蜜罐技术在防御DDoS中的应用

　万方数据

２０１０年第４期汪北阳：蜜罐技术在防御ＤＤｏＳ中的应用

７ｌ

具有足够威胁的攻击；

（２）使攻击者攻击不到真正的目标［１０】。

具体方式是切断图１中的两个控制信息流中的任意一个，或者切断攻击流。蜜罐布置如图２所示的

网络结构，在ＤＭＺ区有ｗｅｂ、Ｅ—ｍａｉｌ、ＤＮＳ、ｍ四个

服务器，这些服务器是向外提供Ｉｎｔｅｒｎｅｔ服务的，在ＤＭＺ区同时也布置一些蜜罐系统，这些蜜罐系统中也分别配置成以上四种服务器中的一种，ＤＩＶＩＺ区与Ｉｎｔｅｍｅｔ用一个防火墙隔离。这些蜜罐的作用是代替

真实服务器接收由攻击傀儡机发送的攻击包。内部

局域网被一个防火墙与ＤＭＺ区隔离，包括若干台主机和伪装成存在安全漏洞的局域网主机的蜜罐。在防火墙中同时运行入侵检测、攻击扫描和网络数据包

的重定向机制¨¨。

图２蜜罐布置网

２．２安全防范框架

（１）蜜罐技术在防范ＤＤｏＳ攻击中的作用：①目前主流的防火墙都有检测ＤＤｏＳ攻击的功能［１２１，在防火墙检测到ＤＤｏＳ攻击后启用重定向功能，将攻击流重定向到蜜罐主机（切断攻击流）；②同时蜜罐主机由于也配置有服务器相同的服务软件，并且由于蜜罐系统具有相对容易攻击的特点，可以吸引黑客的攻击，稀释对受保护主机的攻击；③吸引黑客入侵蜜罐，以蜜罐主机为控制傀儡机，由蜜罐系统控制这些信息流（切断控制信息）；④蜜罐系统内安装安全日志，可以记录不同的攻击行为，以供学习。

攻击流

防火±ｉ｛｛｝

芷常访问

服务器

日志服务器

图３网络安全系统框图

（２）利用蜜罐技术防范ＤＤｏＳ攻击的原理，如图３所示。防火墙系统将攻击流量重定向到蜜罐，由蜜罐系统做出回应并进行日志记录。有些攻击可能突

破防火墙，这时蜜罐就能起到混淆攻击者，诱骗这些攻击流进入蜜罐系统。蜜罐系统将这些攻击行为记录加密后发送到日志服务器，这台服务器是低交互并加固的，很难被入侵ｕ３１。

３应用蜜罐技术防御ＤｏＳ攻击的性能分析

对上述方案进行了攻击防范实验。攻击采用分

布式的ＳＹＮＦｌｏｏｄ，设置攻击傀儡机的攻击速度从２．

２Ｍｂｐｓ开始逐渐提高，网络带宽为１００Ｍｂｐｓ。服务器方由４个真实系统和４个伪装成服务器的蜜罐主机

组成［１３１。在ＳＹＮＦｌｏｏｄ攻击过程中，单个服务器主

机和蜜罐受到的攻击流量如图４所示。

＂Ｉ∞ｌ∞∞０ｍ

图４单个服务器主机和蜜罐受到的攻击流量

为避免被攻击者察觉，这里所选用的蜜罐设置为低安全措施、有漏洞的真实系统［１４１。一旦防火墙发现攻击者在试图搜寻或入侵网络主机，就会通过地址重定向将这些信息发送到合适的蜜罐，蜜罐将根据初始设置向攻击者发送他所期待的应答，使攻击者认为该主机已经被控制。攻击者将使用这些“受控主机”，在蜜罐上安装攻击软件并向这些蜜罐发送控制信息。设攻击者在搜索和入侵有漏洞主机时被入侵检测系统发现并重定向到蜜罐的概率为Ｐ．，一个网络中有普通主机数ｋ，每一台主机被成功入侵的概率

为Ｐ２，伪装成漏洞主机的蜜罐数为ｇ，可得到入侵真实主机成功的概率为Ｐ２（１－Ｐ。）ｋ／（ｋ＋ｇ），入侵蜜罐的概率是Ｐｌ＋（１一Ｐ１）ｇ／（ｋ＋ｇ）。

通过分析蜜罐日志所得的信息加强入侵检测、加固主机，可以不断提高入侵检测系统发现攻击行为的概率Ｐ。，降低主机被入侵的概率Ｐ２。由图４可见，采用上述蜜罐方案，能明显降低攻击者通过入侵足够数量的主机发起高强度ＤＤｏＳ攻击的概率，并能够有效地降低服务器主机所受到的攻击强度。

”¨¨

”蛐¨“

“ｎ

攻击覆量¨

Ｈ

黜攀

啵卫机生撇

重一

万方数据

　万方数据

蜜罐技术在防御DDoS中的应用

作者：汪北阳， WANG Bei-yang

作者单位：长江大学计算机科学学院,湖北,荆州,434023

刊名：

计算机与现代化

英文刊名：COMPUTER AND MODERNIZATION

年，卷(期)：2010(4)

1.Barlow J;Thrower W TFN2K-An Analysis 2008

2.黄传河;杜瑞颖;张沪寅网络安全 2004

3.Gibson Steve DRDoS,Distributed Reflection Denial of Service 2008

4.Dittrich David The "Tribe Flood Network" Distributed Denial of Service Attack Tool 1999

5.Feinstein L;Schnackenberg D;Balupari R Statistical approaches to DDoS attack detection and response 2003

6.Howard John D An Analysis of Security Incidents on the Internet 1998

7.Dittrich David The "Stacheldraht"Distributed Denial of Service Attack Tool 2009

8.Chen Zhaole;Lee Moon-Chuen An IP traceback technique against Denial-of-Service attacks 2003

9.Cooperative Association for Internet Data Analysis(CA1DA)The Kitter Project 2008

10.赛迪资讯顾问公司2006-2007中国网络安全软件市场研究年度报告 2007

11.Weiler N Honeypots for distributed denial of service attacks 2002

12.Kuznetsov Vadim;Sandstr m Helena;Simkin Andrei An evaluation of different IP traceback approaches 2002

13.Pervasive Technology Labs at Indiana University Advanced Networking Management

Lab(ANML)Distributed Denial of Service Attacks(DDoS) Resources 2009

puter Crime Research Center2003 CSI/FBI Computer Crime and Security Survey 2004

本文链接：/Periodical_jsjyxdh201004020.aspx