蜜罐技術(shù)講解

背景描述針對(duì)目前網(wǎng)絡(luò)嚴(yán)峻的安全威逼，網(wǎng)絡(luò)安全人員和治理員卻仍舊對(duì)黑客社團(tuán)所知甚少。當(dāng)網(wǎng)絡(luò)被攻陷破壞后，甚至還不知道幕后黑手是誰。對(duì)他們使用了哪些工具、以何種方式達(dá)成攻擊目標(biāo)，以及為什么進(jìn)展攻擊更是一無所知?！爸褐?，百戰(zhàn)不殆”，安全防護(hù)工作者，無論是安全爭(zhēng)論人員、安全產(chǎn)品研發(fā)人員、安全治理人員和安全響應(yīng)效勞人員，都需要首先對(duì)黑客社團(tuán)有深入的了解，包括他們所把握的攻擊技術(shù)、技巧和戰(zhàn)術(shù)、甚至心理和習(xí)慣等。只有在充分了解對(duì)手的前提下，安全技術(shù)人員和網(wǎng)絡(luò)治理員才能更有效地維護(hù)互聯(lián)網(wǎng)安全。而蜜罐和蜜網(wǎng)技術(shù)為捕獲黑客的攻擊行為，并深入分析黑客供給了根底。工作原理蜜罐(Honeypot)是一種在互聯(lián)網(wǎng)上運(yùn)行的計(jì)算機(jī)系統(tǒng)，它是特地為吸引并“誘騙”那些試圖非法闖入他人計(jì)算機(jī)系統(tǒng)的人而設(shè)計(jì)的。蜜罐系統(tǒng)是一個(gè)包含漏洞的誘騙系統(tǒng)，它通過模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給攻擊者供給一個(gè)簡(jiǎn)潔攻擊的目標(biāo)。蜜罐的另一個(gè)用途是拖延攻擊者對(duì)真正目標(biāo)的攻擊，讓攻擊者在蜜罐上鋪張時(shí)間。此外，蜜罐也可以為追蹤攻擊者供給有力的線索，為起訴攻擊者搜集有力的證據(jù)。簡(jiǎn)潔地說，蜜罐就是誘捕攻擊者的一個(gè)陷阱。一些特地用于哄騙黑客的開源工具，如FredCohe這一階段的蜜罐可以稱為是虛擬蜜罐，即開發(fā)的這些蜜罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡(luò)效勞，并對(duì)黑客的攻擊行為做出回應(yīng)，從而哄騙黑客。虛擬蜜罐工具的消滅也使得部署蜜罐也變得比較便利。但是由于虛擬蜜罐工具存在著交互程度低，較簡(jiǎn)潔被黑客識(shí)別等問題，從2023年之后，安全爭(zhēng)論人員更傾向于使用真實(shí)的主機(jī)、操作系統(tǒng)和應(yīng)用程序搭建蜜罐，但與之前不同的是，融入了更強(qiáng)大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)掌握的工具，并且將蜜罐納入到一個(gè)完整的蜜網(wǎng)體系中，使得爭(zhēng)論人員能夠更便利地追蹤侵入到蜜網(wǎng)中的黑客并對(duì)他們的攻擊行為進(jìn)展分析。蜜罐可以依據(jù)其部署目的分為產(chǎn)品型蜜罐和爭(zhēng)論型蜜罐兩類。產(chǎn)品型蜜罐的目的在于為一個(gè)組織的網(wǎng)絡(luò)供給安全保護(hù)，包括檢測(cè)攻擊、防止攻擊造成破壞及幫助治理員對(duì)攻擊做出準(zhǔn)時(shí)正確的響應(yīng)等功能。一般產(chǎn)品型蜜罐較簡(jiǎn)潔部署，而且不需要治理員投入大量的工作。較具代表性的產(chǎn)品型蜜罐包括DTK、honeyd等開源工具和爭(zhēng)論型蜜罐則是特地用于對(duì)黑客攻擊的捕獲和分析，通過部署爭(zhēng)論型蜜罐，對(duì)黑客攻擊進(jìn)展追蹤和分析，能夠捕獲黑客的鍵擊記錄，了解到黑客所使用的攻擊工具及攻擊方法，甚至能夠監(jiān)聽到黑客之間的交談，從而把握他們的心理狀態(tài)等信息。爭(zhēng)論型蜜罐需要爭(zhēng)論人員投入大量的時(shí)間和精力進(jìn)展攻擊監(jiān)視和分析工作，具有代表性的工具是“蜜網(wǎng)工程組”所推出的其次代蜜網(wǎng)技術(shù)。蜜罐技術(shù)的優(yōu)點(diǎn)：〔1〕收集數(shù)據(jù)的保真度，由于蜜罐不供給任何實(shí)際的作用，因此其收集到的數(shù)據(jù)很少，同時(shí)收集到的數(shù)據(jù)很大可能就是由于黑客攻擊造成的，蜜罐不依靠于任何簡(jiǎn)單的檢測(cè)技術(shù)等，因此削減了漏報(bào)率和誤報(bào)率?！?〕使用蜜罐技術(shù)能夠收集到的攻擊工具和攻擊方法，而不像目前的大局部入侵檢測(cè)系統(tǒng)只能依據(jù)特征匹配的方法檢測(cè)到的攻擊?！?〕蜜罐技術(shù)不需要強(qiáng)大的資源支持，可以使用一些低本錢的設(shè)備構(gòu)建蜜罐，不需要大量的資金投入?！?〕相對(duì)入侵檢測(cè)等其他技術(shù)，蜜罐技術(shù)比較簡(jiǎn)潔，使得網(wǎng)絡(luò)治理人員能夠比較簡(jiǎn)潔地把握黑客攻擊的一些學(xué)問。蜜罐技術(shù)的缺陷：〔1〕需要較多的時(shí)間和精力投入?！?〕蜜罐技術(shù)只能對(duì)針對(duì)蜜罐的攻擊行為進(jìn)展監(jiān)視和分析，其視圖較為有限，不像入侵檢測(cè)系統(tǒng)能夠通過旁路偵聽等技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)展監(jiān)控?！?〕蜜罐技術(shù)不能直接防護(hù)有漏洞的信息系統(tǒng)?！?〕部署蜜罐會(huì)帶來肯定的安全風(fēng)險(xiǎn)。部署蜜罐所帶來的安全風(fēng)險(xiǎn)主要有蜜罐可能被黑客識(shí)別和黑客把蜜罐作為跳板從而對(duì)第三方發(fā)起攻擊。蜜網(wǎng)是在蜜罐技術(shù)上逐步進(jìn)展起來的一個(gè)的概念，又可成為誘捕網(wǎng)絡(luò)。其主要目的是收集黑客的攻擊信息，但與傳統(tǒng)蜜罐技術(shù)的差異在于，蜜網(wǎng)構(gòu)成了一個(gè)黑客誘捕網(wǎng)絡(luò)體系架構(gòu)，在這個(gè)架構(gòu)中，我們可以包含一個(gè)或多個(gè)蜜罐，同時(shí)保證了網(wǎng)絡(luò)的高度可控供多種工具以便利對(duì)攻擊信息的采集和分析。一個(gè)蜜網(wǎng)是由很多用來與攻擊者進(jìn)展交互的蜜罐組成的網(wǎng)絡(luò)，其中的這些靶子〔蜜網(wǎng)內(nèi)的蜜罐〕可以是你想供給的任何類型的系統(tǒng)，效勞或是信息。此外，虛擬蜜網(wǎng)通過應(yīng)用虛擬網(wǎng)的體系架構(gòu)。虛擬蜜網(wǎng)的引入使得架設(shè)蜜網(wǎng)的代價(jià)大幅降低，也較簡(jiǎn)潔部署和治理,蜜網(wǎng)有著三大核心需求1〕數(shù)據(jù)掌握2〕數(shù)據(jù)捕獲3〕數(shù)據(jù)分析。通過數(shù)據(jù)掌握能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡(luò)的安全，以減輕蜜網(wǎng)架設(shè)的風(fēng)險(xiǎn)；數(shù)據(jù)捕獲技術(shù)能夠檢測(cè)并審計(jì)黑客攻擊的全部行為數(shù)據(jù)；而數(shù)據(jù)分析技術(shù)則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動(dòng)、使用工具及其意圖。以下結(jié)合“蜜網(wǎng)工程組”及其推出的其次代蜜網(wǎng)技術(shù)方案對(duì)蜜網(wǎng)的核心需求進(jìn)展分析。連接到一個(gè)監(jiān)控網(wǎng)絡(luò)。全部流入流出蜜網(wǎng)的網(wǎng)絡(luò)流量都將通過HoneyWall，并受其掌握和審計(jì)，對(duì)黑客而言，HoneyWall是完全不行見的，因此黑客不會(huì)識(shí)別出其所攻擊的網(wǎng)絡(luò)是一個(gè)蜜網(wǎng)。對(duì)流入的網(wǎng)絡(luò)包不進(jìn)展任何限制，使得黑客能攻入蜜網(wǎng)，但對(duì)黑客使用蜜網(wǎng)對(duì)外發(fā)起的跳板攻擊進(jìn)展嚴(yán)格掌握，掌握的方法包括攻擊包抑制和對(duì)外連接數(shù)限制兩種手段。攻擊包抑制主要針對(duì)使用少量連接即能奏效的攻擊(如權(quán)限提升攻擊等)，在HoneyWall中使用網(wǎng)絡(luò)入侵防范系統(tǒng)(NIPS有的攻擊特征的攻擊數(shù)據(jù)包，發(fā)出報(bào)警信息并對(duì)攻擊數(shù)據(jù)包加以拋棄或修改，使其不能對(duì)第三方網(wǎng)絡(luò)構(gòu)成危害。而對(duì)外連接數(shù)限制則主要針對(duì)網(wǎng)絡(luò)探測(cè)和拒絕效勞攻擊。HoneyWall通過在IPTables防火墻中設(shè)置規(guī)章，當(dāng)黑客發(fā)起的連接數(shù)超過預(yù)先設(shè)置的閾值，則IPTables將其記錄到日志，并阻斷其后繼連接，從而避開蜜網(wǎng)中被攻陷的蜜罐作為黑客的跳板對(duì)第三方網(wǎng)絡(luò)進(jìn)展探測(cè)或拒絕效勞攻擊。方式通知治理員。HoneyWall中實(shí)現(xiàn)的數(shù)據(jù)捕獲機(jī)制的具體工作流程，黑客攻擊數(shù)據(jù)包從eth0流入后,通過IPTables防火墻，依據(jù)防火墻規(guī)章,將對(duì)流入的連接活動(dòng)進(jìn)展記錄，由于我們無需對(duì)流監(jiān)聽器使用的snort記錄全部的網(wǎng)絡(luò)流量，以供后繼的攻擊分析所使用。在蜜網(wǎng)中的各個(gè)蜜罐上，通過安裝Sebek的客戶端，能夠?qū)诳驮诿酃奚系幕顒?dòng)進(jìn)展記錄，并通過對(duì)黑客隱蔽的通道將收集到的鍵擊記錄等信息傳送到位于HoneyWall的Sebek到黑客所發(fā)動(dòng)的攻擊方法。3.常見的網(wǎng)絡(luò)誘騙工具及產(chǎn)品DTK對(duì)大多數(shù)自動(dòng)攻擊工具是適用的，但很簡(jiǎn)潔被一個(gè)真正的攻擊者區(qū)分出來。Honeyd。Honeyd是一個(gè)很酷很小巧的用于創(chuàng)立虛擬的網(wǎng)絡(luò)上的主機(jī)的后臺(tái)程序，這些虛擬主機(jī)可以配置使得它們供給任意的效勞，利用共性處理可以使得這些主機(jī)顯示為在某個(gè)特定版本的操作系統(tǒng)上運(yùn)行。能讓一臺(tái)主機(jī)在一個(gè)模擬的局域網(wǎng)環(huán)境中配有多個(gè)地址(曾測(cè)試過的最多可以到達(dá)評(píng)估機(jī)制來提高計(jì)算機(jī)系統(tǒng)的安全性，也可以通過將真實(shí)系統(tǒng)隱蔽在虛擬系統(tǒng)中來阻擋外來的攻擊者。由于Honeyd只能進(jìn)展網(wǎng)絡(luò)級(jí)的模擬，不能供給真實(shí)的交互環(huán)境，能獵取的有價(jià)值的攻擊者的信息比較有限，所以Honeyd所模擬的蜜罐系統(tǒng)常常是作為真實(shí)應(yīng)用的網(wǎng)絡(luò)中轉(zhuǎn)移攻擊者目標(biāo)的設(shè)施，或者是與其他高交互的蜜罐系統(tǒng)一起部署，組成功能強(qiáng)大但花費(fèi)又相對(duì)較少的網(wǎng)絡(luò)攻擊信息收集系