蜜罐主机和蜜罐网络
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
高等教育出版社
网络攻防原理与实践
蜜罐的优点
❖ 简捷性
无需开发奇异的算法,无需维护签名数据库,不会出 现错误配置的规则库。只要把蜜罐拿过来,放到组织 中的某个地方,然后就可以静观其变了。
❖ 投资回报
蜜罐迅速且不断地展现着其自身的价值所在,它不仅 可以用来证实其自身的价值,而Leabharlann Baidu还包括对其他安全 资源所做的投资。
高等教育出版社
网络攻防原理与实践
蜜罐的缺点
❖ 视野有限
蜜罐只能看到何种活动是直接针对它们自身的,而漏 掉周围的事件。
❖ 指纹识别
指纹识别指的是由于蜜罐具备一些特定的预期特征或 者行为,因而能够被攻击者识别出其真实身份的情况。
❖ 风险
一旦一个蜜罐遭受了攻击,就可以被用于攻击、渗透, 甚至危害其他的系统或者组织。
高等教育出版社
网络攻防原理与实践
基于主机的信息收集
❖ 记录数据流
将攻击者的信息存放在一个安全的、远程的地方。 以通过串行设备、并行设备、USB或Firewire技术和
网络接口将连续数据存储到远程日志服务器。
❖ “Peeking”机制
MD-5检验和检查:如果攻击者有一个和蜜罐对比的 参照系统,就会计算所有标准的系统二进制文件的 MD-5校验和来测试蜜罐。
第15章 蜜罐主机和蜜罐网络
高等教育出版社
1. 蜜罐概述 2. 蜜罐的实现技术 3. 蜜罐主机的部署 4. 蜜罐网络
网络攻防原理与实践
本章要点
高等教育出版社
网络攻防原理与实践
蜜罐的基本概念
❖ 蜜罐是一种安全资源,它的价值就在于被扫描、 攻击和攻陷,并对这些攻击活动进行监视、检测 和分析。
❖ 设计蜜罐的初衷是为吸引那些试图非法入侵他人 计算机系统的人,借此收集证据,同时隐藏真实 的服务器地址。
如Whois,Portscan等。
❖ 这种方式很危险,容易被攻击者察觉并离开蜜罐, 而且不是蜜罐所研究的主要范畴。
高等教育出版社
网络攻防原理与实践
风险控制
❖ 在运行蜜罐时,将存在的风险分为三个方面:
未发现黑客对蜜罐的接管 蜜罐被黑客控制并接管是非常严重的,这样的蜜 罐已毫无意义且充满危险。
研究型蜜罐 蜜罐系统可以提供一个非常强大的用于了解攻击者 和安全威胁的机制。 研究型蜜罐可以让使用者获悉很多未知的安全隐患 和攻击方法,这可以做为一种预警机制来提前发现 将要造成破坏的攻击行为。
高等教育出版社
网络攻防原理与实践
蜜罐的分类
❖ 按交互级别分类
低交互度蜜罐 一个低交互度的蜜罐很容易安装和部署,并只能 对少量服务进行模拟。 低交互度蜜罐的主要价值在于检测,具体说来就 是对未授权扫描或者未授权连接尝试的检测。
高等教育出版社
网络攻防原理与实践
信息的采集
❖ 蜜罐系统需要隐蔽地采集尽量全面的黑客活动信 息。
❖ 对黑客在蜜罐上的活动,需要从系统级、网络级 等多个层次进行记录,以完整认识黑客的活动。
❖ 蜜罐依据收集和分析数据地点的不同将收集信息 的方式进行分类:
基于主机的信息收集 基于网络的信息收集 主动的信息收集
❖ 蜜罐具有发现攻击、产生警告、记录攻击信息、 欺骗、调查取证等功能。
❖ 蜜罐最大的优势在于它能主动地检测和响应网络 入侵和攻击,并且采集的信息价值高。
高等教育出版社
网络攻防原理与实践
蜜罐的分类
❖ 按价值体现分类
欺骗型蜜罐 纯粹的以欺骗性目的存在的蜜罐系统,通过伪装 成攻击目标,从而转移攻击者的注意力,同时通 过报警等各种附加机制对攻击进行响应。
高等教育出版社
网络攻防原理与实践
蜜罐的优点
❖ 数据价值
蜜罐通常只会收集少量的数据,但这些数据却具有极 高的价值。
蜜罐能以一种快捷而易懂的格式提供所需的精确信息, 简化了分析,提高了响应速度。
❖ 资源
蜜罐只会对少量活动进行捕获和监视,所以在它们身 上通常不会发生资源枯竭问题。
蜜罐只会捕获那些直接针对其本身的活动,因此系统 并不会受到流量的震荡。
库的依赖性和进程相关性检查:即使攻击者不知道原 始二进制系统的确切结构,仍然能应用特定程序观察 共享库的依赖性和进程的相关性。
高等教育出版社
网络攻防原理与实践
基于网络的信息收集
❖ 基于网络的信息收集将收集机制设置在蜜罐之外, 以一种不可见的方式运行。
❖ 可以利用防火墙和入侵检测系统从网络上收集进 出蜜罐的信息。
中交互度蜜罐 中交互度的蜜罐能够预期一些活动,并且旨在可 以给出一些低交互度蜜罐所无法给予的响应。
高等教育出版社
网络攻防原理与实践
蜜罐的分类
高交互度蜜罐 高交互度的蜜罐可以提供大量关于攻击者的信息, 目的是为攻击者提供对实际操作系统的访问权,在 这种环境下没有任何东西是模拟的或者受限的。
Honeynet蜜网 不仅为攻击者提供了完整的操作系统进行攻击和交 互,而且还提供了多个蜜罐。 Honeynet的复杂性在于对往来于蜜罐的所有活动 既进行控制又加以捕获的控制网络的构建。
防火墙 可以配置防火墙记录所有的出入数据,供以后仔 细地检查。
入侵检测系统 NIDS在网络中的放置方式使得它能够对网络中所 有机器进行监控,可以用HIDS记录进出蜜罐的所 有数据包,也可以配置NIDS只去捕获感兴趣的数 据流。
高等教育出版社
网络攻防原理与实践
主动的信息收集
❖ 信息也可以主动获得,使用第三方的机器或服务 甚至直接针对攻击者反探测
高等教育出版社
网络攻防原理与实践
蜜罐的伪装
❖ 采用真实系统作蜜罐,能提供黑客与系统的交互能力, 伪装程度明显提高。
❖ 还要对这些真实系统进行配置,最为逼真的配置办法是 把一个修改过敏感信息的工作系统的内容直接拷贝到蜜 罐上。
❖ 目前蜜罐的主要网络欺骗技术有:
模拟端口 模拟系统漏洞和应用服务 IP空间欺骗 流量仿真 网络动态配置 组织信息欺骗 网络服务 蜜罐主机
威慑型蜜罐 对攻击者产生心理上的威吓及迷惑作用的蜜罐系 统,其主要职责就是告诉攻击者自己是个蜜罐系 统,这样可以形成一定的阻吓作用,减弱攻击者 的攻击意图。
高等教育出版社
网络攻防原理与实践
蜜罐的分类
检测型蜜罐 通过提高蜜罐系统的检测能力,用户不只可以通过 蜜罐系统的活动情况判断攻击行为的发生,还可以 更加广泛和细致的监测攻击活动。
网络攻防原理与实践
蜜罐的优点
❖ 简捷性
无需开发奇异的算法,无需维护签名数据库,不会出 现错误配置的规则库。只要把蜜罐拿过来,放到组织 中的某个地方,然后就可以静观其变了。
❖ 投资回报
蜜罐迅速且不断地展现着其自身的价值所在,它不仅 可以用来证实其自身的价值,而Leabharlann Baidu还包括对其他安全 资源所做的投资。
高等教育出版社
网络攻防原理与实践
蜜罐的缺点
❖ 视野有限
蜜罐只能看到何种活动是直接针对它们自身的,而漏 掉周围的事件。
❖ 指纹识别
指纹识别指的是由于蜜罐具备一些特定的预期特征或 者行为,因而能够被攻击者识别出其真实身份的情况。
❖ 风险
一旦一个蜜罐遭受了攻击,就可以被用于攻击、渗透, 甚至危害其他的系统或者组织。
高等教育出版社
网络攻防原理与实践
基于主机的信息收集
❖ 记录数据流
将攻击者的信息存放在一个安全的、远程的地方。 以通过串行设备、并行设备、USB或Firewire技术和
网络接口将连续数据存储到远程日志服务器。
❖ “Peeking”机制
MD-5检验和检查:如果攻击者有一个和蜜罐对比的 参照系统,就会计算所有标准的系统二进制文件的 MD-5校验和来测试蜜罐。
第15章 蜜罐主机和蜜罐网络
高等教育出版社
1. 蜜罐概述 2. 蜜罐的实现技术 3. 蜜罐主机的部署 4. 蜜罐网络
网络攻防原理与实践
本章要点
高等教育出版社
网络攻防原理与实践
蜜罐的基本概念
❖ 蜜罐是一种安全资源,它的价值就在于被扫描、 攻击和攻陷,并对这些攻击活动进行监视、检测 和分析。
❖ 设计蜜罐的初衷是为吸引那些试图非法入侵他人 计算机系统的人,借此收集证据,同时隐藏真实 的服务器地址。
如Whois,Portscan等。
❖ 这种方式很危险,容易被攻击者察觉并离开蜜罐, 而且不是蜜罐所研究的主要范畴。
高等教育出版社
网络攻防原理与实践
风险控制
❖ 在运行蜜罐时,将存在的风险分为三个方面:
未发现黑客对蜜罐的接管 蜜罐被黑客控制并接管是非常严重的,这样的蜜 罐已毫无意义且充满危险。
研究型蜜罐 蜜罐系统可以提供一个非常强大的用于了解攻击者 和安全威胁的机制。 研究型蜜罐可以让使用者获悉很多未知的安全隐患 和攻击方法,这可以做为一种预警机制来提前发现 将要造成破坏的攻击行为。
高等教育出版社
网络攻防原理与实践
蜜罐的分类
❖ 按交互级别分类
低交互度蜜罐 一个低交互度的蜜罐很容易安装和部署,并只能 对少量服务进行模拟。 低交互度蜜罐的主要价值在于检测,具体说来就 是对未授权扫描或者未授权连接尝试的检测。
高等教育出版社
网络攻防原理与实践
信息的采集
❖ 蜜罐系统需要隐蔽地采集尽量全面的黑客活动信 息。
❖ 对黑客在蜜罐上的活动,需要从系统级、网络级 等多个层次进行记录,以完整认识黑客的活动。
❖ 蜜罐依据收集和分析数据地点的不同将收集信息 的方式进行分类:
基于主机的信息收集 基于网络的信息收集 主动的信息收集
❖ 蜜罐具有发现攻击、产生警告、记录攻击信息、 欺骗、调查取证等功能。
❖ 蜜罐最大的优势在于它能主动地检测和响应网络 入侵和攻击,并且采集的信息价值高。
高等教育出版社
网络攻防原理与实践
蜜罐的分类
❖ 按价值体现分类
欺骗型蜜罐 纯粹的以欺骗性目的存在的蜜罐系统,通过伪装 成攻击目标,从而转移攻击者的注意力,同时通 过报警等各种附加机制对攻击进行响应。
高等教育出版社
网络攻防原理与实践
蜜罐的优点
❖ 数据价值
蜜罐通常只会收集少量的数据,但这些数据却具有极 高的价值。
蜜罐能以一种快捷而易懂的格式提供所需的精确信息, 简化了分析,提高了响应速度。
❖ 资源
蜜罐只会对少量活动进行捕获和监视,所以在它们身 上通常不会发生资源枯竭问题。
蜜罐只会捕获那些直接针对其本身的活动,因此系统 并不会受到流量的震荡。
库的依赖性和进程相关性检查:即使攻击者不知道原 始二进制系统的确切结构,仍然能应用特定程序观察 共享库的依赖性和进程的相关性。
高等教育出版社
网络攻防原理与实践
基于网络的信息收集
❖ 基于网络的信息收集将收集机制设置在蜜罐之外, 以一种不可见的方式运行。
❖ 可以利用防火墙和入侵检测系统从网络上收集进 出蜜罐的信息。
中交互度蜜罐 中交互度的蜜罐能够预期一些活动,并且旨在可 以给出一些低交互度蜜罐所无法给予的响应。
高等教育出版社
网络攻防原理与实践
蜜罐的分类
高交互度蜜罐 高交互度的蜜罐可以提供大量关于攻击者的信息, 目的是为攻击者提供对实际操作系统的访问权,在 这种环境下没有任何东西是模拟的或者受限的。
Honeynet蜜网 不仅为攻击者提供了完整的操作系统进行攻击和交 互,而且还提供了多个蜜罐。 Honeynet的复杂性在于对往来于蜜罐的所有活动 既进行控制又加以捕获的控制网络的构建。
防火墙 可以配置防火墙记录所有的出入数据,供以后仔 细地检查。
入侵检测系统 NIDS在网络中的放置方式使得它能够对网络中所 有机器进行监控,可以用HIDS记录进出蜜罐的所 有数据包,也可以配置NIDS只去捕获感兴趣的数 据流。
高等教育出版社
网络攻防原理与实践
主动的信息收集
❖ 信息也可以主动获得,使用第三方的机器或服务 甚至直接针对攻击者反探测
高等教育出版社
网络攻防原理与实践
蜜罐的伪装
❖ 采用真实系统作蜜罐,能提供黑客与系统的交互能力, 伪装程度明显提高。
❖ 还要对这些真实系统进行配置,最为逼真的配置办法是 把一个修改过敏感信息的工作系统的内容直接拷贝到蜜 罐上。
❖ 目前蜜罐的主要网络欺骗技术有:
模拟端口 模拟系统漏洞和应用服务 IP空间欺骗 流量仿真 网络动态配置 组织信息欺骗 网络服务 蜜罐主机
威慑型蜜罐 对攻击者产生心理上的威吓及迷惑作用的蜜罐系 统,其主要职责就是告诉攻击者自己是个蜜罐系 统,这样可以形成一定的阻吓作用,减弱攻击者 的攻击意图。
高等教育出版社
网络攻防原理与实践
蜜罐的分类
检测型蜜罐 通过提高蜜罐系统的检测能力,用户不只可以通过 蜜罐系统的活动情况判断攻击行为的发生,还可以 更加广泛和细致的监测攻击活动。