5.16 实例：蜜罐技术

5.16 实例：蜜罐技术
计算机网络安全技术的核心问题，是对计算机和网络系统进行有效的防护。

网络安全防护涉及面很广，从技术层面上讲，主要包括数据加密技术、认证技术、防火墙技术、入侵检测技术、病毒防护技术等。

在这些技术中，多数技术都是在攻击者对网络进行攻击时进行的被动防护。

然而，蜜罐（Honeypot）技术可以采取主动方式。

蜜罐技术诱导黑客误入歧途，消耗他们的精力，为加强防范赢得时间。

1．蜜罐的概念
美国的L.Spizner是一个著名的蜜罐技术专家，他对蜜罐的定义：蜜罐是一种资源，它的价值是被攻击或攻陷。

这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐不会修补任何东西，这样就为使用者提供了额外的、有价值的信息。

蜜罐不会直接提高计算机网络安全，但是它却是其他安全策略不可替代的一种主动防御技术。

由于蜜罐并没有向外界提供真正有价值的服务，因此所有对蜜罐的访问都被视为可疑的。

蜜罐拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。

蜜罐就是一台不作任何安全防范措施，并且连接互联网的计算机。

但是蜜罐与一般的计算机不同，它存在多种漏洞，并且管理员清楚这些漏洞，内部运行各种数据记录程序，会记录入侵者的所有操作和行为，这也是蜜罐系统最为重要的功能
无论如何建立和使用蜜罐，只有受到攻击时，它的作用才能发挥出来。

为了吸引攻击者，通常在蜜罐系统中故意留下一些安全后门，或者放置一些网络攻击者希望得到的虚假敏感信息，吸引攻击者上钩。

对攻击者的行为进行记录，管理员通过研究和分析这些记录，能够得知攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息。

同时，这些信息将会成为对攻击者进行起诉的证据。

2．蜜罐的分类
根据设计的最终目的不同，可以将蜜罐分为：产品型蜜罐、研究型蜜罐。

（1）产品型蜜罐一般运用于商业组织的网络中。

（2）研究型蜜罐专门以研究和获取攻击信息为目的而设计。

3．一个简单蜜罐的例子
操作系统为：RHEL/CentOS/Fedora。

黑客入侵Linux系统一般有两种方法：第一、猜测root口令，一旦获得root口令，就会以root身份登录。

第二、先以普通用户身份登录，然后用su命令转换成root。

（1）设置陷阱，防止黑客以root身份登录
在/root/.bash_profile文件后面追加如下一段程序：
# root .profile
clear
echo "Login incorrect"
echo
echo "Login:"
read p
if [ "$p" = "123456" ]; then
clear
else
exit
fi
（2）设置陷阱，防止黑客用su命令转换成root
在/etc/profile文件后面追加如下一条命令：
alias su='su ztguang'
（3）设置陷阱，中止黑客的root身份
如果黑客已经成功以root身份登录，就要启动登录成功的陷阱。

一旦root登录，就启动一个计时器，正常的root登录能够停止计时，而非法入侵者因不知道何处有计时器，就无法停止计时，等计时到时，就触发相应的操作（如关机等）。

陷阱程序/root/nonhacker.sh内容如下：
#! /bin/sh
tt=0
while [ "$tt" -le 120 ]; do
sleep 1
tt=$(($tt+1))
done
halt # 2分钟后关机
在/root/.bashrc文件后面追加如下一条命令：
. nonhacker.sh &
正常root用户登录后，可以执行jobs命令，然后执行kill %n命令终止陷阱程序。