蜜罐与蜜网技术介绍-zhao解析
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 攻击者不需要太多技术
– 攻击工具的不断完善
• 更多的目标:Linux、Windows • 更容易使用,工具整合
– Metasploit: 30+ Exploits
• 更强力
– 攻击脚本和工具可以很容易得到和使用
• 0-day exploits: packetstorm
– 团队协作
网络攻防的不对称博弈
• 实例:Specter, KFSensor, and Honeyd.
高交互型蜜罐
• 提供真实的操作系统和服务,而不是模拟 • 可以捕获更丰富的信息 • 部署复杂,高安全风险
• 实例:ManTrap, Gen II蜜网
蜜罐技术优势
• 高保真-高质量的小数据集
– 很小的误报率 – 很小的漏报率
• 捕获新的攻击及战术 • 并不是资源密集型 • 简单
Honeyd设计上的考虑
• 接收网络流量 • 模拟蜜罐系统
– 仅模拟网络协议栈层次,而不涉及操作系统各个层面 – 可以模拟任意的网络拓扑
• Honeyd宿主主机的安全性
– 限制对手只能在网络层面与蜜罐进行交互 – 保证对手不会获得整个系统的访问权限
• 捕获网络连接和攻击企图
– 日志功能
接收网络流量
– “A security resource who’s value lies in being probed, attacked or compromised” – 没有业务上的用途,因此所有流入/流出蜜 罐的流量都预示着扫描、攻击及攻陷 – 用以监视、检测和分析攻击
蜜罐与没有防护的PC的区别
• 蜜罐是网络管理员经过周密布置而设下的 “黑匣子”,看似漏洞百出却尽在掌握之 中,它收集的入侵数据十分有价值; • 没有防护的计算机是送给入侵者的礼物, 即使被入侵也不一定查得到痕迹……因此, 蜜罐的定义是:“蜜罐是一个安全资源, 它的价值在于被探测、攻击和损害。”
• 任何主机都是攻击目标!
– DDoS、跳板攻击需要大量傀儡主机 – 蠕虫、病毒的泛滥 – 并不再仅仅为了炫耀
• Hold your friends close, but your enemies closer.” _Michael Corleone:The Godfather, Part II
互联网安全状况 (2)
蜜罐与蜜网技术介绍
内容
• 蜜罐技术的提出 • 蜜罐技术
– 蜜罐概念 – 实例工具:DTK, honeyd
• 蜜网技术
– 蜜网概念、蜜网项目组 – 实例工具:Gen II 蜜网
• 蜜罐/蜜网技术的应用 • 新概念和新方向
蜜罐技术的提出
要解决什么问题?
互联网安全状况
• 安全基础薄弱
– 操作系统/软件存在大量漏洞 – 安全意识弱、安全加强 rarely done
• 部署目标:对黑客攻击进行捕获和分析
– 这些“坏家伙”在干什么 – 了解攻击方法 – 捕获他们的键击记录 – 捕获他们的攻击工具 – 监控他们的会话
• 需要大量时间和精力投入!! • 实例:Gen II蜜网, Honeyd
低交互型蜜罐
• 模拟服务和操作系统 • 只能捕获少量信息 • 容易部署,减少风险
效果及局限
• 效果
– 增大了攻击代价,增加攻击成功所需技术门槛 – 让低水平的攻击者一头雾水 – 通过日志可以了解攻击企图
• 局限
– 根据攻击者输入给出对应输出的方法过于简单 – 所能够提供的欺骗手段有限
Honeyd
• 可以模拟任意TCP/UDP网络服务
– IIS, Telnet, pop3…
• 支持同时模拟多个IP地址主机
蜜罐技术弱势
• • • • 劳力/技术密集型 局限的视图 不能直接防护信息系统 带来的安全风险
安全风险
• 发现蜜罐
– – – – – – – – 黑客知道要避免进入哪些系统 向蜜罐反馈虚假、伪造的信息 消除蜜罐的指纹 蜜罐-反蜜罐技术:博弈问题! 期望黑客获得蜜罐的root权限 黑客会将其用作危害第三方的跳板 引入多层次的数据控制机制 人为分析和干预
FTP服务模拟
case $incmd_nocase in QUIT* ) echo exit SYST* ) echo ;; HELP* ) echo echo echo echo echo echo echo echo ;; USER* )
-e "221 Goodbye.\r" 0;; -e "215 UNIX Type: L8\r"
• 工作量不对称
– 攻击方:夜深人静, 攻其弱点 – 防守方:24*7*365, 全面防护
• 信息不对称
– 攻击方:通过网络扫描、探测、踩点对攻击目标全面 了解 – 防守方:对攻击方一无所知
• 后果不对称
– 攻击方:任务失败,极少受到损失 – 防守方:安全策略被破坏,利益受损
蜜罐技术的提出
• 扭转工作量Biblioteka Baidu对称
蜜罐的分类
• 部署目标
– 产品型 – 研究型
• 交互性:攻击者在蜜罐中活动的交互性级 别
– 低交互型 – 高交互型
产品型蜜罐
• 部署目标: 保护单位网络
– 防御 – 检测 – 帮助对攻击的响应
• 需要网管尽可能少的工作 • 商业产品
– KFSensor, Specter, ManTrap
研究型蜜罐
– 经过测试,最多同时支持65535个IP地址
• 支持ICMP
– 对ping和traceroute做出响应
• 通过代理和重定向支持对实际主机、网络服务的 整合
– add windows tcp port 23 proxy “162.105.204.159 23”
• UI用户界面(v1.0)
Honeyd监控未使用IP地址
蜜罐的要求
• 设计蜜罐的初衷就是让黑客入侵,借此收 集证据,同时隐藏真实的服务器地址,因 此我们要求一台合格的蜜罐拥有这些功能: 发现攻击、产生警告、强大的记录能力、 欺骗、协助调查。 • 另外一个功能由管理员去完成,那就是在 必要时候根据蜜罐收集的证据来起诉入侵 者
蜜罐技术的发展历史
• 被攻陷的真实主机 (1990 ~)
• 利用蜜罐攻击第三方
蜜罐工具实例
• DTK
– Deception Toolkit (1997) by Fred Cohen – Fred Cohen, A Framework for Deception.
• Honeyd
– A virtual honeypot framework – Honeyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.
路由拓扑结构
• Honeyd支持创建任意的网络拓扑结构 – 对路由树的模拟
• 配置一个路由进入点 • 可配置链路时延和丢包率 • 模拟任意的路由路径
– 扩展
• 将物理主机融合入模拟的网络拓扑 • 通过GRE隧道模式支持分布式部署
路由拓扑定义实例
route entry 10.0.0.1 route 10.0.0.1 add net 10.1.0.0/16 latency 55ms loss 0.1 route 10.0.0.1 add net 10.2.0.0/16 latency 55ms loss 0.1 route 10.1.0.1 link 10.1.0.0/16 route 10.2.0.1 link 10.2.0.0/16 create routerone set routeone personality “Cisco 7206 router (IOS 11.1(17)” set routerone default tcp action reset set routerone default udp action reset
– << The Cuckoo’s Egg >> – An Evening with Berferd
• 虚拟蜜罐工具 (1997 ~)
– 模拟网络服务,虚拟系统 – Fred Cohen: DTK
• 被监控的真实系统 (2000 ~)
– 更多的数据捕获、分析、控制工具 – 在一个蜜网的框架中 – 蜜网项目组: Gen II蜜网
• Honeyd模拟的蜜罐系 统接收相应网络流量三 种方式
– 为Honeyd模拟的虚拟主 机建立路由 – ARP代理 – 支持网络隧道模式 (GRE)
Honeyd体系框架
• 配置数据库
– 存储网络协议栈的个性化特 征
• 中央数据包分发器
– 将输入的数据包分发到相应 的协议处理器
• 协议处理器 • 个性化引擎 • 可选路由构件
– 增加攻击代价-假目标
• 扭转信息不对称-了解你的敌人!
– 他们是谁? – 他们使用什么工具?如何操作? – 为什么攻击你?
• 扭转后果不对称
– 防守方不受影响损失 – 计算机取证-对攻击方的威慑
蜜罐技术
什么是蜜罐? 蜜罐的发展历史 Fred Cohen – DTK Honeyd
蜜罐的概念
• Honeypot: 首次出现在Cliff Stoll的小说 “The Cuckoo’s Egg”(1990) • 蜜网项目组给出如下定义:
-e -e -e -e -e -e -e -e
"214-The following commands are recognized (*=>'s unimplemented).\r" " USER PORT STOR MSAM* RNTO NLST MKD CDUP\r" " PASS PASV APPE MRSQ* ABOR SITE XMKD XCUP\r" " ACCT* TYPE MLFL* MRCP* DELE SYST RMD STOU\r" " SMNT* STRU MAIL* ALLO CWD STAT XRMD SIZE\r" " REIN* MODE MSND* REST XCWD HELP PWD MDTM\r" " QUIT RETR MSOM* RNFR LIST NOOP XPWD\r" "214 Direct comments to ftp@$domain.\r"
Honeyd的日志记录
Feb 12 23:06:33 Connection to closed port: udp (210.35.128.1:1978 172.16.85.101:1978) Feb 12 23:23:40 Connection request: tcp (66.136.92.78:3269 - 172.16.85.102:25) Feb 12 23:23:40 Connection established: tcp (66.136.92.78:3269 - 172.16.85.102:25) <-> sh scripts/smtp.sh Feb 12 23:24:14 Connection dropped with reset: tcp (66.136.92.78:3269 172.16.85.102:25) Feb 12 23:34:53 Killing attempted connection: tcp (216.237.78.227:3297 172.16.85.102:80) Feb 12 23:39:14 Connection: udp (10.5.5.71:1026 - 172.16.85.101:137) Feb 12 23:39:14 Connection established: udp (10.5.5.71:1026 - 172.16.85.101:137)
个性化引擎
• 为什么需要个性化引擎?
– 不同的操作系统有不同的网络协议栈行为 – 攻击者通常会运行指纹识别工具,如Xprobe和Nmap获 得目标系统的进一步信息 – 个性化引擎使得虚拟蜜罐看起来像真实的目标
• 每个由Honeyd产生的包都通过个性化引擎
– 引入操作系统特定的指纹,让Nmap/Xprobe进行识别 – 使用Nmap指纹库作为TCP/UDP连接的参考 – 使用Xprobe指纹库作为ICMP包的参考
DTK
• 用户:普通互联网用户 • 目标
– 在几分钟内部署一系列的陷阱 – 显著提高攻击代价,同时降低防御代价 – 欺骗自动攻击程序,使其无效
从物理蜜罐到DTK
从物理蜜罐到DTK
DTK如何工作?
• 模拟有漏洞的网络服务 • 基于状态机变迁脚本 # State Input NexStat Exit ln/file output/filename 0 START 0 1 1 220 all.net ESMTP Sendmail 8.1.2/8.1.3; 0 ERROR 0 1 1 500 Command unrecognized - please say "Helo" 0 help 0 1 1 214-No help available …
bind 10.0.0.1 routerone bind 10.1.0.1 routerone bind 10.2.0.1 routerone
日志功能
• Honeyd支持对网络活动的多种日志方式
– Honeyd对任何协议创建网络连接日志,报告 试图发起的、或完整的网络连接 – 在网络协议模拟实现中可以通过stderr进行相 关信息收集 – Honeyd 也可以与 NIDS 结合使用,捕获更多 更全面的攻击信息
– 攻击工具的不断完善
• 更多的目标:Linux、Windows • 更容易使用,工具整合
– Metasploit: 30+ Exploits
• 更强力
– 攻击脚本和工具可以很容易得到和使用
• 0-day exploits: packetstorm
– 团队协作
网络攻防的不对称博弈
• 实例:Specter, KFSensor, and Honeyd.
高交互型蜜罐
• 提供真实的操作系统和服务,而不是模拟 • 可以捕获更丰富的信息 • 部署复杂,高安全风险
• 实例:ManTrap, Gen II蜜网
蜜罐技术优势
• 高保真-高质量的小数据集
– 很小的误报率 – 很小的漏报率
• 捕获新的攻击及战术 • 并不是资源密集型 • 简单
Honeyd设计上的考虑
• 接收网络流量 • 模拟蜜罐系统
– 仅模拟网络协议栈层次,而不涉及操作系统各个层面 – 可以模拟任意的网络拓扑
• Honeyd宿主主机的安全性
– 限制对手只能在网络层面与蜜罐进行交互 – 保证对手不会获得整个系统的访问权限
• 捕获网络连接和攻击企图
– 日志功能
接收网络流量
– “A security resource who’s value lies in being probed, attacked or compromised” – 没有业务上的用途,因此所有流入/流出蜜 罐的流量都预示着扫描、攻击及攻陷 – 用以监视、检测和分析攻击
蜜罐与没有防护的PC的区别
• 蜜罐是网络管理员经过周密布置而设下的 “黑匣子”,看似漏洞百出却尽在掌握之 中,它收集的入侵数据十分有价值; • 没有防护的计算机是送给入侵者的礼物, 即使被入侵也不一定查得到痕迹……因此, 蜜罐的定义是:“蜜罐是一个安全资源, 它的价值在于被探测、攻击和损害。”
• 任何主机都是攻击目标!
– DDoS、跳板攻击需要大量傀儡主机 – 蠕虫、病毒的泛滥 – 并不再仅仅为了炫耀
• Hold your friends close, but your enemies closer.” _Michael Corleone:The Godfather, Part II
互联网安全状况 (2)
蜜罐与蜜网技术介绍
内容
• 蜜罐技术的提出 • 蜜罐技术
– 蜜罐概念 – 实例工具:DTK, honeyd
• 蜜网技术
– 蜜网概念、蜜网项目组 – 实例工具:Gen II 蜜网
• 蜜罐/蜜网技术的应用 • 新概念和新方向
蜜罐技术的提出
要解决什么问题?
互联网安全状况
• 安全基础薄弱
– 操作系统/软件存在大量漏洞 – 安全意识弱、安全加强 rarely done
• 部署目标:对黑客攻击进行捕获和分析
– 这些“坏家伙”在干什么 – 了解攻击方法 – 捕获他们的键击记录 – 捕获他们的攻击工具 – 监控他们的会话
• 需要大量时间和精力投入!! • 实例:Gen II蜜网, Honeyd
低交互型蜜罐
• 模拟服务和操作系统 • 只能捕获少量信息 • 容易部署,减少风险
效果及局限
• 效果
– 增大了攻击代价,增加攻击成功所需技术门槛 – 让低水平的攻击者一头雾水 – 通过日志可以了解攻击企图
• 局限
– 根据攻击者输入给出对应输出的方法过于简单 – 所能够提供的欺骗手段有限
Honeyd
• 可以模拟任意TCP/UDP网络服务
– IIS, Telnet, pop3…
• 支持同时模拟多个IP地址主机
蜜罐技术弱势
• • • • 劳力/技术密集型 局限的视图 不能直接防护信息系统 带来的安全风险
安全风险
• 发现蜜罐
– – – – – – – – 黑客知道要避免进入哪些系统 向蜜罐反馈虚假、伪造的信息 消除蜜罐的指纹 蜜罐-反蜜罐技术:博弈问题! 期望黑客获得蜜罐的root权限 黑客会将其用作危害第三方的跳板 引入多层次的数据控制机制 人为分析和干预
FTP服务模拟
case $incmd_nocase in QUIT* ) echo exit SYST* ) echo ;; HELP* ) echo echo echo echo echo echo echo echo ;; USER* )
-e "221 Goodbye.\r" 0;; -e "215 UNIX Type: L8\r"
• 工作量不对称
– 攻击方:夜深人静, 攻其弱点 – 防守方:24*7*365, 全面防护
• 信息不对称
– 攻击方:通过网络扫描、探测、踩点对攻击目标全面 了解 – 防守方:对攻击方一无所知
• 后果不对称
– 攻击方:任务失败,极少受到损失 – 防守方:安全策略被破坏,利益受损
蜜罐技术的提出
• 扭转工作量Biblioteka Baidu对称
蜜罐的分类
• 部署目标
– 产品型 – 研究型
• 交互性:攻击者在蜜罐中活动的交互性级 别
– 低交互型 – 高交互型
产品型蜜罐
• 部署目标: 保护单位网络
– 防御 – 检测 – 帮助对攻击的响应
• 需要网管尽可能少的工作 • 商业产品
– KFSensor, Specter, ManTrap
研究型蜜罐
– 经过测试,最多同时支持65535个IP地址
• 支持ICMP
– 对ping和traceroute做出响应
• 通过代理和重定向支持对实际主机、网络服务的 整合
– add windows tcp port 23 proxy “162.105.204.159 23”
• UI用户界面(v1.0)
Honeyd监控未使用IP地址
蜜罐的要求
• 设计蜜罐的初衷就是让黑客入侵,借此收 集证据,同时隐藏真实的服务器地址,因 此我们要求一台合格的蜜罐拥有这些功能: 发现攻击、产生警告、强大的记录能力、 欺骗、协助调查。 • 另外一个功能由管理员去完成,那就是在 必要时候根据蜜罐收集的证据来起诉入侵 者
蜜罐技术的发展历史
• 被攻陷的真实主机 (1990 ~)
• 利用蜜罐攻击第三方
蜜罐工具实例
• DTK
– Deception Toolkit (1997) by Fred Cohen – Fred Cohen, A Framework for Deception.
• Honeyd
– A virtual honeypot framework – Honeyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.
路由拓扑结构
• Honeyd支持创建任意的网络拓扑结构 – 对路由树的模拟
• 配置一个路由进入点 • 可配置链路时延和丢包率 • 模拟任意的路由路径
– 扩展
• 将物理主机融合入模拟的网络拓扑 • 通过GRE隧道模式支持分布式部署
路由拓扑定义实例
route entry 10.0.0.1 route 10.0.0.1 add net 10.1.0.0/16 latency 55ms loss 0.1 route 10.0.0.1 add net 10.2.0.0/16 latency 55ms loss 0.1 route 10.1.0.1 link 10.1.0.0/16 route 10.2.0.1 link 10.2.0.0/16 create routerone set routeone personality “Cisco 7206 router (IOS 11.1(17)” set routerone default tcp action reset set routerone default udp action reset
– << The Cuckoo’s Egg >> – An Evening with Berferd
• 虚拟蜜罐工具 (1997 ~)
– 模拟网络服务,虚拟系统 – Fred Cohen: DTK
• 被监控的真实系统 (2000 ~)
– 更多的数据捕获、分析、控制工具 – 在一个蜜网的框架中 – 蜜网项目组: Gen II蜜网
• Honeyd模拟的蜜罐系 统接收相应网络流量三 种方式
– 为Honeyd模拟的虚拟主 机建立路由 – ARP代理 – 支持网络隧道模式 (GRE)
Honeyd体系框架
• 配置数据库
– 存储网络协议栈的个性化特 征
• 中央数据包分发器
– 将输入的数据包分发到相应 的协议处理器
• 协议处理器 • 个性化引擎 • 可选路由构件
– 增加攻击代价-假目标
• 扭转信息不对称-了解你的敌人!
– 他们是谁? – 他们使用什么工具?如何操作? – 为什么攻击你?
• 扭转后果不对称
– 防守方不受影响损失 – 计算机取证-对攻击方的威慑
蜜罐技术
什么是蜜罐? 蜜罐的发展历史 Fred Cohen – DTK Honeyd
蜜罐的概念
• Honeypot: 首次出现在Cliff Stoll的小说 “The Cuckoo’s Egg”(1990) • 蜜网项目组给出如下定义:
-e -e -e -e -e -e -e -e
"214-The following commands are recognized (*=>'s unimplemented).\r" " USER PORT STOR MSAM* RNTO NLST MKD CDUP\r" " PASS PASV APPE MRSQ* ABOR SITE XMKD XCUP\r" " ACCT* TYPE MLFL* MRCP* DELE SYST RMD STOU\r" " SMNT* STRU MAIL* ALLO CWD STAT XRMD SIZE\r" " REIN* MODE MSND* REST XCWD HELP PWD MDTM\r" " QUIT RETR MSOM* RNFR LIST NOOP XPWD\r" "214 Direct comments to ftp@$domain.\r"
Honeyd的日志记录
Feb 12 23:06:33 Connection to closed port: udp (210.35.128.1:1978 172.16.85.101:1978) Feb 12 23:23:40 Connection request: tcp (66.136.92.78:3269 - 172.16.85.102:25) Feb 12 23:23:40 Connection established: tcp (66.136.92.78:3269 - 172.16.85.102:25) <-> sh scripts/smtp.sh Feb 12 23:24:14 Connection dropped with reset: tcp (66.136.92.78:3269 172.16.85.102:25) Feb 12 23:34:53 Killing attempted connection: tcp (216.237.78.227:3297 172.16.85.102:80) Feb 12 23:39:14 Connection: udp (10.5.5.71:1026 - 172.16.85.101:137) Feb 12 23:39:14 Connection established: udp (10.5.5.71:1026 - 172.16.85.101:137)
个性化引擎
• 为什么需要个性化引擎?
– 不同的操作系统有不同的网络协议栈行为 – 攻击者通常会运行指纹识别工具,如Xprobe和Nmap获 得目标系统的进一步信息 – 个性化引擎使得虚拟蜜罐看起来像真实的目标
• 每个由Honeyd产生的包都通过个性化引擎
– 引入操作系统特定的指纹,让Nmap/Xprobe进行识别 – 使用Nmap指纹库作为TCP/UDP连接的参考 – 使用Xprobe指纹库作为ICMP包的参考
DTK
• 用户:普通互联网用户 • 目标
– 在几分钟内部署一系列的陷阱 – 显著提高攻击代价,同时降低防御代价 – 欺骗自动攻击程序,使其无效
从物理蜜罐到DTK
从物理蜜罐到DTK
DTK如何工作?
• 模拟有漏洞的网络服务 • 基于状态机变迁脚本 # State Input NexStat Exit ln/file output/filename 0 START 0 1 1 220 all.net ESMTP Sendmail 8.1.2/8.1.3; 0 ERROR 0 1 1 500 Command unrecognized - please say "Helo" 0 help 0 1 1 214-No help available …
bind 10.0.0.1 routerone bind 10.1.0.1 routerone bind 10.2.0.1 routerone
日志功能
• Honeyd支持对网络活动的多种日志方式
– Honeyd对任何协议创建网络连接日志,报告 试图发起的、或完整的网络连接 – 在网络协议模拟实现中可以通过stderr进行相 关信息收集 – Honeyd 也可以与 NIDS 结合使用,捕获更多 更全面的攻击信息