网络诱骗技术之蜜罐

网络诱骗技术之蜜罐

摘要：基于主动防御理论系统而提出的新兴蜜罐技术，日益受到网络安全领域的重视，蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵，进而了解攻击思路、攻击工具和攻击目的等行为信息，特别是对各种未知攻击行为信息的学习。根据获取的攻击者得情报，安全组织就能更好地理解网络系统当前面临的危险，并知道如何阻止危险的发生。本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。

关键词：蜜罐、网络诱骗、网络安全、蜜网

Phishing technology Honeypot

(Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research.

Keywords: Honeypot, Phishing, network security, Honeynet

0引言

“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。“蜜网项目组”[1]（The Honey net Project）的创始人Lance Spitzner 给出了对蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。

1蜜罐技术

1.1蜜罐的概念

蜜罐是一种在互联网上运行的计算机系统，它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的，蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务，因此所有对蜜罐尝试都被视为可疑的。蜜罐的另一个用途是拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间，这样，最初的攻击目标得到了保护，真正有价值的内容没有收到侵犯。此外，蜜罐也可以为追踪者提供有用的线索，为起诉者搜集有力的证据。

蜜罐系统最重要的功能是对系统中所有的操作和行为进行监视和记录，网络安全专家通过精心的伪装设计，使攻击者在进入目标系统后仍不知自己所有的行为已经处于系统的监视之中。为了吸引攻击者，安全专家通常还故意在蜜罐系统上留下一些安全后门，或者故意放置一些攻击者希望得到的敏感信息，以吸引攻击者上钩。

1.2蜜罐的基本配置

在网络安全领域，蜜罐专门用于捕获入侵者的网络行为和与之相关的文件。蜜罐可以执行任何本地配置环境能够支持的服务，但是这些服务仅为那些试图进行本地网络入侵的人设定。蜜罐不同于普通的网络系统，因为它致力于记录所有的网络入侵行为，因此其文件操作应该有更高的访问控制，必须能够帮助系统管理员尽快发现任何入侵者可能放置在系统内部的工具，并能及时转移入侵者的攻击行为。

在受防火墙保护的网络中，蜜罐收到的保护不同于其他系统。比如，在具有防火墙的网络中，蜜罐通常放置在防火墙的外部或放置在防护程度较低的服务网络中。这样做的目的是让攻击者可以轻松地获得蜜罐提供的所有服务，这样才能达到诱骗入侵者得目的。

蜜罐有四种不同的配置方式：诱骗服务（Deception Service），弱化系统(Weakened System)，强化系统(Hardened System)和用户模式服务器(User Mode Server)[2]。

为了方便攻击者攻击，蜜罐在系统中的一种配置方法如图1所示，从中可以看出其在整个安全防护体系中的地位。

图1

2蜜罐的分类

2.1按部署目的分

蜜罐按照其部署目的可以分为产品型蜜罐和研究型蜜罐两类，产品型蜜罐的目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署，而且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK[3]、honeyd[3]等开源工具和KFSensor、ManTraq 等一系列的商业产品。研究型蜜罐则是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行追踪和分析，能够捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法，甚至能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作，具有代表性的工具是“蜜网项目组” 所推出的第二代蜜网技术。

2.2按交互度分

按照其交互度的等级划分蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐，交互度反应了黑客在蜜罐上进行攻击活动的自由度。低交互蜜罐一般仅仅模拟操作系统和网络服务，较容易部署且风险较小，但黑客在低交互蜜罐中能够进行的攻击活动较为有限，因此通过低交互蜜罐能够收集的信息也比较有限，同时由于低交互蜜罐通常是模拟的虚拟蜜罐，或多或少存在着一些容易被黑客所识别的指纹（Fingerprinting）信息。产品型蜜罐一般属于低交互蜜罐。高交互蜜罐则完全提供真实的操作系统和网络服务，没有任何的模拟，从黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子”，因此在高交互蜜罐中，我们