蜜罐与蜜网技术介绍

11
北京大学计算机科学技术研究所
产品型蜜罐

部署目标: 保护单位网络
防御 检测 帮助对攻击的响应



需要网管尽可能少的工作 商业产品

KFSensor, Specter, ManTrap
12
北京大学计算机科学技术研究所
研究型蜜罐

部署目标：对黑客攻击进行捕获和分析
这些“坏家伙”在干什么 了解攻击方法 捕获他们的键击记录 捕获他们的攻击工具 监控他们的会话
北京大学计算机科学技术研究所 北京大学计算机科学技术研究所
蜜罐与蜜网技术介绍
诸葛建伟 狩猎女神项目/The Artemis Project 2005-4-27 presented at CCERT
北京大学计算机科学技术研究所
内容

蜜罐技术的提出 蜜罐技术


蜜罐概念 实例工具：DTK, honeyd 蜜网概念、蜜网项目组 实例工具：Gen II 蜜网
18

利用蜜罐攻击第三方



北京大学计算机科学技术研究所
蜜罐工具实例

DTK
Deception Toolkit (1997) by Fred Cohen Fred Cohen, A Framework for Deception.


Honeyd
A virtual honeypot framework Honeyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.
蜜罐技术
什么是蜜罐？ 蜜罐的发展历史 Fred Cohen – DTK Honeyd
北京大学计算机科学技术研究所
蜜罐的概念


Honeypot: 首次出现在Cliff Stoll的 小说“The Cuckoo’s Egg”(1990) 蜜网项目组给出如下定义：

“A security resource who’s value lies

蜜网技术


蜜罐/蜜网技术的应用 新概念和新方向 狩猎女神项目
2
北京大学计算机科学技术研究所
蜜罐技术的提出
要解决什么问题？
北京大学计算机科学技术研究所
互联网安全状况

安全基础薄弱
操作系统/软件存在大量漏洞 安全意识弱、安全加强 rarely done


任何主机都是攻击目标！
DDoS、跳板攻击需要大量傀儡主机 蠕虫、病毒的泛滥 并不再仅仅为了炫耀
蜜罐技术弱势



劳力/技术密集型 局限的视图 不能直接防护信息系统 带来的安全风险
17
北京大学计算机科学技术研究所
安全风险

发现蜜罐

黑客知道要避免进入哪些系统 向蜜罐反馈虚假、伪造的信息 消除蜜罐的指纹 蜜罐-反蜜罐技术：博弈问题! 期望黑客获得蜜罐的root权限 黑客会将其用作危害第三方的跳板 引入多层次的数据控制机制 人为分析和干预
in being probed, attacked or compromised”
没有业务上的用途，因此所有流入/流出 蜜罐的流量都预示着扫描、攻击及攻陷 用以监视、检测和分析攻击

9
北京大学计算机科学技术研究所
蜜罐技术的发展历史

被攻陷的真实主机 (1990 ~)

<< The Cuckoo’s Egg >> An Evening with Berferd 模拟网络服务，虚拟系统 Fred Cohen: DTK

团队协作
5
北京大学计算机科学技术研究所
网络攻防的不对称博弈

工作量不对称

攻击方：夜深人静, 攻其弱点 防守方：24*7*365, 全面防护 攻击方：通过网络扫描、探测、踩点对攻击目标 全面了解 防守方：对攻击方一无所知 攻击方：任务失败，极少受到损失 防守方：安全策略被破坏，利益受损
6

信息不对称

19
北京大学计算机科学技术研究所
DTK

用户：普通互联网用户 目标
在几分钟内部署一系列的陷阱 显著提高攻击代价，同时降低防御代价 欺骗自动攻击程序，使其无效

20
北京大学计算机科学技术研究所
从物理蜜罐到DTK
21
北京大学计算机科学技术研究所
从物理蜜罐到DTK
22
北京大学计算机科学技术研究所


需要大量时间和精力投入！！ 实例：Gen II蜜网, Honeyd
13
北京大学计算机科学技术研究所
低交互型蜜罐


模拟服务和操作系统 只能捕获少量信息 容易部署，减少风险 实例：Specter, KFSensor, and Honeyd.
14

北京大学计算机科学技术研究所
高交互型蜜罐

虚拟蜜罐工具 (1997 ~)


被监控的真实系统 (2000 ~)

更多的数据捕wk.baidu.com、分析、控制工具 在一个蜜网的框架中 蜜网项目组: Gen II蜜网
10
北京大学计算机科学技术研究所
蜜罐的分类

部署目标
产品型 研究型


交互性：攻击者在蜜罐中活动的交互性 级别
低交互型 高交互型


后果不对称

北京大学计算机科学技术研究所
蜜罐技术的提出

扭转工作量不对称

增加攻击代价－假目标
扭转信息不对称－了解你的敌人！


他们是谁？ 他们使用什么工具？如何操作？ 为什么攻击你？
防守方不受影响损失 计算机取证－对攻击方的威慑
7

扭转后果不对称

北京大学计算机科学技术研究所

4
北京大学计算机科学技术研究所
互联网安全状况 (2)

攻击者不需要太多技术

攻击工具的不断完善
更多的目标：Linux、Windows 更容易使用，工具整合

– Metasploit: 30+ Exploits

更强力 0-day exploits: packetstorm

攻击脚本和工具可以很容易得到和使用
DTK如何工作？

# 0 0
0
…
模拟有漏洞的网络服务 基于状态机变迁脚本 State Input NexStat Exit ln/file output/filename START 0 1 1 220 all.net ESMTP Sendmail 8.1.2/8.1.3; ERROR 0 1 1 500 Command unrecognized - please say "Helo" help 0 1 1 214-No help available


提供真实的操作系统和服务，而不是模 拟 可以捕获更丰富的信息 部署复杂，高安全风险 实例：ManTrap, Gen II蜜网
15

北京大学计算机科学技术研究所
蜜罐技术优势

高保真－高质量的小数据集
很小的误报率 很小的漏报率


捕获新的攻击及战术 并不是资源密集型 简单
16
北京大学计算机科学技术研究所