蜜罐与蜜网技术分析

16.3.1蜜网项目组
“蜜网项目组”目前的规划分为四个阶段： 第一个阶段即1999年－2001年,主要针对 蜜网技术进行一些原理证明性(Proof of Concept)的实验,提出了第一代蜜网架构； 第二阶段从2001年到2003年,对蜜网技术 进行发展,并提出了第二代蜜网架构,开发了其中 的关键工具－HoneyWall 和Sebek；
16.1 概述
蜜网(honeynet )工程。Honeynet 工程建立在 一个真实的网络和主机环境,所有系统都是标准的机器,在 这些系统之上运行的是真实完整的操作系统及应用程序, 没有刻意地模拟某种环境或者故意地使系统不安全,这样 可使建立的网络环境看上去会更加真实可信,以增强其诱 骗的效果。 在该工程中,网络和系统都隐藏在防火墙后面，所有 进出该网络的数据和网络诱骗主机上的行为都受到监视、 捕获及控制。
第16章 蜜罐与蜜网技术
新兴的蜜罐技术，基于主动防御理论而提出， 日益受到网络安全领域重视。蜜罐主要通过精心 布置的诱骗环境来吸引和容忍入侵，进而了解攻 击思路、攻击工具和攻击目的等行为信息，特别 是对各种未知攻击行为信息的学习。 蜜网作为蜜罐技术的高级学习工具，不同于 蜜罐技术的低级形式单机蜜罐，一般是由防火墙、 路由器、入侵检测系统以及一台或多台蜜罐主机 组成的网络系统。
16.2 蜜罐技术
16.2.1 蜜罐的发展历程 16.2.2 蜜罐的分类 16.2.3 蜜罐的优缺点
Fra Baidu bibliotek
16.2.1 蜜罐的发展历程
蜜罐技术的发展历程可以分为以下三个阶段。 从九十年代初蜜罐概念的提出直到1998 年左右， “蜜罐”还仅仅限于一种思想，通常由网络管理 人员应用,通过欺骗黑客达到追踪的目的。这一阶 段的蜜罐实质上是一些真正被黑客所攻击的主机 和系统。
16.3 蜜网工程
16.3.1蜜网项目组 16.3.2 第二代蜜网方案
16.3.1蜜网项目组
“蜜网项目组”是一个非赢利性的研究组织，其目标 为学习黑客社团所使用的工具、战术和 动机，并将这些学习到的信息共享给安全防护人员。 为了联合和协调各国的蜜网研究组织共同对黑客社 团的攻击进行追踪和学习，2002年1月成立了“蜜网 研究联盟”(Honeynet Research Alliance)，到 2002 年12月为止,该联盟已经拥有了10个来自不同国 家的研究组织。联盟目前的执行委员会主席为来自Sun 公司的Lance Spitzner。
第三篇 网络防护篇
第11章 第12章 第13章 第14章 第15章 第16章 第17章 第18章 安全扫描技术的原理与应用 操作系统安全防范 密码及认证技术 防火墙的技术原理与应用 入侵检测技术的原理与应用 蜜罐与蜜网技术 数据备份与灾难恢复技术 网络安全综合防范平台
16.2.2. 蜜罐的分类
蜜罐还可以按照其交互度的等级划分为 1. 低交互蜜罐 2. 高交互蜜罐 交互度反应了黑客在蜜罐上进行攻击活动的 自由度。
16.2.2. 蜜罐的分类
低交互蜜罐一般仅仅模拟操作系统和网络 服务,较容易部署且风险较小,但黑客在低交互蜜 罐中能够进行的攻击活动较为有限,因此通过低交 互蜜罐能够收集的信息也比较有限,同时由于低交 互蜜罐通常是模拟的虚拟蜜罐,或多或少存在着一 些容易被黑客所识别的指纹(Fingerprinting) 信息。产品型蜜罐一般属于低交互蜜罐。
16.2.2. 蜜罐的分类
蜜罐可以按照其部署目的分为 1. 产品型蜜罐 2. 研究型蜜罐
16.2.2. 蜜罐的分类
产品型蜜罐的目的在于为一个组织的网络提 供安全保护，包括检测攻击、防止攻击造成破坏及 帮助管理员对攻击做出及时正确的响应等功能。 一般产品型蜜罐较容易部署,而且不需要管理 员投入大量的工作。较具代表性的产品型蜜罐包括 DTK、honeyd等开源工具和KFSensor、 ManTraq 等一系列的商业产品。
(3)部署蜜罐会带来一定的安全风险。部署蜜罐 所带来的安全风险主要有蜜罐可能被黑客识别和 黑客把蜜罐作为跳板从而对第三方发起攻击，一 旦黑客识别出蜜罐后,他将可能通知黑客社团,从 而避开蜜罐,甚至他会向蜜罐提供错误和虚假的 数据,从而误导安全防护和研究人员。防止蜜罐 被识别的解决方法是尽量消除蜜罐的指纹,并使 得蜜罐与真实的漏洞主机毫无差异。
第16章 蜜罐与蜜网技术
16.1概述 16.2 蜜罐技术 16.3 蜜网工程 16.4常见的网络诱骗工具及产品 16.5 实验：Honeyd的安装和配置
16.1 概述
网络诱骗技术是一种欺骗黑客攻击的技术, 它用来吸引攻击者,使他们进入受控环境中,使 用各种监控技术来捕获攻击者的行为,网络诱骗 技术的核心是强大的网络和系统活动的监视能 力,以及监视机制的隐蔽性,这是记录黑客攻击 活动的根本条件。
16.3.2 第二代蜜网方案
一个蜜网是由许多用来与攻击者进行交互的 蜜罐组成的网络，其中的这些靶子（蜜网内的蜜 罐）可以是你想提供的任何类型的系统，服务或 是信息。此外，虚拟蜜网通过应用虚拟操作系统 软件(如VMWare 和User Mode Linux等) 使得我们可以在单一的主机上实现整个蜜网的体 系架构。
16.3.2 第二代蜜网方案
第二代蜜网体系架构
16.3.2 第二代蜜网方案
HoneyWall 是一个对黑客不可见的链路层桥接设 备，作为蜜网与其他网络的唯一连接点，所有流入流出 蜜网的网络流量都将通过HoneyWall，并受其控制和 审计.
同时由于HoneyWall 是一个工作在链路层的桥接 设备，不会对网络数据包进行TTL 递减和网络路由，也 不会提供本身的MAC 地址，因此对黑客而言， HoneyWall 是完全不可见的，因此黑客不会识别出其 所攻击的网络是一个蜜网。
16.2.3蜜罐的优缺点
蜜罐技术的优点包括： (2)蜜罐技术不需要强大的资源支持,可以使用一 些低成本的设备构建蜜罐,不需要大量的资金 投入。
16.2.3蜜罐的优缺点
蜜罐技术的优点包括：
(3)相对入侵检测等其他技术,蜜罐技术比较 简单,使得网络管理人员能够比较容易地掌握 黑客攻击的一些知识。
16.1 概述
目前,对于网络诱骗的研究有两个大类。一类是蜜 罐(honeypot) 技术,一类是蜜网(honeynet) 工程。 蜜罐(honeypot) 技术。国际上的一些安全组织 首先研究蜜罐(honeypot) 技术。在一般情况 下,honeypot 模拟某些常见的漏洞,模拟其它操作系统 的特征或者在某个系统上做了一些设置,使其成为一台 “牢笼”主机,来诱骗入侵者,目的是增加黑客攻击系统 所花的开销,使攻击者劳而无功,从而降低黑客攻击系统 的兴趣,减少重要系统被攻击的危险。
16.3.2 第二代蜜网方案
虚拟蜜网的引入使得架设蜜网的代价大幅降 低，也较容易部署和管理,但同时也带来了更大 的风险，黑客有可能识别出虚拟操作系统软件的 指纹，也可能攻破虚拟操作系统软件从而获得对 整个虚拟蜜网的控制权。
16.3.2 第二代蜜网方案
蜜网有着三大核心需求：
1. 数据控制；
2. 数据捕获； 3. 数据分析。
通过数据控制能够确保黑客不能利用蜜网危害第 三方网络的安全，以减轻蜜网架设的风险；数据捕获技 术能够检测并审计黑客攻击的所有行为数据；而数据分 析技术则帮助安全研究人员从捕获的数据中分析出黑客 的具体活动、使用工具及其意图。
16.3.2 第二代蜜网方案
目前“蜜网项目组”已经开发出较为完善的 第二代蜜网架构，并以一张可启动光盘的形式提 供部署和维护第二代蜜网所需的关键工具：
16.2.2. 蜜罐的分类
研究型蜜罐则是专门用于对黑客攻击的捕获和分析，
通过部署研究型蜜罐,对黑客攻击进行追踪和分析，能够 捕获黑客的攻击记录；了解到黑客所使用的攻击工具及攻 击方法；甚至能够监听到黑客之间的交谈，从而掌握他们 的心理状态等信息。
研究型蜜罐需要研究人员投入大量的时间和精力进 行攻击监视和分析工作，具有代表性的工具是“蜜网项目 组”所推出的第二代蜜网技术。
16.2.1 蜜罐的发展历程
但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客 识别等问题，从2000 年之后,安全研究人员更倾向于使 用真实的主机、操作系统和应用程序搭建蜜罐，但与之 前不同的是，融入了更强大的数据捕获、数据分析和数 据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系 中，使得研究人员能够更方便地追踪侵入到蜜网中的黑 客并对他们的攻击行为进行分析。
16.3 蜜网工程
蜜网是在蜜罐技术上逐步发展起来的一个 新的概念,又可成为诱捕网络。 其主要目的是收集黑客的攻击信息，但与 传统蜜罐技术的差异在于，蜜网构成了一个黑 客诱捕网络体系架构，在这个架构中,我们可以 包含一个或多个蜜罐，同时保证了网络的高度 可控性，以及提供多种工具以方便对攻击信息 的采集和分析。
16.2.3蜜罐的优缺点
蜜罐技术也存在着一些缺陷,主要有: (1)需要较多的时间和精力投入。蜜罐技术只能 对针对蜜罐的攻击行为进行监视和分析,其视图 较为有限,不像入侵检测系统能够通过旁路侦听 等技术对整个网络进行监控。 (2)蜜罐技术不能直接防护有漏洞的信息系统。
16.2.3蜜罐的优缺点
16.2.1 蜜罐的发展历程
从1998 年开始，蜜罐技术开始吸引了一些安全研究 人员的注意，并开发出一些专门用于欺骗黑客的开源工 具，如Fred Cohen 所开发的DTK(欺骗工具包)、 Niels Provos 开发的Honeyd 等,同时也出现了像 KFSensor、 Specter 等一些商业蜜罐产品。 这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜 罐工具能够模拟成虚拟的操作系统和网络服务，并对黑 客的攻击行为做出回应，从而欺骗黑客。虚拟蜜罐工具 的出现也使得部署蜜罐也变得比较方便。
16.3.1蜜网项目组
第三阶段从2003年到2004年，其任务着重 于将所有相关的数据控制和数据捕获工具集成到 一张自启动的光盘中，使得比较容易地部署第二 代蜜网，并规范化所搜集到的攻击信息格式； 第四阶段从2004 年到2005年，主要目标 为将各个部署的蜜网项目所采集到的黑客攻击信 息汇总到一个中央管理系统中，并提供容易使用 的人机交互界面，使得研究人员能够比较容易地 分析黑客攻击信息，并从中获得一些价值。
16.2 蜜罐技术
“蜜罐”这一概念最初出现在1990 年出版的一本 小说《The Cuckoo’s Egg》中,在这本小说中描述了 作者作为一个公司的网络管理员,如何追踪并发现一起商 业间谍案的故事。 “蜜网项目组”(The Honeynet Project)的创 始人Lance Spitzner给出了对蜜罐的权威定义:蜜罐是 一种安全资源,其价值在于被扫描、攻击和攻陷。 这个定义表明蜜罐并无其他实际作用,因此所有流入 /流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷， 而蜜罐的核心价值就在于对这些攻击活动进行监视、检 测和分析。
HoneyWall 和Sebek。 以下结合“蜜网项目组” 及其推出的第二 代蜜网技术方案对蜜网的核心需求进行分析。
16.3.2 第二代蜜网方案
第二代蜜网方案的整体架构如下图所示，其 中最为关键的部件为称为HoneyWall的蜜网网 关，包括三个网络接口，eth0接入外网，eth1 连接蜜网,而eth2 作为一个秘密通道，连接到一 个监控网络。
16.2.2. 蜜罐的分类
高交互蜜罐则完全提供真实的操作系统和网 络服务，没有任何的模拟。 高交互蜜罐在提升黑客活动自由度的同时， 自然地加大了部署和维护的复杂度及风险的扩大。 研究型蜜罐一般都属于高交互蜜罐，也有部分蜜 罐产品，如ManTrap,属于高交互蜜罐。
16.2.3蜜罐的优缺点
蜜罐技术的优点包括: (1)收集数据的保真度,由于蜜罐不提供任何实际的作用,因 此其收集到的数据很少,同时收集到的数据很大可能就是 由于黑客攻击造成的,蜜罐不依赖于任何复杂的检测技术 等,因此减少了漏报率和误报率。 使用蜜罐技术能够收集到新的攻击工具和攻击方法, 而不像目前的大部分入侵检测系统只能根据特征匹配 的方法检测到已知的攻击。