蜜网技术

浅议蜜网技术

摘要：蜜罐技术改变了传统网络安全防御技术一律将入侵者“拒之门外”的被动做法，而是提出全新的“请君入瓮”主动防御概念。虽然蜜罐技术目前仍存在很多争议，但它无疑是学习敌方情报最好的工具。本文主要从蜜网的功能、蜜网系统的总体设计、蜜网系统的测试三方面对蜜网技术进行了浅议。

关键词：蜜网；蜜罐；功能；测试；总体设计

蜜罐技术思想本质就是使用“蜜”来诱骗入侵者入侵，通过精心布置的“罐”来监控入侵者的入侵行为，尽可能多地捕获并学习入侵者相关信息，从而间接或直接地保护系统安全。它改变了传统网络安全防御技术一律将入侵者“拒之门外”的被动做法，而是提出全新的“请君入瓮”主动防御概念。虽然蜜罐技术目前仍存在很多争议，但它无疑是学习敌方情报最好的工具。

一、简述蜜网的功能

1.欺骗功能。在蜜网内设置多个有不同操作系统的蜜罐主机，如windows系统和linux系统，在不同的蜜罐主机上开放不同的网络服务，以此来模拟真实的系统和真实的服务。在这个系统中，其欺骗功能程度主要依赖于各蜜罐主机仿真的逼真程度。由此可见，该蜜网系统实质是一个实施欺骗的蜜罐主机的集合。

2.数据控制功能。构建蜜网时，通常在防火墙与各蜜罐群集之间，还会设置一个路由器。放置路由器的原因有二：首先，路由器的存在使防火墙具有“不可见”性，入侵者攻入蜜罐后可能会察看蜜罐

外发的路由，放置路由器更接近真实的网络环境，入侵者一般不能注意到防火墙的存在；其次，路由器可以作为对防火墙访问控制的很好补充，我们可以设置一些路由规则进行路由控制，确保各蜜罐不会被用来攻击蜜网之外的机器。

3.数据捕获功能。蜜网系统的一个非常重要的功能就是数据捕获，而这些捕获数据一直是入侵者们想删除或者篡改的。在蜜网系统中，对数据捕获的方式是对防火墙日志、ids日志及各蜜罐系统日志的收集、分析及保护。为防止入侵者攻破蜜网之后修改各蜜罐主机的日志，蜜罐主机通常会利用操作系统自身提供的日志功能，这充分体现了基于网络的信息收集策略，为蜜网提供了安全强大的数据捕获功能。

二、蜜网系统总体设计

1.设计目标。通过研究蜜罐技术的基本原理，设计并实现一个研究型的蜜网，完成蜜网的核心需求。使用该蜜网系统，可以捕获来自internet的攻击者的相关数据，通过对这些数据进行分析，研究入侵者所掌握的技术、使用的工具以及攻击的动机，从而进一步提高我们的网络防御能力。蜜网系统提出设计意向时，确定其设计目标如下：

（1）蜜网应当具有良好的数据捕获能力，能够捕获到大量并且有价值的信息。

（2）蜜网应当能够对威胁做出响应，既包括自动响应也包括人工控制响应。

（3）能够根据日志审计的结果对现有安全策略做出调整。

（4）提供日志分析审计的自动化工具，减少数据分析工作量。（5）蜜网自身应当具备一定的安全性，也就是能够对攻击者的行为进行一定的控制。

（6）蜜网应当能够保证收集信息的安全性、完整性和机密性。

2.数据控制机制。数据控制是蜜网的第一大核心需求，宿主机作为虚拟蜜网的二层网关实现了该功能。二层网关对流入的数据包不进行任何限制，使得黑客能攻入蜜网，但对流出的数据包严格控制，以防黑客使用蜜网作为跳板向其它正常主机发起攻击。控制的方法包括攻击包抑制和对外连接数限制两种手段。一旦网络入侵防御系统（nips）snort－inline检测到含有恶意代码的数据包即对其加以抛弃或修改，使其不能对第三方网络构成危害。而对外连接数限制是用来控制黑客对外界网络发起的连接数量的。

snort－inline是入侵检测系统（ids）snort的修改版，它可以经由libipq接收来自ip－tables的数据包，并根据snort的规则集对数据包进行检查，一旦发现恶意代码就对该数据包采取预先定义的策略，然后再将数据包传回给ip－tables。

3.数据捕获机制。数据捕获就是把所有的攻击者活动记录下来，然后通过分析这些活动来学习他们的工具、策略以及动机。为了在不被攻击者发现的情况下捕获尽可能多的数据，并保证这些数据的完整性，在蜜墙中采取了三重数据捕获机制。

三、蜜网系统的测试

1.蜜网外出连接数限制功能测试

（1）测试内容。蜜网外出连接数限制是数据控制的第一层，接受所有进入蜜网系统的网络请求，对蜜网的外出连接进行限制，当外出连接数量达到设定的阙值时自动阻断连接，并进行日志记录，测试蜜网系统的数据控制能力。

（2）测试过程。在防火墙脚本firewall.sh中，设置蜜罐的外出icmp连接阙值为每小时5个，外出tcp阙值为每小时2个。在蜜罐a上ping蜜网外的主机，测icmp外出连接控制。

（3）测试结果。ping的结果是：前5个icmp包可以顺利通过，后面的icmp包被丢弃，说明蜜网系统外出icmp连接限制发挥了作用。同时，测试结果还表明，防火墙作为蜜网数据捕获的第一层，对蜜网所有的进出连接都进行了日志记录。

2.蜜网攻击包抑制功能测试

（1）测试内容。攻击包抑制是蜜网数据控制的第二种手段，它可以使入侵者由蜜网向外部网络发起的己知攻击失效，并进行日志记录。

（2）测试过程。使用ping命令发送大尺寸icmp包对其它主机进行攻击。

（3）测试结果。正常的情况下ping其它主机可以顺利完成，但若发送偏大的icmp包攻击其它主机则被丢弃。这说明蜜网的攻击包抑制功能起到了作用。

3.蜜网系统数据捕获功能测试

（1）测试内容。数据捕获是蜜网一项非常重要的功能，它确保攻击者在蜜网中的一切行动都有记录，使得我们能分析了解攻击者的手段、工具和目的。

sebek是蜜罐系统本身的数据捕获机制，它既能捕获入侵者的击键记录，也能捕获他们的击键回复，并通过网络将日志发送到其服务端。在作者所设计的蜜网中，二层网关安装了sebek服务端，它负责收集蜜罐捕获并发送出来的数据。

（2）测试过程。在连接数限制测试和攻击包抑制中己经有了测试过程，我们可以查看其对应的日志记录即可。

（3）测试结果。蜜网的数据捕获机制不但能捕获到蜜网所有的进出连接，而且能捕获到蜜罐主机本身的命令执行情况。这表明该蜜网的数据捕获机制满足了数据捕获的需求。