會收到一種由蜜罐發(fā)出的FTP的標識。假如襲擊者認為誘騙服務就是他要襲擊的FTP，他就會采用襲擊FTP服務的方式進入系統(tǒng)。這樣，系統(tǒng)管理員便可以記錄襲擊的細節(jié)。②弱化系統(tǒng)（weakenedsystem）只要在外部因特網(wǎng)上有一臺計算機運行沒有打上補丁的微軟Windows或者RedHatLinux即行。這樣的特點是襲擊者愈加輕易進入系統(tǒng)，系統(tǒng)可以搜集有效的襲擊數(shù)據(jù)。由于黑客也許會設陷阱，以獲取計算機的日志和審查功能，需要運行其他額外記錄系統(tǒng)，實現(xiàn)對日志記錄的異地存儲和備份。它的缺陷是“高維護低收益”。由于，獲取已知的襲擊行為是毫無意義的。③強化系統(tǒng)（hardenedsystem）強化系統(tǒng)同弱化系統(tǒng)同樣，提供一種真實的環(huán)境。不過此時的系統(tǒng)已經(jīng)武裝成看似足夠安全的。當襲擊者闖入時，蜜罐就開始搜集信息，它能在最短的時間內(nèi)搜集最多有效數(shù)據(jù)。用這種蜜罐需要系統(tǒng)管理員具有更高的專業(yè)技術。假如襲擊者具有更高的技術，那么，他很也許取代管理員對系統(tǒng)的控制，從而對其他系統(tǒng)進行襲擊。④顧客模式服務器（usermodeserver）顧客模式服務器實際上是一種顧客進程，它運行在主機上，并且模擬成一種真實的服務器。在真實主機中，每個應用程序都當作一種具有獨立IP地址的操作系統(tǒng)和服務的特定是實例。而顧客模式服務器這樣一種進程就嵌套在主機操作系統(tǒng)的應用程序空間中，當INTERNET顧客向顧客模式服務器的IP地址發(fā)送祈求，主機將接受祈求并且轉(zhuǎn)發(fā)到顧客模式服務器上。（我們用這樣一種圖形來表達一下他們之間的關系）：這種模式的成功與否取決于襲擊者的進入程度和受騙程度。它的長處體目前系統(tǒng)管理員對顧客主機有絕對的控制權。雖然蜜罐被攻陷，由于顧客模式服務器是一種顧客進程，那么Administrator只要關閉該進程就可以了。此外就是可以將FIREWALL,IDS集中于同一臺服務器上。當然，其局限性是不合用于所有的操作系統(tǒng)。6.蜜罐的信息搜集當我們察覺到襲擊者已經(jīng)進入蜜罐的時候，接下來的任務就是數(shù)據(jù)的搜集了。數(shù)據(jù)搜集是設置蜜罐的另一項技術挑戰(zhàn)。蜜罐監(jiān)控者只要記錄下進出系統(tǒng)的每個數(shù)據(jù)包，就可以對黑客的所作所為一清二楚。蜜罐自身上面的日志文獻也是很好的數(shù)據(jù)來源。但日志文獻很輕易被襲擊者刪除，因此一般的措施就是讓蜜罐向在同一網(wǎng)絡上但防御機制較完善的遠程系統(tǒng)日志服務器發(fā)送日志備份。（務必同步監(jiān)控日志服務器。假如襲擊者用新手法闖入了服務器，那么蜜罐無疑會證明其價值。）近年來，由于黑帽子群體越來越多地使用加密技術，數(shù)據(jù)搜集任務的難度大大增強。如今，他們接受了眾多計算機安全專業(yè)人士的提議，改而采用SSH等密碼協(xié)議，保證網(wǎng)絡監(jiān)控對自己的通訊無能為力。蜜網(wǎng)對付密碼的計算就是修改目的計算機的操作系統(tǒng)，以便所有敲入的字符、傳播的文獻及其他信息都記錄到另一種監(jiān)控系統(tǒng)的日志里面。由于襲擊者也許會發(fā)現(xiàn)此類日志，蜜網(wǎng)計劃采用了一種隱蔽技術。譬如說，把敲入字符隱藏到NetBIOS廣播數(shù)據(jù)包里面。7.蜜罐的實際例子下面我們以Redhatlinux9.0為平臺，做一種簡樸的蜜罐陷阱的配置。我們懂得，黑客一旦獲得root口令，就會以root身份登錄，這一登錄過程就是黑客入侵的必經(jīng)之路。其二，黑客也也許先以一般顧客身份登錄，然后用su命令轉(zhuǎn)換成root身份，這又是一條必經(jīng)之路。我們討論怎樣在如下狀況下設置陷阱：(1)當黑客以root身份登錄時；(2)當黑客用su命令轉(zhuǎn)換成root身份時；(3)當黑客以root身份成功登錄后一段時間內(nèi)；第一種狀況的陷阱設置一般狀況下，只要顧客輸入的顧客名和口令對的，就能順利進入系統(tǒng)。假如我們在進入系統(tǒng)時設置了陷阱，并使黑客對此防不勝防，就會大大提高入侵的難度系數(shù)。例如，當黑客已獲取對的的root口令，并以root身份登錄時，我們在此設置一種迷魂陣，提醒它，你輸入的口令錯誤，并讓它重輸顧客名和口令。而其實，這些提醒都是虛假的，只要在某處輸入一種密碼就可通過。黑客因此就掉入這個陷阱，不停地輸入root顧客名和口令，卻不停地得到口令錯誤的提醒，從而使它懷疑所獲口令的對的性，放棄入侵的企圖。給超級顧客也就是root顧客設置陷阱，并不會給系統(tǒng)帶來太多的麻煩，由于，擁有root口令的人數(shù)不會太多，為了系統(tǒng)的安全，稍微增長一點復雜性也是值得的。這種陷阱的設置時很以便的，我們只要在root顧客的.profile中加一段程序就可以了。我們完全可以在這段程序中觸發(fā)其他入侵檢測與預警控制程序。陷阱程序如下：#root.profileClearEcho“Youhadinputanerrorpassword,pleaseinputagain!”EchoEcho–n“Login:”ReadpIf(“$p”=“123456”)thenClearElseExit第二種狀況的陷阱設置在諸多狀況下，黑客會通過su命令轉(zhuǎn)換成root身份，因此，必須在此設置陷阱。當黑客使用su命令，并輸入對的的root口令時，也應當報錯，以此來困惑它，使它誤認為口令錯誤，從而放棄入侵企圖。這種陷阱的設置也很簡樸，你可以在系統(tǒng)的/etc/profile文獻中設置一種alias，把su命令重新定義成轉(zhuǎn)到一般顧客的狀況就可以了，例如aliassu=”suuser1”。這樣，當使用su時，系統(tǒng)判斷的是user1的口令，而不是root的口令，當然不能匹配。雖然輸入suroot也是錯誤的，也就是說，從此屏蔽了轉(zhuǎn)向root顧客的也許性。第三種狀況的陷阱設置假如前兩種設置都失效了，黑客已經(jīng)成功登錄，就必須啟用登錄成功的陷阱。一旦root顧客登錄，就可以啟動一種計時器，正常的root登錄就能停止計時，而非法入侵者因不懂得何處有計時器，就無法停止計時，等到一種規(guī)定的時間到，就意味著有黑客入侵，需要觸發(fā)必要的控制程序，如關機處理等，以免導致?lián)p害，等待系統(tǒng)管理員進行善后處理。陷阱程序如下：#.testfiletimes=0while[$times–le30]dosleep1times=$[times+1]donehalt/*30秒時間到，觸發(fā)入侵檢測與預警控制*/將該程序放入root.bashrc中后臺執(zhí)行：#root.bashrc….Sh.testfile&該程序不能用Ctrl-C終止，系統(tǒng)管理員可用jobs命令檢查到，然后用kill%n將它停止。從上述三種陷阱的設置，我們可以看到一種一般的規(guī)律：變化正常的運行狀態(tài)，設置虛假信息，使入侵者落入陷阱，從而觸發(fā)入侵檢測與預警控制程序。8.關鍵技術設計自蜜罐概念誕生之日起，有關技術一直在長足的發(fā)展。到今天為止，蜜罐技術應用的最高度應當說是Honeynet技術的實現(xiàn)。9.總結任何事物的存在都會有利弊，蜜罐技術的發(fā)展也是伴伴隨多種不一樣的觀點而不停的成長的。蜜罐技術是通過誘導讓黑客們誤入歧途，消耗他們的精力，為我們加強防備贏得時間。通過蜜網(wǎng)讓我們在受襲擊的同步懂得誰在使壞，目的是什么。同步也檢查我們的安全方略與否對的，防線與否牢固，蜜罐的引入使我們與黑客之間同處在互相斗智的平臺counter-intelligence,而不是到處遭到黑槍的被動地位。我們的網(wǎng)絡并不安全，IDS，F(xiàn)IREWALL，Encryption技術均有其缺陷性，我們期待它們與蜜罐的完美結合，那將是對網(wǎng)絡安全的最佳禮品。我們完全相信，蜜罐技術必將在網(wǎng)絡安全中發(fā)揮出極其重要的作用，一場世界上聲勢浩大的蜜罐技術行動必將到來黃河科技大學校園網(wǎng)中蜜罐技術的研究.com期刊門戶-中國期刊網(wǎng)-12-16來源:《中小企業(yè)管理與科技》供稿文/蔡麗虹1張韌志2[導讀]摘要：以往校園網(wǎng)中一直使用老式蜜罐。老式蜜罐確實有著不少的長處，例如搜集數(shù)據(jù)的保真度，不依賴于任何復雜的檢測技術等。然而伴隨應用的廣泛，老式蜜罐的缺陷也開始顯現(xiàn)了出來。取而代之的是由一組高交互用來獲取廣泛威脅信息的蜜罐構成的蜜網(wǎng)。本文針對蜜網(wǎng)中蜜罐所面臨的挑戰(zhàn)：捕捉工具隱藏、加密會話數(shù)據(jù)的捕捉、數(shù)據(jù)傳播隱蔽通道，給出了詳細的處理方案，從而更好地處理了我校校園網(wǎng)的安全問題。摘要：以往校園網(wǎng)中一直使用老式蜜罐。老式蜜罐確實有著不少的長處，例如搜集數(shù)據(jù)的保真度，不依賴于任何復雜的檢測技術等。然而伴隨應用的廣泛，老式蜜罐的缺陷也開始顯現(xiàn)了出來。取而代之的是由一組高交互用來獲取廣泛威脅信息的蜜罐構成的蜜網(wǎng)。本文針對蜜網(wǎng)中蜜罐所面臨的挑戰(zhàn)：捕捉工具隱藏、加密會話數(shù)據(jù)的捕捉、數(shù)據(jù)傳播隱蔽通道，給出了詳細的處理方案，從而更好地處理了我校校園網(wǎng)的安全問題。

關鍵詞：蜜罐Linux模塊隱藏加密會話捕捉隱蔽通道

１引言

蜜罐是一種安全資源，其價值在于被掃描、襲擊和攻陷。老式蜜罐有著不少的長處，例如搜集數(shù)據(jù)的保真度，蜜罐不依賴于任何復雜的檢測技術等，因此減少了漏報率和誤報率。使用蜜罐技術可以搜集到新的襲擊工具和襲擊措施，而不像目前的大部分入侵檢測系統(tǒng)只能根據(jù)特性匹配的措施檢測到已知的襲擊。不過伴隨應用的廣泛，老式蜜罐的缺陷也開始暴露了出來，綜合起來重要有3個方面：（1）蜜罐技術只能對針對蜜罐的襲擊行為進行監(jiān)視和分析，其視圖不像入侵檢測系統(tǒng)可以通過旁路偵聽等技術對整個網(wǎng)絡進行監(jiān)控。（2）蜜罐技術不能直接防護有漏洞的信息系統(tǒng)并有也許被襲擊者運用帶來一定的安全風險。（3）襲擊者的活動在加密通道上進行（IPSec，SSH，SSL，等等）增多，數(shù)據(jù)捕捉后需要花費時間破譯，這給分析襲擊行為增長了困難。

針對以上問題出現(xiàn)了蜜網(wǎng)技術。蜜網(wǎng)技術實質(zhì)上是一類研究型的高交互蜜罐技術，與老式蜜罐技術的差異在于，蜜網(wǎng)構成了一種黑客誘捕網(wǎng)絡體系架構，在這個架構中，可以包括一種或多種蜜罐，同步保證了網(wǎng)絡的高度可控性，以及提供多種工具以以便對襲擊信息的采集和分析。

2蜜網(wǎng)中蜜罐所面臨的挑戰(zhàn)

蜜網(wǎng)是一種體系構造，成功地布署一種蜜網(wǎng)環(huán)境，這里有兩個嚴格的需求，這也是針對老式蜜罐的缺陷而提出來的。這兩個需求是：數(shù)據(jù)控制和數(shù)據(jù)捕捉。數(shù)據(jù)控制就是限制襲擊者活動的機制，它可以減少安全風險。數(shù)據(jù)捕捉就是監(jiān)控和記錄所有襲擊者在蜜網(wǎng)內(nèi)部的活動，包括記錄加密會話中擊鍵，恢復使用SCP拷貝的文獻，捕捉遠程系統(tǒng)被記錄的口令，恢復使用保護的二進制程序的口令等。這些捕捉的數(shù)據(jù)將會被用于分析，從中學習黑客界組員們使用的工具、方略以及他們的動機。這正是蜜罐所要做的工作。

3處理方案

3.1捕捉工具隱藏

3.1.1隱藏模塊。捕捉數(shù)據(jù)的工具是以模塊化的機制在Linux系統(tǒng)啟動后動態(tài)地加載到內(nèi)核成為內(nèi)核的一部分進行工作的。當捕捉程序的模塊被加載到內(nèi)核時，一種記載已加載模塊信息的安裝模塊鏈表里面就記錄下已加載模塊的信息，顧客可以通過內(nèi)存里動態(tài)生成的proc文獻系統(tǒng)下的module文獻來查看到。當特權顧客root調(diào)用/sbin/insmod命令加載模塊時會有一種系統(tǒng)調(diào)用sys_create_module，這個函數(shù)在Linux2.4的源代碼中位于kernel/module.c。它會將具有新加載的模塊信息的數(shù)據(jù)構造structmodule插入到名為moudle_list的模塊鏈表中去。

當一種模塊加載時，它被插入到一種單向鏈表的表頭。黑客們在攻入蜜罐系統(tǒng)后，可以根據(jù)以上存在的漏洞，找出他們認為是可疑的蜜罐捕捉模塊并從內(nèi)核卸載模塊，這樣蜜罐也就失去了它的功能。為了到達隱藏模塊的目的就必須在加載模塊后，將指向該模塊的鏈表指針刪除，這樣通過遍歷表查找時就再也無法找到該模塊了。

3.1.2進程隱藏。進程是一種隨執(zhí)行過程不停變化的實體。在Linux系統(tǒng)運行任何一種命令或程序系統(tǒng)時都會建立起至少一種進程來執(zhí)行。這樣蜜罐捕捉程序必然會在系統(tǒng)中運行多種進程，運用類似于ps這樣查詢進程信息的命令便可以得到所有的進程信息，這樣很輕易就會暴露蜜罐的存在。由于在Linux中不存在直接查詢進程信息的系統(tǒng)調(diào)用，類似于ps這樣查詢進程信息的命令是通過查詢proc文獻系統(tǒng)來實現(xiàn)的。proc文獻系統(tǒng)是一種虛擬的文獻系統(tǒng)，它通過文獻系統(tǒng)的接口實現(xiàn)，用于輸出系統(tǒng)運行狀態(tài)。它以文獻系統(tǒng)的形式，為操作系統(tǒng)自身和應用進程之間的通信提供了一種界面，使應用程序可以安全、以便地獲得系統(tǒng)目前的運行狀況以及內(nèi)核的內(nèi)部數(shù)據(jù)信息，并可以修改某些系統(tǒng)的配置信息。由于proc以文獻系統(tǒng)的接口實現(xiàn)，因此可以象訪問一般文獻同樣訪問它，但它只存在于內(nèi)存之中，因此可以用隱藏文獻的措施來隱藏proc文獻系統(tǒng)中的文獻，以到達隱藏進程的目的。

判斷文獻與否屬于proc文獻系統(tǒng)是根據(jù)它只存在于內(nèi)存之中，不存在于任何實際設備之上這一特點，因此Linux內(nèi)核分派給它一種特定的主設備號0以及一種特定的次設備號1，除此之外在外存上沒有與之對應的i節(jié)點，因此系統(tǒng)也分派給它一種特殊的節(jié)點號PROC_ROOT_INO（值為1），而設備上的1號索引節(jié)點是保留不用的。這樣可以得出判斷一種文獻與否屬于proc文獻系統(tǒng)的措施。(1)得到該文獻對應的inode構造d_inode；(2)if(d_inode->i_ino==PROC_ROOT_INO.&&!MAJO(d_inode->i_dev)&；MINOR(d_inode->i_dev)==1){該文獻屬于proc文獻系統(tǒng)}。

3.2捕捉加密會話數(shù)據(jù)

為了觀測入侵者使用加密的會話，就必須找到破解加密會話的措施，不過許多組織已經(jīng)證明這是非常困難的。強攻不行就只能智取，加密的信息假如要使用就肯定會在某些地方不是被加密的，繞過加密進程就可以捕捉未加密的數(shù)據(jù)。這是解密工作的基本機制，然后獲得訪問未保護的數(shù)據(jù)。使用二進制木馬程序是對付加密的一種措施。當入侵者攻破蜜罐，他也許會使用如SSH的加密工具來登陸被攻陷的主機，登陸的時候肯定要輸入命令，這時木馬shell程序會記錄他們的動作。不過二進制木馬程序隱蔽性不高，并且入侵者也許會安裝他們自己的二進制程序。

從操作系統(tǒng)內(nèi)核訪問數(shù)據(jù)將是一種很好的捕捉措施。不管入侵者使用什么二進制程序，都可以從內(nèi)核捕捉數(shù)據(jù)并且可以記錄它們的行為。并且，由于顧客空間和內(nèi)核空間是分開的，因此在技術上還可以實現(xiàn)對所有包括root在內(nèi)的顧客隱藏自己的動作。圖中左邊的數(shù)據(jù)捕捉機制闡明了其工作的原理。

數(shù)據(jù)捕捉是由內(nèi)核模塊來完畢的，因此要使用這個模塊獲得蜜罐機操作系統(tǒng)內(nèi)核空間的訪問，從而捕捉所有read()和write()的數(shù)據(jù)。捕捉模塊通過替代系統(tǒng)調(diào)用表的read()和write()函數(shù)來實現(xiàn)這個功能，這個替代的新函數(shù)只是簡樸的調(diào)用老read()和write()函數(shù)，并且把內(nèi)容拷貝到一種數(shù)據(jù)包緩存。

3.3數(shù)據(jù)傳播隱蔽通道的建立

當蜜罐捕捉到數(shù)據(jù)后，那么它需要在入侵者沒有察覺的狀況下把數(shù)據(jù)發(fā)送到蜜網(wǎng)網(wǎng)關服務端。蜜罐一般都是布置在局域網(wǎng)內(nèi)，假如捕捉模塊只是簡樸使用UDP流來給服務端發(fā)送數(shù)據(jù)，入侵者只需監(jiān)聽網(wǎng)絡上的數(shù)據(jù)傳播就可以判斷與否有蜜罐系統(tǒng)的存在了。不過捕捉模塊還是可以使用UDP來給服務端發(fā)送數(shù)據(jù)，只不過它需要修改內(nèi)核使顧客無法看到這些數(shù)據(jù)包，包括其他主機發(fā)送的該類型使用相似配置的數(shù)據(jù)包。當捕捉模塊把這些數(shù)據(jù)發(fā)送到網(wǎng)絡的時候，操作系統(tǒng)也無法制止這些數(shù)據(jù)包的傳播。

假如一種局域網(wǎng)上每個蜜罐安裝了按照以上措施改善后的數(shù)據(jù)捕捉模塊，入侵者將不能發(fā)現(xiàn)任何捕捉模塊的數(shù)據(jù)，然而服務端可以完全訪問這些由蜜罐客戶端捕捉的數(shù)據(jù)。每個read()或write()調(diào)用祈求都會產(chǎn)生一種或多種日志數(shù)據(jù)包，每個數(shù)據(jù)包都包括了一點有關這個調(diào)用內(nèi)容的信息和這個調(diào)用訪問的數(shù)據(jù)。每個包還包括了一種記錄，這個記錄包括某些產(chǎn)生調(diào)用的進程描述、調(diào)用產(chǎn)生的時間和記錄數(shù)據(jù)的大小。這些包完全由捕捉模塊產(chǎn)生，而不是使用TCP/IP協(xié)議棧來產(chǎn)生或發(fā)送數(shù)據(jù)包，因此系統(tǒng)無法看到或阻斷這些數(shù)據(jù)包。當數(shù)據(jù)包創(chuàng)