當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

解析蜜罐技術(shù)要點及其潛的在問題

http://m.yibo1263.com　2008-8-21 8:30:27 　來源:51CTO 　編輯:葉子

　　蜜罐可以這樣來定義：它是一種其價值在于被探測、攻擊、破壞的系統(tǒng)。也就是說蜜罐是一種我們可以監(jiān)視觀察攻擊者行為的系統(tǒng)，其設(shè)計目的是為了將攻擊者的注意從更價值的系統(tǒng)引開，或者說是為了提供對網(wǎng)絡(luò)入侵的及時預(yù)警。

　　本文將討論現(xiàn)有的蜜罐技術(shù)及相關(guān)技術(shù)的關(guān)鍵不同要點。

　　基本的蜜罐技術(shù)

　　不同類型的蜜罐的主要區(qū)別主要在于攻擊者與應(yīng)用程序或服務(wù)的交互能力上。真正有漏洞的系統(tǒng)準(zhǔn)許攻擊者在各個層面上與系統(tǒng)交互。攻擊者可以探測、攻擊、破壞這種系統(tǒng)，將漏洞用作進一步攻擊的一種工具。因而這種系統(tǒng)稱為高交互性的蜜罐。

　　這就要求安全人員密切監(jiān)視并詳細(xì)分析攻擊者的行為。我們可能期望這種蜜罐被用于監(jiān)視一個試圖通過猜測SSH用戶名和口令而突破進入系統(tǒng)的攻擊者。一般而言，我們不太可能模仿一個可令攻擊者長久相信的系統(tǒng)（如Unix）外殼，因此我們更喜歡高交互性的系統(tǒng)。這有點類似于許多人所認(rèn)為的典型蜜罐，這種有漏洞系統(tǒng)的系統(tǒng)帶有額外的手段來幫助用戶進行監(jiān)視。

　　從理論上講，任何一個有漏洞的機器都可充當(dāng)一個高交互性的蜜罐。將它連接到網(wǎng)絡(luò)上，很快你就會發(fā)現(xiàn)首次攻擊。然而，在這樣一種系統(tǒng)上，很難執(zhí)行一次完整的取證分析，這也正是“蜜墻”（位于蜜網(wǎng)和外部世界之間的設(shè)施）經(jīng)常被使用的原因。它可從網(wǎng)絡(luò)上收集數(shù)據(jù)和攻擊者的擊鍵信息，并將其全部記錄在一個中心的數(shù)據(jù)倉庫中，以備日后的取證分析。記錄關(guān)鍵數(shù)據(jù)，使得攻擊者無法通過使用加密協(xié)議隱藏其活動。

　　第二種類型，即低交互性蜜罐，一般來說它要模仿漏洞而不是展現(xiàn)真實有漏洞的系統(tǒng)，因此攻擊者并不能與它在各個層面上交互。因為這個原因，這種蜜罐更加安全，因為你不必?fù)?dān)心攻擊者在系統(tǒng)上的活動，但它也就極大地喪失了靈活性。一種低交互性的蜜罐的典型例子即nepenthes，它可以在最少用戶干預(yù)的情況下，自動收集基于Windows的蠕蟲。Nepenthes是一種收集惡意代碼樣本的優(yōu)秀工具，但卻并不能提供Windows主機的完整模擬。另外一個程序，honeyd準(zhǔn)許用戶構(gòu)建擁有60000臺主機的模擬網(wǎng)絡(luò)，這些主機看似運行著不同的操作系統(tǒng)和服務(wù)。

　　蜜罐工具h(yuǎn)oneytrap的設(shè)計目的是為了捕獲未知的攻擊。它之所以如此，在于它在所有的TCP端口上監(jiān)聽，并動態(tài)監(jiān)視每個端口上的加載句柄。例如，nepenthes可以捕獲針對現(xiàn)有的某種服務(wù)的攻擊，如在445/TCP上的microsoft-ds，但它卻不能處理到達(dá)先前未知端口的連接企圖。Honeytrap擁有簡單的句柄，它可以記錄關(guān)于TCP會話的信息，重新發(fā)出先前捕獲的響應(yīng)，在發(fā)出FTP命令時可以下載遠(yuǎn)程文件，或者說，它可以建立到達(dá)另外一種程序的代理連接。

　　在最低的交互水平上，我們有一個稱為“網(wǎng)絡(luò)望遠(yuǎn)鏡”的工具，或者說darknet，它所宣稱的IP地址空間上并沒有連接任何的主機。操作人員并不必使用honeyd等工具來偽造一個網(wǎng)絡(luò)，他只需觀察到達(dá)這個網(wǎng)絡(luò)段的數(shù)據(jù)通信。因為在這個網(wǎng)段上并沒有真實的主機，對地址空間的掃描很容易被發(fā)現(xiàn)�！熬W(wǎng)絡(luò)望遠(yuǎn)鏡”還可以顯示欺騙性的“退信”的證據(jù)，因為它的一些地址是被互聯(lián)網(wǎng)上其它地方的機器偽造的，因為這個望遠(yuǎn)鏡可接收RST或SYN+ACK數(shù)據(jù)包（TCP協(xié)議），或應(yīng)答或ICMP不可到達(dá)的消息（UDP協(xié)議）。

　　最有名的莫過于CAIDA的“網(wǎng)絡(luò)望遠(yuǎn)鏡”，其數(shù)據(jù)可被用于分析Witty和Slmmer等蠕蟲的傳播。

　　客戶端蜜罐

　　客戶端蜜罐的示意圖：

　　

　　在傳統(tǒng)的服務(wù)器蜜罐（如Niels Provos 的honeyd）和客戶端蜜罐之間存在著一些相對較新的差異。客戶端蜜罐并不是被動地等待攻擊，而是主動搜索惡意服務(wù)器，典型情況下，也就是圍繞著存在客戶端瀏覽器漏洞的Web服務(wù)器，但也不限于此�？蛻舳嗣酃抟呀�(jīng)得以擴展，它已經(jīng)可以調(diào)查對辦公應(yīng)用程序的攻擊。

　　客戶端蜜罐的例子有MITRE HoneyClient、Shelia、 Honeymonkey、 CaptureHPC。這些客戶端蜜罐都按照同樣的原理工作。我們可以從一個專業(yè)的系統(tǒng)開始，由于此系統(tǒng)通�；谀撤N虛擬化技術(shù)，所以在被感染后，它可自動被重置為干凈的狀態(tài)。這種系統(tǒng)可與潛在的惡意服務(wù)器交互，并可以監(jiān)視系統(tǒng)，可以在與服務(wù)器交互期間或之后查找未授權(quán)的狀態(tài)改變。例如，如果我們在windows的system32 文件夾內(nèi)發(fā)現(xiàn)了額外的文件，并在注冊表中發(fā)現(xiàn)了新的鍵值，我們就可以知道，機器已經(jīng)被惡意代碼感染，并且操縱了我們的機器在系統(tǒng)重新啟動時運行某種代碼。當(dāng)然，未授權(quán)的狀態(tài)改變還可以包括對網(wǎng)絡(luò)連接、內(nèi)存、進程等的改變。

本新聞共3頁,當(dāng)前在第1頁 1 2 3

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费