當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

解析蜜罐技術(shù)要點(diǎn)及其潛的在問題

http://m.yibo1263.com　2008-8-21 8:30:27 　來源:51CTO 　編輯:葉子

　　蜜罐可以這樣來定義：它是一種其價(jià)值在于被探測(cè)、攻擊、破壞的系統(tǒng)。也就是說蜜罐是一種我們可以監(jiān)視觀察攻擊者行為的系統(tǒng)，其設(shè)計(jì)目的是為了將攻擊者的注意從更價(jià)值的系統(tǒng)引開，或者說是為了提供對(duì)網(wǎng)絡(luò)入侵的及時(shí)預(yù)警。

　　本文將討論現(xiàn)有的蜜罐技術(shù)及相關(guān)技術(shù)的關(guān)鍵不同要點(diǎn)。

　　基本的蜜罐技術(shù)

　　不同類型的蜜罐的主要區(qū)別主要在于攻擊者與應(yīng)用程序或服務(wù)的交互能力上。真正有漏洞的系統(tǒng)準(zhǔn)許攻擊者在各個(gè)層面上與系統(tǒng)交互。攻擊者可以探測(cè)、攻擊、破壞這種系統(tǒng)，將漏洞用作進(jìn)一步攻擊的一種工具。因而這種系統(tǒng)稱為高交互性的蜜罐。

　　這就要求安全人員密切監(jiān)視并詳細(xì)分析攻擊者的行為。我們可能期望這種蜜罐被用于監(jiān)視一個(gè)試圖通過猜測(cè)SSH用戶名和口令而突破進(jìn)入系統(tǒng)的攻擊者。一般而言，我們不太可能模仿一個(gè)可令攻擊者長(zhǎng)久相信的系統(tǒng)（如Unix）外殼，因此我們更喜歡高交互性的系統(tǒng)。這有點(diǎn)類似于許多人所認(rèn)為的典型蜜罐，這種有漏洞系統(tǒng)的系統(tǒng)帶有額外的手段來幫助用戶進(jìn)行監(jiān)視。

　　從理論上講，任何一個(gè)有漏洞的機(jī)器都可充當(dāng)一個(gè)高交互性的蜜罐。將它連接到網(wǎng)絡(luò)上，很快你就會(huì)發(fā)現(xiàn)首次攻擊。然而，在這樣一種系統(tǒng)上，很難執(zhí)行一次完整的取證分析，這也正是“蜜墻”（位于蜜網(wǎng)和外部世界之間的設(shè)施）經(jīng)常被使用的原因。它可從網(wǎng)絡(luò)上收集數(shù)據(jù)和攻擊者的擊鍵信息，并將其全部記錄在一個(gè)中心的數(shù)據(jù)倉庫中，以備日后的取證分析。記錄關(guān)鍵數(shù)據(jù)，使得攻擊者無法通過使用加密協(xié)議隱藏其活動(dòng)。

　　第二種類型，即低交互性蜜罐，一般來說它要模仿漏洞而不是展現(xiàn)真實(shí)有漏洞的系統(tǒng)，因此攻擊者并不能與它在各個(gè)層面上交互。因?yàn)檫@個(gè)原因，這種蜜罐更加安全，因?yàn)槟悴槐負(fù)?dān)心攻擊者在系統(tǒng)上的活動(dòng)，但它也就極大地喪失了靈活性。一種低交互性的蜜罐的典型例子即nepenthes，它可以在最少用戶干預(yù)的情況下，自動(dòng)收集基于Windows的蠕蟲。Nepenthes是一種收集惡意代碼樣本的優(yōu)秀工具，但卻并不能提供Windows主機(jī)的完整模擬。另外一個(gè)程序，honeyd準(zhǔn)許用戶構(gòu)建擁有60000臺(tái)主機(jī)的模擬網(wǎng)絡(luò)，這些主機(jī)看似運(yùn)行著不同的操作系統(tǒng)和服務(wù)。

　　蜜罐工具h(yuǎn)oneytrap的設(shè)計(jì)目的是為了捕獲未知的攻擊。它之所以如此，在于它在所有的TCP端口上監(jiān)聽，并動(dòng)態(tài)監(jiān)視每個(gè)端口上的加載句柄。例如，nepenthes可以捕獲針對(duì)現(xiàn)有的某種服務(wù)的攻擊，如在445/TCP上的microsoft-ds，但它卻不能處理到達(dá)先前未知端口的連接企圖。Honeytrap擁有簡(jiǎn)單的句柄，它可以記錄關(guān)于TCP會(huì)話的信息，重新發(fā)出先前捕獲的響應(yīng)，在發(fā)出FTP命令時(shí)可以下載遠(yuǎn)程文件，或者說，它可以建立到達(dá)另外一種程序的代理連接。

　　在最低的交互水平上，我們有一個(gè)稱為“網(wǎng)絡(luò)望遠(yuǎn)鏡”的工具，或者說darknet，它所宣稱的IP地址空間上并沒有連接任何的主機(jī)。操作人員并不必使用honeyd等工具來偽造一個(gè)網(wǎng)絡(luò)，他只需觀察到達(dá)這個(gè)網(wǎng)絡(luò)段的數(shù)據(jù)通信。因?yàn)樵谶@個(gè)網(wǎng)段上并沒有真實(shí)的主機(jī)，對(duì)地址空間的掃描很容易被發(fā)現(xiàn)�！熬W(wǎng)絡(luò)望遠(yuǎn)鏡”還可以顯示欺騙性的“退信”的證據(jù)，因?yàn)樗囊恍┑刂肥潜换ヂ?lián)網(wǎng)上其它地方的機(jī)器偽造的，因?yàn)檫@個(gè)望遠(yuǎn)鏡可接收RST或SYN+ACK數(shù)據(jù)包（TCP協(xié)議），或應(yīng)答或ICMP不可到達(dá)的消息（UDP協(xié)議）。

　　最有名的莫過于CAIDA的“網(wǎng)絡(luò)望遠(yuǎn)鏡”，其數(shù)據(jù)可被用于分析Witty和Slmmer等蠕蟲的傳播。

　　客戶端蜜罐

　　客戶端蜜罐的示意圖：

　　

　　在傳統(tǒng)的服務(wù)器蜜罐（如Niels Provos 的honeyd）和客戶端蜜罐之間存在著一些相對(duì)較新的差異�？蛻舳嗣酃薏⒉皇潜粍�(dòng)地等待攻擊，而是主動(dòng)搜索惡意服務(wù)器，典型情況下，也就是圍繞著存在客戶端瀏覽器漏洞的Web服務(wù)器，但也不限于此。客戶端蜜罐已經(jīng)得以擴(kuò)展，它已經(jīng)可以調(diào)查對(duì)辦公應(yīng)用程序的攻擊。

　　客戶端蜜罐的例子有MITRE HoneyClient、Shelia、 Honeymonkey、 CaptureHPC。這些客戶端蜜罐都按照同樣的原理工作。我們可以從一個(gè)專業(yè)的系統(tǒng)開始，由于此系統(tǒng)通�；谀撤N虛擬化技術(shù)，所以在被感染后，它可自動(dòng)被重置為干凈的狀態(tài)。這種系統(tǒng)可與潛在的惡意服務(wù)器交互，并可以監(jiān)視系統(tǒng)，可以在與服務(wù)器交互期間或之后查找未授權(quán)的狀態(tài)改變。例如，如果我們?cè)趙indows的system32 文件夾內(nèi)發(fā)現(xiàn)了額外的文件，并在注冊(cè)表中發(fā)現(xiàn)了新的鍵值，我們就可以知道，機(jī)器已經(jīng)被惡意代碼感染，并且操縱了我們的機(jī)器在系統(tǒng)重新啟動(dòng)時(shí)運(yùn)行某種代碼。當(dāng)然，未授權(quán)的狀態(tài)改變還可以包括對(duì)網(wǎng)絡(luò)連接、內(nèi)存、進(jìn)程等的改變。

本新聞共3頁,當(dāng)前在第1頁 1 2 3

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费