网络诱骗技术之蜜罐

网络诱骗技术之蜜罐
摘要：基于主动防御理论系统而提出的新兴蜜罐技术，日益受到网络安全领域的重视，蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵，进而了解攻击思路、攻击工具和攻击目的等行为信息，特别是对各种未知攻击行为信息的学习。

根据获取的攻击者得情报，安全组织就能更好地理解网络系统当前面临的危险，并知道如何阻止危险的发生。

本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。

关键词：蜜罐、网络诱骗、网络安全、蜜网
Phishing technology Honeypot
(Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research.
Keywords: Honeypot, Phishing, network security, Honeynet
0引言
“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。

“蜜网项目组”[1]（The Honey net Project）的创始人Lance Spitzner 给出了对蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。

这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。

而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。

1蜜罐技术
1.1蜜罐的概念
蜜罐是一种在互联网上运行的计算机系统，它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的，蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。

由于蜜罐并没有向外界提供真正有价值的服务，因此所有对蜜罐尝试都被视为可疑的。

蜜罐的另一个用途是拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间，这样，最初的攻击目标得到了保护，真正有价值的内容没有收到侵犯。

此外，蜜罐也可以为追踪者提供有用的线索，为起诉者搜集有力的证据。

蜜罐系统最重要的功能是对系统中所有的操作和行为进行监视和记录，网络安全专家通过精心的伪装设计，使攻击者在进入目标系统后仍不知自己所有的行为已经处于系统的监视之中。

为了吸引攻击者，安全专家通常还故意在蜜罐系统上留下一些安全后门，或者故意放置一些攻击者希望得到的敏感信息，以吸引攻击者上钩。

1.2蜜罐的基本配置
在网络安全领域，蜜罐专门用于捕获入侵者的网络行为和与之相关的文件。

蜜罐可以执行任何本地配置环境能够支持的服务，但是这些服务仅为那些试图进行本地网络入侵的人设定。

蜜罐不同于普通的网络系统，因为它致力于记录所有的网络入侵行为，因此其文件操作应该有更高的访问控制，必须能够帮助系统管理员尽快发现任何入侵者可能放置在系统内部的工具，并能及时转移入侵者的攻击行为。

在受防火墙保护的网络中，蜜罐收到的保护不同于其他系统。

比如，在具有防火墙的网络中，蜜罐通常放置在防火墙的外部或放置在防护程度较低的服务网络中。

这样做的目的是让攻击者可以轻松地获得蜜罐提供的所有服务，这样才能达到诱骗入侵者得目的。

蜜罐有四种不同的配置方式：诱骗服务（Deception Service），弱化系统(Weakened System)，强化系统(Hardened System)和用户模式服务器(User Mode Server)[2]。

为了方便攻击者攻击，蜜罐在系统中的一种配置方法如图1所示，从中可以看出其在整个安全防护体系中的地位。

图1
2蜜罐的分类
2.1按部署目的分
蜜罐按照其部署目的可以分为产品型蜜罐和研究型蜜罐两类，产品型蜜罐的目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。

一般产品型蜜罐较容易部署，而且不需要管理员投入大量的工作。

较具代表性的产品型蜜罐包括DTK[3]、honeyd[3]等开源工具和KFSensor、ManTraq 等一系列的商业产品。

研究型蜜罐则是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行追踪和分析，能够捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法，甚至能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。

研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作，具有代表性的工具是“蜜网项目组” 所推出的第二代蜜网技术。

2.2按交互度分
按照其交互度的等级划分蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐，交互度反应了黑客在蜜罐上进行攻击活动的自由度。

低交互蜜罐一般仅仅模拟操作系统和网络服务，较容易部署且风险较小，但黑客在低交互蜜罐中能够进行的攻击活动较为有限，因此通过低交互蜜罐能够收集的信息也比较有限，同时由于低交互蜜罐通常是模拟的虚拟蜜罐，或多或少存在着一些容易被黑客所识别的指纹（Fingerprinting）信息。

产品型蜜罐一般属于低交互蜜罐。

高交互蜜罐则完全提供真实的操作系统和网络服务，没有任何的模拟，从黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子”，因此在高交互蜜罐中，我们
能够获得许多黑客攻击的信息。

高交互蜜罐在提升黑客活动自由度的同时，自然地加大了部署和维护的复杂度及风险的扩大。

研究型蜜罐一般都属于高交互蜜罐，也有部分蜜罐产品，如ManTrap，属于高交互蜜罐。

3蜜罐的主要技术
蜜罐的主要技术有网络欺骗、端口重定向、报警、数据控制和数据捕获等。

（1）网络欺骗技术
为了使蜜罐对入侵者更有吸引力，就要采用各种欺骗手段。

例如在欺骗主机上模拟一些操作系统的一些网络攻击者“喜欢”的端口和各种认为有入侵可能的漏洞。

（2）端口重定向技术
端口重定向技术，可以在工作系统中模拟一个非工作任务。

例如我们正常使用WEB服务器（80），而用TELNET（23）和FTP（21）重定向到蜜罐系统中，
而实际上这两个服务是没有开启的，而攻击者扫描时发现者两个端口是开放的，而实际上两个端口是HONEYPOT虚拟出来的，对其服务器而不产生危害性。

（3）攻击（入侵）报警和数据控制
蜜罐系统本身就可以模拟成一个操作系统，我们可以把其本身设定成易攻破的一台主机，也就是开放一些端口和弱口令之类的，并设定出相应的回应程序，如在LINUX中的SHELL和FTP程序，当攻击者“入侵”进入系统后，当进入后就相当于攻击者进入一个设定的“陷阱”，那么攻击者所做一切都在其监视之中：如TELNET密码暴力破解、添加新用户、权限提升、删除添加文件，还可以给入侵者一个网络连接让其可以进行网络传输，并以之作为跳板。

（4）数据的捕获技术
在攻击者入侵的同时，蜜罐系统将记录攻击者输入输出信息，键盘记录信息，屏幕信息，以及攻击者曾使用过的工具，并分析攻击者所要进行的下一步。

捕获的数据不能放在加有HONEYPOT的主机上，因为有可能被攻击者发现，从而使其察觉到这是一个“陷阱”而提早退出。

4蜜罐的优缺点
4.1蜜罐技术的优点
（1）收集数据的保真度，由于蜜罐不提供任何实际的作用，因此其收集到的数据很少，同时收集到的数据很大可能就是由于黑客攻击造成的，蜜罐不依赖于任何复杂的检测技术等，因此减少了漏报率和误报率。

（2）使用蜜罐技术能够收集到新的攻击工具和攻击方法，而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。

（3）蜜罐技术不需要强大的资源支持，可以使用一些低成本的设备构建蜜罐，不需要大量的资金投入。

（4）相对入侵检测等其他技术，蜜罐技术比较简单，使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。

4.2蜜罐技术的缺点
（1）需要较多的时间和精力投入。

蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限，不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。

（2）蜜罐技术不能直接防护有漏洞的信息系统。

（3）部署蜜罐会带来一定的安全风险。

部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为跳板从而对第三方发起攻击。

一旦黑客识别出蜜罐后，他将可能通知黑客社团，从而避开蜜罐，甚至他会向蜜罐提供错误和虚假的数据，从而误导安全防护和研究人员。

防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹，并使得蜜罐与真实的漏洞主机毫无差异。

蜜罐隐藏技术和黑客对蜜罐的识别技术（Anti-Honeypot）之间相当于一个博弈问题，总是在相互竞争中共同发展。

另外，蜜罐技术的初衷即是让黑客攻破蜜罐并获得蜜罐的控制权限，并跟踪其攻破蜜罐、在蜜罐潜伏等攻击行为，但我们必须防止黑客利用蜜罐作为跳板对第三方网络发起攻击。

为了确保黑客活动不对外构成威胁，必须引入多个层次的数据控制措施，必要的时候需要研究人员的人工干预。

5蜜罐发展趋势
目前，蜜罐主要表现出一下几种发展趋势[4]：
（1）蜜罐系统从占用多台计算机向只需要一台计算机转变。

例如Honeynet组织正在进行一个Virtual Honeynets的项目。

该项目计划通过采用虚拟机软件在一台计算机上安装多个可以同时运行的操作系统。

每一个操作系统都可看做网络上一台独立的计算机，称为虚拟机。

把这些虚拟机分别配置为蜜罐、防火墙、入侵检测系统，从而在一台计算机系统上实现了一个虚拟的Honeynet。

这样可以方便研究人员维护、减少费用。

（2）与入侵检测系统（IDS）等其他网络安全技术相结合，减少误报和漏报。

（3）跨平台蜜罐。

目前的操作系统各种各样，大部分的蜜罐只能在特定的操作平台或系统下工作，使用者的范围就会不断增加，同时蜜罐也能更容易地被使用。

（4）提高蜜罐和入侵者的交互程度。

蜜罐如果仅仅支持简单的几种交互行为，那么黑客很快会发现自己所处的环境，并迅速退出。

所以蜜罐必须不断地提高交互程度，以便更好地了解黑客的行为和所采取的入侵方式。

（5）蜜罐的应用领域逐步扩大。

最初，蜜罐只是一些研究人员获取黑客活动第一手材料的工具。

而目前，蜜罐开始逐步在安全人员培训等其他场合得到较多的应用。

6蜜网技术
蜜网是在蜜罐技术上逐步发展起来的一个新的概念，又可称为诱捕网络。

蜜网技术实质上还是一类研究型的高交互蜜罐技术，其主要目的是收集黑客的攻击信息。

但与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，
在这个架构中，可以包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具以方便对攻击信息的采集和分析。

此外，虚拟蜜网通过应用虚拟操作系统软件（如VMWare和User Mode Linux 等）使得我们可以在单一的主机上实现整个蜜网的体系架构。

虚拟蜜网的引入使得架设蜜网的代价大幅降低，也较容易部署和管理，但同时也带来了更大的风险，黑客有可能识别出虚拟操作系统软件的指纹，也可能攻破虚拟操作系统软件从而获得对整个虚拟蜜网的控制权。

7蜜网的组成
蜜网作为蜜罐技术中的高级工具，一般是由防火墙、路由器、入侵检测系统以及一台或多台蜜罐主机组成的网络系统，也可以使用虚拟化软件来构建虚拟蜜网相对于单机蜜罐，蜜网实现、管理起来更加复杂，但是这种多样化的系统能够更多地揭示入侵者得攻击特性，极大地提高蜜罐系统的检测、分析、响应和恢复受侵害系统的能力。

图2是一个Honeynet的详细结构，包括了三个不同的网络：Honeynet、管理网络[5]和Internet。

其中，日志/告警服务器为管理网络。

Solaris、Windows2000、Linux、Log server为Honeynet。

图2
7蜜罐蜜网的研究方向
7.1动态蜜罐
动态蜜罐能够通过被动监听其所处的网络中的流量，从而获得当前网络的部署状况，然后在无须人工干预的前提下自动地配置一些虚拟蜜罐，并隐藏在当前网络中，等待黑客的攻击。

当网络的部署状况发生变化时（如操作系统版本更新），动态蜜罐技术能够实时地识别出这些变化，并动态地进行自适应，保证部署的虚拟蜜罐反映当前网络的典型配置。

7.2蜜场
为了在大型的分布式网络中方便地部署和维护一些蜜罐，对各个子网的安全威胁进行收集，提出了蜜场的概念。

即所有的蜜罐均部署在蜜场中，而在各个内部子网中设置以系列的重定向器（Redirector）,若检测到当前的网络数据流是黑客攻击所发起时，通过重定向器将这些流量重定向到蜜场中的某些蜜罐主机上，并由蜜场中部署的一系类数据捕获和数据分析工具对黑客行为进行收集和分析。

蜜场模型[6]的优越性在于其集中性，使得其部署变得较为简单，即蜜场可以
作为安全操作中心（SOC:Security Operations Center）的一个组成部分，由安全专业研究和管理人员进行部署和维护。

蜜场模型的集中性也使得蜜罐的维护和跟新、规范化管理及数据分析都变得较为简单。

此外，将蜜罐集中部署在蜜场中还减少了各个子网内的安全风险，并有利于对引入的安全风险进行控制。

图3是一个蜜场的模型。

图3
蜜场模型的实现牵涉到两个重要的问题：重定向器和蜜罐的内容。

目前在蜜场模型的方向下，初步原理证明性的例子有Honeyed的代理特性和NetBait工具。

重定向机制的引入使得我们可以以蜜罐来伪装具有高价值的目标，通过重定向器将恶意的或未授权的活动进行重定向到蜜罐中，并对这些活动进行监视和分析。

重定向的机制可以有一些三种不同的方式。

第一种重定向机制称为“Hot Zoning”，即将所有非规范的网络流量均进行重定向，非规范的网络流量包括发往非正常的目标端口的流量，由非正常的源端口发起的流量及非正常时间内的流量等一系列不符合正常网络情况的异常流量。

第二种重定向机制通过部署入侵检测系统等对流量进行检测，将攻击的网络
流量进行重定向到蜜罐，开源项目Bait-n-Switch即属于此类的一个重定向器，它对著名的开源入侵检测系统Snort进行修改，使之作为内联网关和重定向器来使用。

第三种重定向机制在目标主机上进行监视异常和未授权行为，并对其进行重定向。

与此相关的著名开源项目包括Pax和Systrace。

Pax主要针对利用软件漏洞对攻击方法，通过一些防护和容忍等机制来抵抗此类攻击。

Systrace则通过加强内核系统调用的安全策略，来严格限制应用程序对系统资源的访问权限，从而避免遭受一些攻击。

这些研究项目都可以用来实现主机异常行为重定向机制。

重定向机制的引入还带来另外一个具有很大挑战的问题，即在不被黑客所发觉的前提下完成对其网络活动的重定向。

其中最为核心的是蜜罐的内容问题。

为了保证蜜罐的高度迷惑行，蜜罐必须使用真实的网络环境，同时拥有与攻击目标一直的操作系统、应用程序以及数据内容。

其带来的好处是能够在高度真实的网络中，可以跟踪监视黑客的一举一动，从而获取价值度很高的攻击信息。

但如何方便有效地保证蜜罐内容的高度真实性和迷惑性，还需要进行进一步的研究。

参考文献
[1] .熊华,郭世泽等.网络安全—取证与蜜罐[M],北京：北京人民邮电出社,2003,97-136
[2].张玉清.网络攻击与防御技术[M].北京：清华大学出版社,2011,295-296
[3].牛少彰,江为强.网络的攻击与防范—理论与实践[M].北京：北京邮电大学出版社, 2006,244-247
[4].丰继林,高焕芝.网络安全技术[M]北京：清华大学出版社,北京交通大学出版
社,2006,307-309
[5].赵伟峰,曾启铭．一种了解黑客的有效手段—蜜罐(Honeypot) [J]．计算机应
用,2003,23(S1):259-261．
[6]马晓丽,赵站生,黄轩.Honeypot—网络陷阱.计算机工程与应用,2003.39(4):162-165．。