蜜罐和蜜网

Honeypot的类型 的类型
高交互度的Honeypot-复杂度大大增加 面对攻击者的是真实操作系统 复杂度大大增加,面对攻击者的是真实操作系统 高交互度的 复杂度大大增加 面对攻击者的是真实 的真实应用服务。高交互度Honeypot为攻击者提供对实际操作系统的 的真实应用服务。高交互度 为攻击者提供对实际操作系统的 访问权,在此环境下无任何实体模拟或受限 在此环境下无任何实体模拟或受限, 访问权 在此环境下无任何实体模拟或受限 Honeypot收集攻击者信息 收集攻击者信息 的能力也大大增强,但同时它也面临高风险 但同时它也面临高风险,一旦攻击者掌握了对某个 的能力也大大增强 但同时它也面临高风险 一旦攻击者掌握了对某个 Honeypot的控制权 即拥有了被侵入机器完整可操作系统的控制权 从 的控制权,即拥有了被侵入机器完整可操作系统的控制权 的控制权 即拥有了被侵入机器完整可操作系统的控制权,从 而会在被侵入系统内进一步扩大侵害。 而会在被侵入系统内进一步扩大侵害。 高交互系统可以提供真实的操作系统环境， 高交互系统可以提供真实的操作系统环境，攻击者完全可以认为它就 是一台真实的服务器主机，因此， 是一台真实的服务器主机，因此，它可以对攻击者的攻击方法进行详 细的日志记录。当攻击者自认为成功入侵时， 细的日志记录。当攻击者自认为成功入侵时，系统也成功的记录了它 的入侵过程， 的入侵过程，这样可以帮助系统发现当前系统漏洞并采取相应措施修 补漏洞。 补漏洞。 当然，因为部署了真实的操作系统， 当然，因为部署了真实的操作系统，就难免有攻击者可以通过蜜罐系 统对其它内网主机进行攻击，因此， 统对其它内网主机进行攻击，因此，管理员应定期检查蜜罐主机的安 全性和完整性，也可通过其它方法将蜜罐主机与受保护主机隔离， 全性和完整性，也可通过其它方法将蜜罐主机与受保护主机隔离，使 攻击者即使攻破了蜜罐系统也无法跳板攻击其它主机。 攻击者即使攻破了蜜罐系统也无法跳板攻击其它主机。
Honeypot的类型 的类型
中交互度的Honeypot-仍然没有提供真实的操作系统应用服务与攻击者交互 仍然没有提供真实的操作系统应用服务与攻击者交互, 中交互度的 仍然没有提供真实的操作系统应用服务与攻击者交互 但为攻击者提供了更多复杂的诱骗进程,模拟了更多更复杂的特定服务 模拟了更多更复杂的特定服务。 但为攻击者提供了更多复杂的诱骗进程 模拟了更多更复杂的特定服务。中 交互度Honeypot能够预期一些活动 并且旨在可以给出一些低交互度 能够预期一些活动,并且旨在可以给出一些低交互度 交互度 能够预期一些活动 Honeypot所无法给予的响应。 所无法给予的响应。 所无法给予的响应 交互频率高，蜜罐系统可以提供较低交互系统更加详细的日志和攻击手段。 交互频率高，蜜罐系统可以提供较低交互系统更加详细的日志和攻击手段。 但中交互系统因为要模拟众多的服务而加大了其普通使用的技术门槛。因为 但中交互系统因为要模拟众多的服务而加大了其普通使用的技术门槛。 在无操作系统支持的基础上提供各种协议服务， 在无操作系统支持的基础上提供各种协议服务，而且要诱骗攻击者认为这是 一个真正的服务，这就要求在技术上要非常的逼真与高效， 一个真正的服务，这就要求在技术上要非常的逼真与高效，攻击者往往是对 网络安全技术有深入了解的人， 网络安全技术有深入了解的人，如果只是简单的或偶尔不正确的响应一些攻 击者的请求，攻击者可能很快就会发现被攻击系统的陷阱，从而停止攻击。 击者的请求，攻击者可能很快就会发现被攻击系统的陷阱，从而停止攻击。 因此架设一个中交互系统是比较复杂的， 因此架设一个中交互系统是比较复杂的，要求实施者对网络协议与服务有深 刻的认识。同时，因为中交互系统提供了较多的网络服务， 刻的认识。同时，因为中交互系统提供了较多的网络服务，有可能被攻击者 利用成为跳板，因此，在实施该系统的网络内，因经常检查系统日志， 利用成为跳板，因此，在实施该系统的网络内，因经常检查系统日志，并严 格检查是否有安全漏洞已经被黑客利用。 格检查是否有安全漏洞已经被黑客利用。
Honeypot
当攻击者忙着吃蜜的时候，收集攻击者的数据。 当攻击者忙着吃蜜的时候，收集攻击者的数据。 -攻击的来源 攻击的来源 -攻击者在做什么，在寻找什么 攻击者在做什么， 攻击者在做什么 -攻击者在 攻击者在exploiting 什么 vulnerabilities。 攻击者在 。 蜜罐系统是具有吸引和诱骗价值的资源，它期待被检测、攻击和潜在的利用。 蜜罐系统是具有吸引和诱骗价值的资源，它期待被检测、攻击和潜在的利用。 蜜罐系统不修补任何安全漏洞，它们向系统管理员提供附加的、 蜜罐系统不修补任何安全漏洞，它们向系统管理员提供附加的、有价值的信 可以是真实的网络系统或是真实网络环境的模拟， 息。可以是真实的网络系统或是真实网络环境的模拟，其作用是引诱黑客扫 描、攻击并最终攻陷从而获取攻击者的信息以及他们的攻击技术和手段。 攻击并最终攻陷从而获取攻击者的信息以及他们的攻击技术和手段。 辅助的网络安全防范技术， 辅助的网络安全防范技术， 它不能代替其它的网络安全 技术， 技术，只可以辅助其它网络 安全技术更加有效的实施， 安全技术更加有效的实施， 例如： 例如： 可以为入侵检测系统提供未 知攻击的检测记录。 知攻击的检测记录。
iptables -A INPUT -p tcp -m tcp --dport 135 -j TARPIT
当一个新的链接过来的时候，连接会正常开始 不过 不过TCP windows size=0, 当一个新的链接过来的时候，连接会正常开始,不过 就是说连接虽然建立了,不过数据不会传输 强制终结连接也不管用,直到 不过数据不会传输, 就是说连接虽然建立了 不过数据不会传输 强制终结连接也不管用 直到 连接默认的time out时间到达 链接才会中止。 时间到达,链接才会中止 连接默认的 时间到达 链接才会中止。
Honeypot的类型 的类型
是一种安全资源,其价值体现在被探测 -Honeypot是一种安全资源 其价值体现在被探测、攻击或者摧毁的时候。 是一种安全资源 其价值体现在被探测、攻击或者摧毁的时候。 Honeypot根据与攻击者的交互 根据与攻击者的交互(interaction)程度可分为以下三种 程度可分为以下三种: 根据与攻击者的交互 程度可分为以下三种 低交互度Honeypot-不运行真实操作系统的真实应用服务 而是模拟， 不运行真实操作系统的真实应用服务, 而是模拟 模拟， 低交互度 不运行真实操作系统的真实应用服务 对外呈现真实应用服务的基本功能,攻击者于是与这些模拟服务进行预 对外呈现真实应用服务的基本功能 攻击者于是与这些模拟服务进行预 先设定好的例行交互。 先设定好的例行交互。 只为外界攻击提供非常有限的应答或只是简单的监听网络的连接信息， 只为外界攻击提供非常有限的应答或只是简单的监听网络的连接信息， 如可能只开设几个虚假的端口信息， 如可能只开设几个虚假的端口信息，当攻击者根据扫描工具找到这些端 口并进行攻击时，蜜罐系统因为没有回应， 口并进行攻击时，蜜罐系统因为没有回应，因而只能产生一些简单的日 志信息，而这些信息只是一些初始的连接信息， 志信息，而这些信息只是一些初始的连接信息，无法真正评估攻击的目 而且因为无法回应或只回应少量信息. 的，而且因为无法回应或只回应少量信息 黑客很快就会发现异常并停止攻击，这样也就失去了诱骗的初衷。当然， 黑客很快就会发现异常并停止攻击，这样也就失去了诱骗的初衷。当然， 因为交互信息的有限性，这种类型的蜜罐系统的安全性也是最高的， 因为交互信息的有限性，这种类型的蜜罐系统的安全性也是最高的，它 不易被黑客攻破而成为攻击其它内网主机的跳板。 不易被黑客攻破而成为攻击其它内网主机的跳板。
Honeypot是IDS的补充 是 的补充
Honeypot是一种网络诱骗系统 伪装成具有看似重要 是一种网络诱骗系统,伪装成具有看似重要 是一种网络诱骗系统 但却没有价值数据的有漏洞的系统,诱骗入侵者 诱骗入侵者。 但却没有价值数据的有漏洞的系统 诱骗入侵者。 Honeypot不会主动发送任何数据流 任何与它的互动 不会主动发送任何数据流,任何与它的互动 不会主动发送任何数据流 皆可以被认为可疑,使用它可有效降低错报的发生 使用它可有效降低错报的发生; 皆可以被认为可疑 使用它可有效降低错报的发生 Honeypot根据系统活动而不是规则数据库检测攻击 根据系统活动而不是规则数据库检测攻击, 根据系统活动而不是规则数据库检测攻击 不会被新型攻击手段绕过,因此可以解决漏报问题 因此可以解决漏报问题; 不会被新型攻击手段绕过 因此可以解决漏报问题 Honeypot每天产生的数据量很少 大部分都很有价值 每天产生的数据量很少,大部分都很有价值 每天产生的数据量很少 大部分都很有价值, 从中容易诊断出有用信息,解决数据整合问题 解决数据整合问题。 从中容易诊断出有用信息 解决数据整合问题。
-诱惑攻击者的欺骗系统 是一个 诱惑攻击者的欺骗系统,是一个 诱惑攻击者的欺骗系统 是一个non-hardened的系统 的系统
Honeypot的工作机制 的工作机制
Honeypot并不是一个真实系统，因而到它 并不是一个真实系统， 并不是一个真实系统 的所有流量都是可疑的。 的所有流量都是可疑的。 通常位于DMZ区。 区 通常位于 审计活动/保存日志文件 记录事件 审计活动 保存日志文件/记录事件 保存日志文件 如：进程启动/文件增加/删除/修改/击键 评估入侵者的技术等级， 评估入侵者的技术等级，他们的意图或身份 收集证据数据
目的：捕获蠕虫和扫描器 拖慢速度 目的：捕获蠕虫和扫描器-拖慢速度 工作原理 负责对那么没有使用的IP请求的响应 负责对那么没有使用的 请求的响应 来了一个连接请求，响应并建立连接， 来了一个连接请求，响应并建立连接，以一种慢速但持续状态维持该连接 (比如 比如TCP Window size=1)，紧紧抓住这个连接，好像焦油那样。 比如 ，紧紧抓住这个连接，好像焦油那样。
蜜罐和蜜网
Honeypots and Honeynets
入侵检测也有局限性
入侵检测系统虽然在入侵行为的检测方面取 得了很大的成功,但自身存在难以克服的局限 但自身存在难以克服的局限: 得了很大的成功 但自身存在难以克服的局限 虚警、漏警。 虚警、漏警。 安全模型/规则 规则， 安全模型 规则，未知网络攻击 数据整合/挖掘 挖掘-如何从大量的数据中为攻击 数据整合 挖掘 如何从大量的数据中为攻击 检测和确认提供有用的信息
http://blog.vinceliu.com/2009/06/setting-up-tarpit-on-ubuntu-linux.html
SMTP Tar Pit 功能
http://hi.baidu.com/x278384/blog/item/dea8ed171a62a30bc93d6de9.html
低交互度Honeypot的实现 的实现 低交互度
-Tarpits(从Tar Pit-焦油坑而来 从 焦油坑而来) 焦油坑而来
http://en.wikipedia.org/wiki/Tarpit_(networking) http://tagbulb.com/q/Bookmarks/Delicious/tarpit iptables实现了 实现了tarpits 实现了
低交互度Honeypot的实现 的实现 低交互度
-Kfsensor http://www.keyfocus.net/ 基于 基于Windows的蜜罐 的蜜罐/IDS 的蜜罐
提供两周试用版;依赖于 提供两周试用版 依赖于winPcap库 依赖于 库
可配置的服务模拟(FTP/HTTP/SMTP/Telnet/NetBIOS等) 等 扩展的事件日志能力(网络流量 网络流量) 扩展的事件日志能力 网络流量 可以作为一个吸引攻击和记录潜在的黑客以及通过 模拟易受攻击的系统服务甚至特洛伊木马的端口 选择程序执行哪个端口,以及当企图访问时候执行 选择程序执行哪个端口 以及当企图访问时候执行 什么行动. 什么行动 KFSensor 提供了详细的日志 攻击分析和安全警 提供了详细的日志,攻击分析和安全警 报功能.日志浏览显示了关于每次企图访问ห้องสมุดไป่ตู้日志浏览显示了关于每次企图访问,以及计 报功能 日志浏览显示了关于每次企图访问 以及计 地址的详细资料. 算机名称和 IP 地址的详细资料