當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

解析蜜罐技術(shù)要點(diǎn)及其潛的在問題

http://m.yibo1263.com　2008-8-21 8:30:27 　來源:51CTO 　編輯:葉子

　　筆者試用了Capture HPC 2.0，此工具準(zhǔn)許使用不同的客戶端，如Firefox、RealPlayer、Microsoft Word等軟件。它還擁有一個(gè)選項(xiàng)，即可以收集惡意軟件，并記錄客戶端和Web服務(wù)器之間的tcpdump捕獲。

　　客戶端蜜罐需要與服務(wù)器交互，目的是為了決定這個(gè)服務(wù)器是否是惡意的。采用高交互性的客戶端蜜罐，要實(shí)現(xiàn)這個(gè)目標(biāo)，花費(fèi)的成本是很高的。因此選擇與哪個(gè)服務(wù)器交互可以極大地增加找到網(wǎng)絡(luò)上惡意服務(wù)器的比率。我們可以使用幾種資源，但“搜索”也許是訪問大量Web 服務(wù)器的最傳統(tǒng)的方法。

　　交互水平的區(qū)別還適用于客戶端蜜罐。驅(qū)動(dòng)一個(gè)客戶端與服務(wù)器交互，并且根據(jù)狀態(tài)的改變將服務(wù)器歸為惡意服務(wù)器的客戶端蜜罐是一種高交互性的蜜罐。另外一方面，一種低交互性的客戶端蜜罐使用了模擬的客戶端，如用wget代替IE瀏覽器，通過靜態(tài)分析(如簽名)來評估服務(wù)器的惡意屬性。惡意傳播的危險(xiǎn)在高交互性的客戶端蜜罐上是很現(xiàn)實(shí)的，安全人員可以通過低交互性的客戶端蜜罐來減少這種危險(xiǎn)。SpyBye 和 HoneyC屬于低交互性的客戶端蜜罐，它們可以執(zhí)行簡單的基于規(guī)則的匹配和簽名匹配，用以檢測客戶端的攻擊。

　　速度上的增加和較低的資源消耗是這些低交互性的客戶端蜜罐的最大好處。不過，因?yàn)檫@種蜜罐通常都是基于規(guī)則和簽名的，所以它們并不能檢測自己以前未見過的攻擊(零日漏洞攻擊)。高交互性的蜜罐更容易檢測這種攻擊，因?yàn)檫@種蜜罐并不需要預(yù)先知道這種攻擊的知識便可以檢測它。

　　特定應(yīng)用蜜罐

　　現(xiàn)在既有通用的蜜罐可以提供或模仿有漏洞的系統(tǒng)，又有應(yīng)用或特定協(xié)議的蜜罐。有許多蜜罐設(shè)計(jì)目的是通過偽裝成開放的郵件傳送服務(wù)器或開放代理來捕獲垃圾郵件。如Jackpot這個(gè)小程序，它由Java語言編寫，它可以假裝成一個(gè)可以轉(zhuǎn)發(fā)郵件的配置錯(cuò)誤的SMTP服務(wù)器。實(shí)際上，它將所有的消息發(fā)送給用戶，然后繞過垃圾制造者的測試消息，并避免受垃圾郵件侵?jǐn)_。(通常情況下，垃圾制造者會(huì)試圖發(fā)送一個(gè)測試郵件，其目的是為了確認(rèn)主機(jī)是否是一個(gè)真實(shí)的開放服務(wù)器) 。另外，Proxypot也有不俗的表現(xiàn)。

　　另外HTTP，特別是Web應(yīng)用蜜罐受到了特別的關(guān)注。而谷歌的 Hack Honeypot則提供了不同的種類的模塊，其中之一看似是一個(gè)配置錯(cuò)誤的PHPShell。PHPShell準(zhǔn)許管理員通過Web界面來執(zhí)行外殼命令，但對它的訪問卻至少受到口令的限制。谷歌這個(gè)工具擁有一個(gè)中央接口，它準(zhǔn)許操作人員監(jiān)視用戶正試圖執(zhí)行的命令。

　　一種常見的漏洞利用技術(shù)是使用遠(yuǎn)程文件包含。一些PHP配置準(zhǔn)許執(zhí)行程序，以便于包含可以駐留在其它Web或FTP服務(wù)器上的文件。在某種特定的程序在進(jìn)行包含之前，它并不仔細(xì)檢查其輸入。攻擊者能夠經(jīng)常在Web服務(wù)器上執(zhí)行他選擇的代碼。另外一種方法是，部分PHPHoP腳本會(huì)試圖分析下載有效負(fù)載，作為對惡意請求的一種直接響應(yīng)。前一種方法可能更有用，因?yàn)槠湓O(shè)計(jì)目的是為了在服務(wù)器上運(yùn)行，同時(shí)又不會(huì)干擾實(shí)際服務(wù)器。但在Web應(yīng)用程序中還有其它的漏洞，如SQL注入、直接命令注入等。

　　與其它蜜罐相比，有一些蜜罐能更好地捕獲特定類型的攻擊，而且理想情況下，幾種蜜罐的混合能夠提供對當(dāng)前攻擊的最佳洞察方式。例如，用于PHPHoP的 ErrorDocument處理程序不能正確地捕獲POST數(shù)據(jù)，因?yàn)锳pache并沒有將這種信息交給ErrorDocument處理程序。為此，你可能需要定制編寫Web服務(wù)器，或者用你希望模擬的文件名來創(chuàng)建PHP腳本。

　　蜜罐的潛在問題

　　在部署一個(gè)蜜罐或蜜網(wǎng)時(shí)，保密是極為重要的。如果每個(gè)人都知道這是一個(gè)陷阱，除了一些自動(dòng)化的攻擊工具（如一些蠕蟲），不會(huì)有人嘗試攻擊它。還有一些蜜罐，特別是一些低交互性的蜜罐，由于其模擬的服務(wù)，會(huì)很容易就被攻擊者識別出蜜罐的身份。對于一個(gè)復(fù)雜系統(tǒng)的任何模仿總與真實(shí)的系統(tǒng)有不同點(diǎn)。例如，可以有多種方法讓一個(gè)程序決定它是否運(yùn)行在一個(gè)虛擬機(jī)內(nèi)部，并且惡意軟件正日益增多地使用這些技術(shù)來與蜜罐技術(shù)對抗�？梢赃@樣說，攻擊者正在想方設(shè)法找到檢測蜜罐的手段和技術(shù)，而蜜罐制造者也在努力改善蜜罐，使得攻擊者難于發(fā)現(xiàn)其“指紋特征”。

本新聞共3頁,當(dāng)前在第2頁 1 2 3

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费