當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

解析蜜罐技術(shù)要點(diǎn)及其潛的在問(wèn)題

http://m.yibo1263.com　2008-8-21 8:30:27 　來(lái)源:51CTO 　編輯:葉子

　　筆者試用了Capture HPC 2.0，此工具準(zhǔn)許使用不同的客戶(hù)端，如Firefox、RealPlayer、Microsoft Word等軟件。它還擁有一個(gè)選項(xiàng)，即可以收集惡意軟件，并記錄客戶(hù)端和Web服務(wù)器之間的tcpdump捕獲。

　　客戶(hù)端蜜罐需要與服務(wù)器交互，目的是為了決定這個(gè)服務(wù)器是否是惡意的。采用高交互性的客戶(hù)端蜜罐，要實(shí)現(xiàn)這個(gè)目標(biāo)，花費(fèi)的成本是很高的。因此選擇與哪個(gè)服務(wù)器交互可以極大地增加找到網(wǎng)絡(luò)上惡意服務(wù)器的比率。我們可以使用幾種資源，但“搜索”也許是訪問(wèn)大量Web 服務(wù)器的最傳統(tǒng)的方法。

　　交互水平的區(qū)別還適用于客戶(hù)端蜜罐。驅(qū)動(dòng)一個(gè)客戶(hù)端與服務(wù)器交互，并且根據(jù)狀態(tài)的改變將服務(wù)器歸為惡意服務(wù)器的客戶(hù)端蜜罐是一種高交互性的蜜罐。另外一方面，一種低交互性的客戶(hù)端蜜罐使用了模擬的客戶(hù)端，如用wget代替IE瀏覽器，通過(guò)靜態(tài)分析(如簽名)來(lái)評(píng)估服務(wù)器的惡意屬性。惡意傳播的危險(xiǎn)在高交互性的客戶(hù)端蜜罐上是很現(xiàn)實(shí)的，安全人員可以通過(guò)低交互性的客戶(hù)端蜜罐來(lái)減少這種危險(xiǎn)。SpyBye 和 HoneyC屬于低交互性的客戶(hù)端蜜罐，它們可以執(zhí)行簡(jiǎn)單的基于規(guī)則的匹配和簽名匹配，用以檢測(cè)客戶(hù)端的攻擊。

　　速度上的增加和較低的資源消耗是這些低交互性的客戶(hù)端蜜罐的最大好處。不過(guò)，因?yàn)檫@種蜜罐通常都是基于規(guī)則和簽名的，所以它們并不能檢測(cè)自己以前未見(jiàn)過(guò)的攻擊(零日漏洞攻擊)。高交互性的蜜罐更容易檢測(cè)這種攻擊，因?yàn)檫@種蜜罐并不需要預(yù)先知道這種攻擊的知識(shí)便可以檢測(cè)它。

　　特定應(yīng)用蜜罐

　　現(xiàn)在既有通用的蜜罐可以提供或模仿有漏洞的系統(tǒng)，又有應(yīng)用或特定協(xié)議的蜜罐。有許多蜜罐設(shè)計(jì)目的是通過(guò)偽裝成開(kāi)放的郵件傳送服務(wù)器或開(kāi)放代理來(lái)捕獲垃圾郵件。如Jackpot這個(gè)小程序，它由Java語(yǔ)言編寫(xiě)，它可以假裝成一個(gè)可以轉(zhuǎn)發(fā)郵件的配置錯(cuò)誤的SMTP服務(wù)器。實(shí)際上，它將所有的消息發(fā)送給用戶(hù)，然后繞過(guò)垃圾制造者的測(cè)試消息，并避免受垃圾郵件侵?jǐn)_。(通常情況下，垃圾制造者會(huì)試圖發(fā)送一個(gè)測(cè)試郵件，其目的是為了確認(rèn)主機(jī)是否是一個(gè)真實(shí)的開(kāi)放服務(wù)器) 。另外，Proxypot也有不俗的表現(xiàn)。

　　另外HTTP，特別是Web應(yīng)用蜜罐受到了特別的關(guān)注。而谷歌的 Hack Honeypot則提供了不同的種類(lèi)的模塊，其中之一看似是一個(gè)配置錯(cuò)誤的PHPShell。PHPShell準(zhǔn)許管理員通過(guò)Web界面來(lái)執(zhí)行外殼命令，但對(duì)它的訪問(wèn)卻至少受到口令的限制。谷歌這個(gè)工具擁有一個(gè)中央接口，它準(zhǔn)許操作人員監(jiān)視用戶(hù)正試圖執(zhí)行的命令。

　　一種常見(jiàn)的漏洞利用技術(shù)是使用遠(yuǎn)程文件包含。一些PHP配置準(zhǔn)許執(zhí)行程序，以便于包含可以駐留在其它Web或FTP服務(wù)器上的文件。在某種特定的程序在進(jìn)行包含之前，它并不仔細(xì)檢查其輸入。攻擊者能夠經(jīng)常在Web服務(wù)器上執(zhí)行他選擇的代碼。另外一種方法是，部分PHPHoP腳本會(huì)試圖分析下載有效負(fù)載，作為對(duì)惡意請(qǐng)求的一種直接響應(yīng)。前一種方法可能更有用，因?yàn)槠湓O(shè)計(jì)目的是為了在服務(wù)器上運(yùn)行，同時(shí)又不會(huì)干擾實(shí)際服務(wù)器。但在Web應(yīng)用程序中還有其它的漏洞，如SQL注入、直接命令注入等。

　　與其它蜜罐相比，有一些蜜罐能更好地捕獲特定類(lèi)型的攻擊，而且理想情況下，幾種蜜罐的混合能夠提供對(duì)當(dāng)前攻擊的最佳洞察方式。例如，用于PHPHoP的 ErrorDocument處理程序不能正確地捕獲POST數(shù)據(jù)，因?yàn)锳pache并沒(méi)有將這種信息交給ErrorDocument處理程序。為此，你可能需要定制編寫(xiě)Web服務(wù)器，或者用你希望模擬的文件名來(lái)創(chuàng)建PHP腳本。

　　蜜罐的潛在問(wèn)題

　　在部署一個(gè)蜜罐或蜜網(wǎng)時(shí)，保密是極為重要的。如果每個(gè)人都知道這是一個(gè)陷阱，除了一些自動(dòng)化的攻擊工具（如一些蠕蟲(chóng)），不會(huì)有人嘗試攻擊它。還有一些蜜罐，特別是一些低交互性的蜜罐，由于其模擬的服務(wù)，會(huì)很容易就被攻擊者識(shí)別出蜜罐的身份。對(duì)于一個(gè)復(fù)雜系統(tǒng)的任何模仿總與真實(shí)的系統(tǒng)有不同點(diǎn)。例如，可以有多種方法讓一個(gè)程序決定它是否運(yùn)行在一個(gè)虛擬機(jī)內(nèi)部，并且惡意軟件正日益增多地使用這些技術(shù)來(lái)與蜜罐技術(shù)對(duì)抗。可以這樣說(shuō)，攻擊者正在想方設(shè)法找到檢測(cè)蜜罐的手段和技術(shù)，而蜜罐制造者也在努力改善蜜罐，使得攻擊者難于發(fā)現(xiàn)其“指紋特征”。

本新聞共3頁(yè),當(dāng)前在第2頁(yè) 1 2 3

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费