5.16 实例：蜜罐技术

5.16 实例：蜜罐技术

计算机网络安全技术的核心问题，是对计算机和网络系统进行有效的防护。网络安全防护涉及面很广，从技术层面上讲，主要包括数据加密技术、认证技术、防火墙技术、入侵检测技术、病毒防护技术等。在这些技术中，多数技术都是在攻击者对网络进行攻击时进行的被动防护。然而，蜜罐（Honeypot）技术可以采取主动方式。蜜罐技术诱导黑客误入歧途，消耗他们的精力，为加强防范赢得时间。

1．蜜罐的概念

美国的L.Spizner是一个著名的蜜罐技术专家，他对蜜罐的定义：蜜罐是一种资源，它的价值是被攻击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐不会修补任何东西，这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计算机网络安全，但是它却是其他安全策略不可替代的一种主动防御技术。由于蜜罐并没有向外界提供真正有价值的服务，因此所有对蜜罐的访问都被视为可疑的。蜜罐拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。

蜜罐就是一台不作任何安全防范措施，并且连接互联网的计算机。但是蜜罐与一般的计算机不同，它存在多种漏洞，并且管理员清楚这些漏洞，内部运行各种数据记录程序，会记录入侵者的所有操作和行为，这也是蜜罐系统最为重要的功能

无论如何建立和使用蜜罐，只有受到攻击时，它的作用才能发挥出来。为了吸引攻击者，通常在蜜罐系统中故意留下一些安全后门，或者放置一些网络攻击者希望得到的虚假敏感信息，吸引攻击者上钩。对攻击者的行为进行记录，管理员通过研究和分析这些记录，能够得知攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息。同时，这些信息将会成为对攻击者进行起诉的证据。

2．蜜罐的分类

根据设计的最终目的不同，可以将蜜罐分为：产品型蜜罐、研究型蜜罐。

（1）产品型蜜罐一般运用于商业组织的网络中。

（2）研究型蜜罐专门以研究和获取攻击信息为目的而设计。

3．一个简单蜜罐的例子

操作系统为：RHEL/CentOS/Fedora。

黑客入侵Linux系统一般有两种方法：第一、猜测root口令，一旦获得root口令，就会以root身份登录。第二、先以普通用户身份登录，然后用su命令转换成root。

（1）设置陷阱，防止黑客以root身份登录

在/root/.bash_profile文件后面追加如下一段程序：

# root .profile

clear

echo "Login incorrect"

echo

echo "Login:"

read p

if [ "$p" = "123456" ]; then

clear

else

exit

fi

（2）设置陷阱，防止黑客用su命令转换成root

在/etc/profile文件后面追加如下一条命令：

alias su='su ztguang'

（3）设置陷阱，中止黑客的root身份

如果黑客已经成功以root身份登录，就要启动登录成功的陷阱。一旦root登录，就启动一个计时器，正常的root登录能够停止计时，而非法入侵者因不知道何处有计时器，就无法停止计时，等计时到时，就触发相应的操作（如关机等）。

陷阱程序/root/nonhacker.sh内容如下：

#! /bin/sh

tt=0

while [ "$tt" -le 120 ]; do

sleep 1

tt=$(($tt+1))

done

halt # 2分钟后关机

在/root/.bashrc文件后面追加如下一条命令：

. nonhacker.sh &

正常root用户登录后，可以执行jobs命令，然后执行kill %n命令终止陷阱程序。