蜜罐技術(shù)詳解與案例分析

1.引言隨著人類社會(huì)生活對(duì)Internet需求的日益增加，網(wǎng)絡(luò)安全逐步成為Internet及各項(xiàng)網(wǎng)絡(luò)服務(wù)和應(yīng)用進(jìn)一步發(fā)展的核心問(wèn)題，特別是1993年后來(lái)Internet開(kāi)始商用化，通過(guò)Internet進(jìn)行的多個(gè)電子商務(wù)業(yè)務(wù)日益增多，加之Internet/Intranet技術(shù)日趨成熟，諸多組織和公司都建立了自己的內(nèi)部網(wǎng)絡(luò)并將之與Internet聯(lián)通。上述上電子商務(wù)應(yīng)用和公司網(wǎng)絡(luò)中的商業(yè)秘密均成為攻擊者的目的。據(jù)美國(guó)商業(yè)雜志《信息周刊》公布的一項(xiàng)調(diào)查報(bào)告稱，黑客攻擊和病毒等安全問(wèn)題在造成了上萬(wàn)億美元的經(jīng)濟(jì)損失，在全球范疇內(nèi)每數(shù)秒鐘就發(fā)生一起網(wǎng)絡(luò)攻擊事件。夏天，對(duì)于運(yùn)行著MicrosoftWindows的成千上萬(wàn)臺(tái)主機(jī)來(lái)說(shuō)簡(jiǎn)直就是場(chǎng)惡夢(mèng)！也給廣大網(wǎng)民留下了悲哀的回想，這某些都?xì)w結(jié)于沖擊波蠕蟲的全世界范疇的傳輸。2.蜜罐技術(shù)的發(fā)展背景網(wǎng)絡(luò)與信息安全技術(shù)的核心問(wèn)題是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行有效的防護(hù)。網(wǎng)絡(luò)安全防護(hù)涉及面很廣，從技術(shù)層面上講重要涉及防火墻技術(shù)、入侵檢測(cè)技術(shù),病毒防護(hù)技術(shù),數(shù)據(jù)加密和認(rèn)證技術(shù)等。在這些安全技術(shù)中，大多數(shù)技術(shù)都是在攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行攻擊時(shí)對(duì)系統(tǒng)進(jìn)行被動(dòng)的防護(hù)。而蜜罐技術(shù)能夠采用主動(dòng)的方式。顧名思義，就是用特有的特性吸引攻擊者，同時(shí)對(duì)攻擊者的多個(gè)攻擊行為進(jìn)行分析并找到有效的對(duì)付方法。（在這里，可能要聲明一下，剛剛也說(shuō)了，“用特有的特性去吸引攻擊者”，可能有人會(huì)認(rèn)為你去吸引攻擊者，這是不是一種自找麻煩呢，但是，我想，如果攻擊者不對(duì)你進(jìn)行攻擊的話，你又怎么能吸引他呢？換一種說(shuō)話，可能就叫誘敵進(jìn)一步了）。3.蜜罐的概念在這里，我們首先就提出蜜罐的概念。美國(guó)L．Spizner是一種出名的蜜罐技術(shù)專家。他曾對(duì)蜜罐做了這樣的一種定義：蜜罐是一種資源，它的價(jià)值是被攻擊或攻陷。這就意味著蜜罐是用來(lái)被探測(cè)、被攻擊甚至最后被攻陷的，蜜罐不會(huì)修補(bǔ)任何東西，這樣就為使用者提供了額外的、有價(jià)值的信息。蜜罐不會(huì)直接提高計(jì)算機(jī)網(wǎng)絡(luò)安全，但是它卻是其它安全方略所不可替代的一種主動(dòng)防御技術(shù)。具體的來(lái)講，蜜罐系統(tǒng)最為重要的功效是對(duì)系統(tǒng)中全部操作和行為進(jìn)行監(jiān)視和統(tǒng)計(jì)，能夠網(wǎng)絡(luò)安全專家通過(guò)精心的偽裝，使得攻擊者在進(jìn)入到目的系統(tǒng)后仍不懂得自己全部的行為已經(jīng)處在系統(tǒng)的監(jiān)視下。為了吸引攻擊者，普通在蜜罐系統(tǒng)上留下某些安全后門以吸引攻擊者上鉤，或者放置某些網(wǎng)絡(luò)攻擊者但愿得到的敏感信息，固然這些信息都是虛假的信息。另外某些蜜罐系統(tǒng)對(duì)攻擊者的聊天內(nèi)容進(jìn)行統(tǒng)計(jì)，管理員通過(guò)研究和分析這些統(tǒng)計(jì)，能夠得到攻擊者采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息，還能對(duì)攻擊者的活動(dòng)范疇以及下一種攻擊目的進(jìn)行理解。同時(shí)在某種程度上，這些信息將會(huì)成為對(duì)攻擊者進(jìn)行起訴的證據(jù)。但是，它僅僅是一種對(duì)其它系統(tǒng)和應(yīng)用的仿真，能夠創(chuàng)立一種監(jiān)禁環(huán)境將攻擊者困在其中，還能夠是一種原則的產(chǎn)品系統(tǒng)。無(wú)論使用者如何建立和使用蜜罐，只有它受到攻擊,它的作用才干發(fā)揮出來(lái)。4.蜜罐的具體分類和體現(xiàn)的安全價(jià)值自從計(jì)算機(jī)初次互連以來(lái)，研究人員和安全專家就始終使用著多個(gè)各樣的蜜罐工具，根據(jù)不同的原則能夠?qū)γ酃藜夹g(shù)進(jìn)行不同的分類，前面已經(jīng)提到，使用蜜罐技術(shù)是基于安全價(jià)值上的考慮。但是，能夠必定的就是，蜜罐技術(shù)并不會(huì)替代其它安全工具，例如防火墻、系統(tǒng)偵聽(tīng)等。這里我也就安全方面的價(jià)值來(lái)對(duì)蜜罐技術(shù)進(jìn)行探討?！锔鶕?jù)設(shè)計(jì)的最后目的不同我們能夠?qū)⒚酃薹譃楫a(chǎn)品型蜜罐和研究型蜜罐兩類。①產(chǎn)品型蜜罐普通運(yùn)用于商業(yè)組織的網(wǎng)絡(luò)中。它的目的是減輕組織將受到的攻擊的威脅，蜜罐加強(qiáng)了受保護(hù)組織的安全方法。他們所做的工作就是檢測(cè)并且對(duì)付惡意的攻擊者。⑴這類蜜罐在防護(hù)中所做的奉獻(xiàn)極少，蜜罐不會(huì)將那些試圖攻擊的入侵者拒之門外，由于蜜罐設(shè)計(jì)的初衷就是妥協(xié)，因此它不會(huì)將入侵者回絕在系統(tǒng)之外，事實(shí)上，蜜罐是但愿有人闖進(jìn)系統(tǒng)，從而進(jìn)行各項(xiàng)統(tǒng)計(jì)和分析工作。⑵即使蜜罐的防護(hù)功效很弱，但是它卻含有很強(qiáng)的檢測(cè)功效，對(duì)于許多組織而言，想要從大量的系統(tǒng)日志中檢測(cè)出可疑的行為是非常困難的。即使，有入侵檢測(cè)系統(tǒng)（IDS）的存在，但是，IDS發(fā)生的誤報(bào)和漏報(bào)，讓系統(tǒng)管理員疲于解決多個(gè)警告和誤報(bào)。而蜜罐的作用體現(xiàn)在誤報(bào)率遠(yuǎn)遠(yuǎn)低于大部分IDS工具，也務(wù)須當(dāng)心特性數(shù)據(jù)庫(kù)的更新和檢測(cè)引擎的修改。由于蜜罐沒(méi)有任何有效行為，從原理上來(lái)講，任何連接到蜜罐的連接都應(yīng)當(dāng)是偵聽(tīng)、掃描或者攻擊的一種，這樣就能夠極大的減低誤報(bào)率和漏報(bào)率，從而簡(jiǎn)化檢測(cè)的過(guò)程。從某種意義上來(lái)講，蜜罐已經(jīng)成為一種越來(lái)越復(fù)雜的安全檢測(cè)工具了。⑶如果組織內(nèi)的系統(tǒng)已經(jīng)被入侵的話，那些發(fā)生事故的系統(tǒng)不能進(jìn)行脫機(jī)工作，這樣的話，將造成系統(tǒng)所提供的全部產(chǎn)品服務(wù)都將被停止，同時(shí)，系統(tǒng)管理員也不能進(jìn)行適宜的鑒定和分析，而蜜罐能夠?qū)θ肭诌M(jìn)行響應(yīng)，它提供了一種含有低數(shù)據(jù)污染的系統(tǒng)和犧牲系統(tǒng)能夠隨時(shí)進(jìn)行脫機(jī)工作。此時(shí)，系統(tǒng)管理員將能夠?qū)γ摍C(jī)的系統(tǒng)進(jìn)行分析，并且把分析的成果和經(jīng)驗(yàn)運(yùn)用于后來(lái)的系統(tǒng)中。②研究型蜜罐專門以研究和獲取攻擊信息為目的而設(shè)計(jì)。這類蜜罐并沒(méi)有增強(qiáng)特定組織的安全性，恰恰相反，蜜罐要做的是讓研究組織面對(duì)各類網(wǎng)絡(luò)威脅，并尋找能夠?qū)Ω哆@些威脅更加好的方式，它們所要進(jìn)行的工作就是收集惡意攻擊者的信息。它普通運(yùn)用于軍隊(duì)，安全研究組織?！锔鶕?jù)蜜罐與攻擊者之間進(jìn)行的交互，能夠分為3類：低交互蜜罐，中交互蜜罐和高交互蜜罐，同時(shí)這也體現(xiàn)了蜜罐發(fā)展的3個(gè)過(guò)程。①低交互蜜罐最大的特點(diǎn)是模擬。蜜罐為攻擊者展示的全部攻擊弱點(diǎn)和攻擊對(duì)象都不是真正的產(chǎn)品系統(tǒng)，而是對(duì)多個(gè)系統(tǒng)及其提供的服務(wù)的模擬。由于它的服務(wù)都是模擬的行為，因此蜜罐能夠獲得的信息非常有限，只能對(duì)攻擊者進(jìn)行簡(jiǎn)樸的應(yīng)答，它是最安全的蜜罐類型。②中交互是對(duì)真正的操作系統(tǒng)的多個(gè)行為的模擬，它提供了更多的交互信息，同時(shí)也能夠從攻擊者的行為中獲得更多的信息。在這個(gè)模擬行為的系統(tǒng)中，蜜罐能夠看起來(lái)和一種真正的操作系統(tǒng)沒(méi)有區(qū)別。它們是真正系統(tǒng)還要誘人的攻擊目的。③高交互蜜罐含有一種真實(shí)的操作系統(tǒng)，它的優(yōu)點(diǎn)體現(xiàn)在對(duì)攻擊者提供真實(shí)的系統(tǒng)，當(dāng)攻擊者獲得ROOT權(quán)限后，受系統(tǒng)，數(shù)據(jù)真實(shí)性的困惑，他的更多活動(dòng)和行為將被統(tǒng)計(jì)下來(lái)。缺點(diǎn)是被入侵的可能性很高，如果整個(gè)高蜜罐被入侵，那么它就會(huì)成為攻擊者下一步攻擊的跳板?，F(xiàn)在在國(guó)內(nèi)外的重要蜜罐產(chǎn)品有DTK，空系統(tǒng)，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREATARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四種。5.蜜罐的配備模式①誘騙服務(wù)（deceptionservice）誘騙服務(wù)是指在特定的IP服務(wù)端口幀聽(tīng)并像應(yīng)用服務(wù)程序那樣對(duì)多個(gè)網(wǎng)絡(luò)請(qǐng)求進(jìn)行應(yīng)答的應(yīng)用程序。DTK就是這樣的一種服務(wù)性產(chǎn)品。DTK吸引攻擊者的詭計(jì)就是可執(zhí)行性，但是它與攻擊者進(jìn)行交互的方式是模仿那些含有可攻擊弱點(diǎn)的系統(tǒng)進(jìn)行的，因此能夠產(chǎn)生的應(yīng)答非常有限。在這個(gè)過(guò)程中對(duì)全部的行為進(jìn)行統(tǒng)計(jì)，同時(shí)提供較為合理的應(yīng)答，并給闖進(jìn)系統(tǒng)的攻擊者帶來(lái)系統(tǒng)并不安全的錯(cuò)覺(jué)。例如，當(dāng)我們將誘騙服務(wù)配備為FTP服務(wù)的模式。當(dāng)攻擊者連接到TCP/21端口的時(shí)候，就會(huì)收到一種由蜜罐發(fā)出的FTP的標(biāo)記。如果攻擊者認(rèn)為誘騙服務(wù)就是他要攻擊的FTP，他就會(huì)采用攻擊FTP服務(wù)的方式進(jìn)入系統(tǒng)。這樣，系統(tǒng)管理員便能夠統(tǒng)計(jì)攻擊的細(xì)節(jié)。②弱化系統(tǒng)（weakenedsystem）只要在外部因特網(wǎng)上有一臺(tái)計(jì)算機(jī)運(yùn)行沒(méi)有打上補(bǔ)丁的微軟Windows或者RedHatLinux即行。這樣的特點(diǎn)是攻擊者更加容易進(jìn)入系統(tǒng)，系統(tǒng)能夠收集有效的攻擊數(shù)據(jù)。由于黑客可能會(huì)設(shè)陷阱，以獲取計(jì)算機(jī)的日志和審查功效，需要運(yùn)行其它額外統(tǒng)計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)日志統(tǒng)計(jì)的異地存儲(chǔ)和備份。它的缺點(diǎn)是“高維護(hù)低收益”。由于，獲取已知的攻擊行為是毫無(wú)意義的。③強(qiáng)化系統(tǒng)（hardenedsystem）強(qiáng)化系統(tǒng)同弱化系統(tǒng)同樣，提供一種真實(shí)的環(huán)境。但是此時(shí)的系統(tǒng)已經(jīng)武裝成看似足夠安全的。當(dāng)攻擊者闖進(jìn)時(shí)，蜜罐就開(kāi)始收集信息，它能在最短的時(shí)間內(nèi)收集最多有效數(shù)據(jù)。用這種蜜罐需要系統(tǒng)管理員含有更高的專業(yè)技術(shù)。如果攻擊者含有更高的技術(shù)，那么，他很可能取代管理員對(duì)系統(tǒng)的控制，從而對(duì)其它系統(tǒng)進(jìn)行攻擊。④顧客模式服務(wù)器（usermodeserver）顧客模式服務(wù)器事實(shí)上是一種顧客進(jìn)程，它運(yùn)行在主機(jī)上，并且模擬成一種真實(shí)的服務(wù)器。在真實(shí)主機(jī)中，每個(gè)應(yīng)用程序都當(dāng)作一種含有獨(dú)立IP地址的操作系統(tǒng)和服務(wù)的特定是實(shí)例。而顧客模式服務(wù)器這樣一種進(jìn)程就嵌套在主機(jī)操作系統(tǒng)的應(yīng)用程序空間中，當(dāng)INTERNET顧客向顧客模式服務(wù)器的IP地址發(fā)送請(qǐng)求，主機(jī)將接受請(qǐng)求并且轉(zhuǎn)發(fā)到顧客模式服務(wù)器上。（我們用這樣一種圖形來(lái)表達(dá)一下他們之間的關(guān)系）：這種模式的成功與否取決于攻擊者的進(jìn)入程度和被騙程度。它的優(yōu)點(diǎn)體現(xiàn)在系統(tǒng)管理員對(duì)顧客主機(jī)有絕對(duì)的控制權(quán)。即使蜜罐被攻陷，由于顧客模式服務(wù)器是一種顧客進(jìn)程，那么Administrator只要關(guān)閉該進(jìn)程就能夠了。另外就是能夠?qū)IREWALL,IDS集中于同一臺(tái)服務(wù)器上。固然，其局限性是不合用于全部的操作系統(tǒng)。6.蜜罐的信息收集當(dāng)我們察覺(jué)到攻擊者已經(jīng)進(jìn)入蜜罐的時(shí)候，接下來(lái)的任務(wù)就是數(shù)據(jù)的收集了。數(shù)據(jù)收集是設(shè)立蜜罐的另一項(xiàng)技術(shù)挑戰(zhàn)。蜜罐監(jiān)控者只要統(tǒng)計(jì)下進(jìn)出系統(tǒng)的每個(gè)數(shù)據(jù)包，就能夠?qū)诳偷乃魉鶠橐磺宥?。蜜罐本身上面的日志文獻(xiàn)也是較好的數(shù)據(jù)來(lái)源。但日志文獻(xiàn)很容易被攻擊者刪除，因此普通的方法就是讓蜜罐向在同一網(wǎng)絡(luò)上但防御機(jī)制較完善的遠(yuǎn)程系統(tǒng)日志服務(wù)器發(fā)送日志備份。（務(wù)必同時(shí)監(jiān)控日志服務(wù)器。如果攻擊者用新手法闖進(jìn)了服務(wù)器，那么蜜罐無(wú)疑會(huì)證明其價(jià)值。）近年來(lái)，由于黑帽子群體越來(lái)越多地使用加密技術(shù)，數(shù)據(jù)收集任務(wù)的難度大大增強(qiáng)。如今，他們接受了眾多計(jì)算機(jī)安全專業(yè)人士的建議，改而采用SSH等密碼合同，確保網(wǎng)絡(luò)監(jiān)控對(duì)自己的通訊無(wú)能為力。蜜網(wǎng)對(duì)付密碼的計(jì)算就是修改目的計(jì)算機(jī)的操作系統(tǒng)，方便全部敲入的字符、傳輸?shù)奈墨I(xiàn)及其它信息都統(tǒng)計(jì)到另一種監(jiān)控系統(tǒng)的日志里面。由于攻擊者可能會(huì)發(fā)現(xiàn)這類日志，蜜網(wǎng)計(jì)劃采用了一種隱蔽技術(shù)。譬如說(shuō)，把敲入字符隱藏到NetBIOS廣播數(shù)據(jù)包里面。7.蜜罐的實(shí)際例子下面我們以Redhatlinux9.0為平臺(tái)，做一種簡(jiǎn)樸的蜜罐陷阱的配備。我們懂得，黑客一旦獲得root口令，就會(huì)以root身份登錄，這一登錄過(guò)程就是黑客入侵的必經(jīng)之路。其二，黑客也可能先以普通顧客身份登錄，然后用su命令轉(zhuǎn)換成root身份，這又是一條必經(jīng)之路。我們討論如何在下列狀況下設(shè)立陷阱：(1)當(dāng)黑客以root身份登錄時(shí)；(2)當(dāng)黑客用su命令轉(zhuǎn)換成root身份時(shí)；(3)當(dāng)黑客以root身份成功登錄后一段時(shí)間內(nèi)；第一種狀況的陷阱設(shè)立普通狀況下，只要顧客輸入的顧客名和口令對(duì)的，就能順利進(jìn)入系統(tǒng)。如果我們?cè)谶M(jìn)入系統(tǒng)時(shí)設(shè)立了陷阱，并使黑客對(duì)此防不勝防，就會(huì)大大提高入侵的難度系數(shù)。例如，當(dāng)黑客已獲取對(duì)的的root口令，并以root身份登錄時(shí)，我們?cè)诖嗽O(shè)立一種迷魂陣，提示它，你輸入的口令錯(cuò)誤，并讓它重輸顧客名和口令。而其實(shí)，這些提示都是虛假的，只要在某處輸入一種密碼就可通過(guò)。黑客因此就掉入這個(gè)陷阱，不停地輸入root顧客名和口令，卻不停地得到口令錯(cuò)誤的提示，從而使它懷疑所獲口令的對(duì)的性，放棄入侵的企圖。給超級(jí)顧客也就是root顧客設(shè)立陷阱，并不會(huì)給系統(tǒng)帶來(lái)太多的麻煩，由于，擁有root口令的人數(shù)不會(huì)太多，為了系統(tǒng)的安全，稍微增加一點(diǎn)復(fù)雜性也是值得的。這種陷阱的設(shè)立時(shí)很方便的，我們只要在root顧客的.profile中加一段程序就能夠了。我們完全能夠在這段程序中觸發(fā)其它入侵檢測(cè)與預(yù)警控制程序。陷阱程序以下：#root.profileClearEcho“Youhadinputanerrorpassword,pleaseinputagain!”EchoEcho–n“Login:”ReadpIf(“$p”=“123456”)thenClearElseExit第二種狀況的陷阱設(shè)立在諸多狀況下，黑客會(huì)通過(guò)su命令轉(zhuǎn)換成root身份，因此，必須在此設(shè)立陷阱。當(dāng)黑客使用su命令，并輸入對(duì)的的root口令時(shí)，也應(yīng)當(dāng)報(bào)錯(cuò)，以此來(lái)困惑它，使它誤認(rèn)為口令錯(cuò)誤，從而放棄入侵企圖。這種陷阱的設(shè)立也很簡(jiǎn)樸，你能夠在系統(tǒng)的/etc/profile文獻(xiàn)中設(shè)立一種alias，把su命令重新定義成轉(zhuǎn)到普通顧客的狀況就能夠了，例如aliassu=”suuser1”。這樣，當(dāng)使用su時(shí)，系統(tǒng)判斷的是user1的口令，而不是root的口令，固然不能匹配。即使輸入suroot也是錯(cuò)誤的，也就是說(shuō)，從此屏蔽了轉(zhuǎn)向root顧客的可能性。第三種狀況的陷阱設(shè)立如果前兩種設(shè)立都失效了，黑客已經(jīng)成功登錄，就必須啟用登錄成功的陷阱。一旦root顧客登錄，就能夠啟動(dòng)一種計(jì)時(shí)器，正常的root登錄就能停止計(jì)時(shí)，而非法入侵者因不懂得何處有計(jì)時(shí)器，就無(wú)法停止計(jì)時(shí)，等到一種規(guī)定的時(shí)間到，就意味著有黑客入侵，需要觸發(fā)必要的控制程序，如關(guān)機(jī)解決等，以免造成損害，等待系統(tǒng)管理員進(jìn)行善后解決。陷阱程序以下：#.testfiletimes=0while[$times–le30]dosleep1times=$[times+1]donehalt/*30秒時(shí)間到，觸發(fā)入侵檢測(cè)與預(yù)警控制*/將該程序放入root.bashrc中后臺(tái)執(zhí)行：#root.bashrc….Sh.testfile&該程序不能用Ctrl-C終止，系統(tǒng)管理員可用jobs命令檢查到，然后用kill%n將它停止。從上述三種陷阱的設(shè)立，我們能夠看到一種普通的規(guī)律：變化正常的運(yùn)行狀態(tài)，設(shè)立虛假信息，使入侵者落入陷阱，從而觸發(fā)入侵檢測(cè)與預(yù)警控制程序。8.核心技術(shù)設(shè)計(jì)自蜜罐概念誕生之日起，有關(guān)技術(shù)始終在長(zhǎng)足的發(fā)展。到今天為止，蜜罐技術(shù)應(yīng)用的最高度應(yīng)當(dāng)說(shuō)是Honeynet技術(shù)的實(shí)現(xiàn)。9.總結(jié)任何事物的存在都會(huì)有利弊，蜜罐技術(shù)的發(fā)展也是隨著著多個(gè)不同的觀點(diǎn)而不停的成長(zhǎng)的。蜜罐技術(shù)是通過(guò)誘導(dǎo)讓黑客們誤入歧途，消耗他們的精力，為我們加強(qiáng)防備贏得時(shí)間。通過(guò)蜜網(wǎng)讓我們?cè)谑芄舻耐瑫r(shí)懂得誰(shuí)在使壞，目的是什么。同時(shí)也檢查我們的安全方略與否對(duì)的，防線與否牢固，蜜罐的引入使我們與黑客之間同處在互相斗智的平臺(tái)counter-intelligence,而不是到處遭到黑槍的被動(dòng)地位。我們的網(wǎng)絡(luò)并不安全，IDS，F(xiàn)IREWALL，Encryption技術(shù)都有其缺點(diǎn)性，我們期待它們與蜜罐的完美結(jié)合，那將是對(duì)網(wǎng)絡(luò)安全的最佳禮物。我們完全相信，蜜罐技術(shù)必將在網(wǎng)絡(luò)安全中發(fā)揮出極其重要的作用，一場(chǎng)世界上聲勢(shì)浩大的蜜罐技術(shù)行動(dòng)必將到來(lái)黃河科技大學(xué)校園網(wǎng)中蜜罐技術(shù)的研究.com期刊門戶-中國(guó)期刊網(wǎng)-12-16來(lái)源:《中小公司管理與科技》供稿文/蔡麗虹1張韌志2[導(dǎo)讀]摘要：以往校園網(wǎng)中始終使用傳統(tǒng)蜜罐。傳統(tǒng)蜜罐確實(shí)有著不少的優(yōu)點(diǎn)，例如收集數(shù)據(jù)的保真度，不依賴于任何復(fù)雜的檢測(cè)技術(shù)等。然而隨著應(yīng)用的廣泛，傳統(tǒng)蜜罐的缺點(diǎn)也開(kāi)始顯現(xiàn)了出來(lái)。取而代之的是由一組高交互用來(lái)獲取廣泛威脅信息的蜜罐構(gòu)成的蜜網(wǎng)。本文針對(duì)蜜網(wǎng)中蜜罐所面臨的挑戰(zhàn)：捕獲工具隱藏、加密會(huì)話數(shù)據(jù)的捕獲、數(shù)據(jù)傳輸隱蔽通道，給出了具體的解決方案，從而更加好地解決了我校校園網(wǎng)的安全問(wèn)題。摘要：以往校園網(wǎng)中始終使用傳統(tǒng)蜜罐。傳統(tǒng)蜜罐確實(shí)有著不少的優(yōu)點(diǎn)，例如收集數(shù)據(jù)的保真度，不依賴于任何復(fù)雜的檢測(cè)技術(shù)等。然而隨著應(yīng)用的廣泛，傳統(tǒng)蜜罐的缺點(diǎn)也開(kāi)始顯現(xiàn)了出來(lái)。取而代之的是由一組高交互用來(lái)獲取廣泛威脅信息的蜜罐構(gòu)成的蜜網(wǎng)。本文針對(duì)蜜網(wǎng)中蜜罐所面臨的挑戰(zhàn)：捕獲工具隱藏、加密會(huì)話數(shù)據(jù)的捕獲、數(shù)據(jù)傳輸隱蔽通道，給出了具體的解決方案，從而更加好地解決了我校校園網(wǎng)的安全問(wèn)題。

核心詞：蜜罐Linux模塊隱藏加密會(huì)話捕獲隱蔽通道

１引言

蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷。傳統(tǒng)蜜罐有著不少的優(yōu)點(diǎn)，例如收集數(shù)據(jù)的保真度，蜜罐不依賴于任何復(fù)雜的檢測(cè)技術(shù)等，因此減少了漏報(bào)率和誤報(bào)率。使用蜜罐技術(shù)能夠收集到新的攻擊工具和攻擊辦法，而不像現(xiàn)在的大部分入侵檢測(cè)系統(tǒng)只能根據(jù)特性匹配的辦法檢測(cè)到已知的攻擊。但是隨著應(yīng)用的廣泛，傳統(tǒng)蜜罐的缺點(diǎn)也開(kāi)始暴露了出來(lái)，綜合起來(lái)重要有3個(gè)方面：（1）蜜罐技術(shù)只能對(duì)針對(duì)蜜罐的攻擊行為進(jìn)行監(jiān)視和分析，其視圖不像入侵檢測(cè)系統(tǒng)能夠通過(guò)旁路偵聽(tīng)等技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控。（2）蜜罐技術(shù)不能直接防護(hù)有漏洞的信息系統(tǒng)并有可能被攻擊者運(yùn)用帶來(lái)一定的安全風(fēng)險(xiǎn)。（3）攻擊者的活動(dòng)在加密通道上進(jìn)行（IPSec，SSH，SSL，等等）增多，數(shù)據(jù)捕獲后需要耗費(fèi)時(shí)間破譯，這給分析攻擊行為增加了困難。

針對(duì)以上問(wèn)題出現(xiàn)了蜜網(wǎng)技術(shù)。蜜網(wǎng)技術(shù)實(shí)質(zhì)上是一類研究型的高交互蜜罐技術(shù)，與傳統(tǒng)蜜罐技術(shù)的差別在于，蜜網(wǎng)構(gòu)成了一種黑客誘捕網(wǎng)絡(luò)體系架構(gòu)，在這個(gè)架構(gòu)中，能夠包含一種或多個(gè)蜜罐，同時(shí)確保了網(wǎng)絡(luò)的高度可控性，以及提供多個(gè)工具以方便對(duì)攻擊信息的采集和分析。

2蜜網(wǎng)中蜜罐所面臨的挑戰(zhàn)

蜜網(wǎng)是一種體系構(gòu)造，成功地布署一種蜜網(wǎng)環(huán)境，這里有兩個(gè)嚴(yán)格的需求，這也是針對(duì)傳統(tǒng)蜜罐的缺點(diǎn)而提出來(lái)的。這兩個(gè)需求是：數(shù)據(jù)控制和數(shù)據(jù)捕獲。數(shù)據(jù)控制就是限制攻擊者活動(dòng)的機(jī)制，它能夠減少安全風(fēng)險(xiǎn)。數(shù)據(jù)捕獲就是監(jiān)控和統(tǒng)計(jì)全部攻擊者在蜜網(wǎng)內(nèi)部的活動(dòng)，涉及統(tǒng)計(jì)加密會(huì)話中擊鍵，恢復(fù)使用SCP拷貝的文獻(xiàn)，捕獲遠(yuǎn)程系統(tǒng)被統(tǒng)計(jì)的口令，恢復(fù)使用保護(hù)的二進(jìn)制程序的口令等。這些捕獲的數(shù)據(jù)將會(huì)被用于分析，從中學(xué)習(xí)黑客界組員們使用的工具、方略以及他們的動(dòng)機(jī)。這正是蜜罐所要做的工作。

3解決方案

3.1捕獲工具隱藏

3.1.1隱藏模塊。捕獲數(shù)據(jù)的工具是以模塊化的機(jī)制在Linux系統(tǒng)啟動(dòng)后動(dòng)態(tài)地加載到內(nèi)核成為內(nèi)核的一部分進(jìn)行工作的。當(dāng)捕獲程序的模塊被加載到內(nèi)核時(shí)，一種記載已加載模塊信息的安裝模塊鏈表里面就統(tǒng)計(jì)下已加載模塊的信息，顧客能夠通過(guò)內(nèi)存里動(dòng)態(tài)生成的proc文獻(xiàn)系統(tǒng)下的module文獻(xiàn)來(lái)查看到。當(dāng)特權(quán)顧客root調(diào)用/sbin/insmod命令加載模塊時(shí)會(huì)有一種系統(tǒng)調(diào)用sys_create_module，這個(gè)函數(shù)在Linux2.4的源代碼中位于kernel/module.c。它會(huì)將含有新加載的模塊信息的數(shù)據(jù)構(gòu)造structmodule插入到名為moudle_list的模塊鏈表中去。

當(dāng)一種模塊加載時(shí)，它被插入到一種單向鏈表的表頭。黑客們?cè)诠ト朊酃尴到y(tǒng)后，能夠根據(jù)以上存在的漏洞，找出他們認(rèn)為是可疑的蜜罐捕獲模塊并從內(nèi)核卸載模塊，這樣蜜罐也就失去了它的功效。為了達(dá)成隱藏模塊的目的就必須在加載模塊后，將指向該模塊的鏈表指針刪除，這樣通過(guò)遍歷表查找時(shí)就再也無(wú)法找到該模塊了。

3.1.2進(jìn)程隱藏。進(jìn)程是一種隨執(zhí)行過(guò)程不停變化的實(shí)體。在Linux系統(tǒng)運(yùn)行任何一種命令或程序系統(tǒng)時(shí)都會(huì)建立起最少一種進(jìn)程來(lái)執(zhí)行。這樣蜜罐捕獲程序必然會(huì)在系統(tǒng)中運(yùn)行多個(gè)進(jìn)程，運(yùn)用類似于ps這樣查詢進(jìn)程信息的命令便能夠得到全部的進(jìn)程信息，這樣很容易就會(huì)暴露蜜罐的存在。由于在Linux中不存在直接查詢進(jìn)程信息的系統(tǒng)調(diào)用，類似于ps這樣查詢進(jìn)程信息的命令是通過(guò)查詢proc文獻(xiàn)系統(tǒng)來(lái)實(shí)現(xiàn)的。proc文獻(xiàn)系統(tǒng)是一種虛擬的文獻(xiàn)系統(tǒng)，它通過(guò)文獻(xiàn)系統(tǒng)的接口實(shí)現(xiàn)，用于輸出系統(tǒng)運(yùn)行狀態(tài)。它以文獻(xiàn)系統(tǒng)的形式，為操作系統(tǒng)本身和應(yīng)用進(jìn)程之間的通信提供了一種界面，使應(yīng)用程序能夠安全、方便地獲得系統(tǒng)現(xiàn)在的運(yùn)行狀況以及內(nèi)核的內(nèi)部數(shù)據(jù)信息，并能夠修改某些系統(tǒng)的配備信息。由于proc以文獻(xiàn)系統(tǒng)的接口實(shí)現(xiàn)，因此能夠象訪問(wèn)普通文獻(xiàn)同樣訪問(wèn)它，但它只存在于內(nèi)存之中，因此能夠用隱藏文獻(xiàn)的辦法來(lái)隱藏proc文獻(xiàn)系統(tǒng)中的文獻(xiàn)，以達(dá)成隱藏進(jìn)程的目的。

判斷文獻(xiàn)與否屬于proc文獻(xiàn)系統(tǒng)是根據(jù)它只存在于內(nèi)存之中，不存在于任何實(shí)際設(shè)備之上這一特點(diǎn)，因此Linux內(nèi)核分派給它一種特定的主設(shè)備號(hào)0以及一種特定的次設(shè)備號(hào)1，除此之外在外存上沒(méi)有與之對(duì)應(yīng)的i節(jié)點(diǎn)，因此系統(tǒng)也分派給它一種特殊的節(jié)點(diǎn)號(hào)PROC_ROOT_INO（值為1），而設(shè)備上的1號(hào)索引節(jié)點(diǎn)是保存不用的。這樣能夠得出判斷一種文獻(xiàn)與否屬于proc文獻(xiàn)系統(tǒng)的辦法。(1)得到該文獻(xiàn)對(duì)應(yīng)的inode構(gòu)造d_inode；(2)if(d_inode->i_ino==PROC_ROOT_INO.&&!MAJO(d_inode->i_dev)&；MINOR(d_inode->i_dev)==1){該文獻(xiàn)屬于proc文獻(xiàn)系統(tǒng)}。

3.2捕獲加密會(huì)話數(shù)據(jù)

為了觀察入侵者使用加密的會(huì)話，就必須找到破解加密會(huì)話的辦法，但是許多組織已經(jīng)證明這是非常困難的。強(qiáng)攻不行就只能智取，加密的信息如果要使用就必定會(huì)在某些地方不是被加密的，繞過(guò)加密進(jìn)程就能夠捕獲未加密的數(shù)據(jù)。這是解密工作的基本機(jī)制，然后獲得訪問(wèn)未保護(hù)的數(shù)據(jù)。使用二進(jìn)制木馬程序是對(duì)付加密的一種方法。當(dāng)入侵者攻破蜜罐，他可能會(huì)使用如SSH的加密工具來(lái)登陸被攻陷的主機(jī)，登陸的時(shí)候必定要輸入命令，這時(shí)木馬shell程序會(huì)統(tǒng)計(jì)他們的動(dòng)作。但是二進(jìn)制木馬程序隱蔽性不高，并且入侵者可能會(huì)安裝他們自己的二進(jìn)制程序。

從操作系統(tǒng)內(nèi)核訪問(wèn)數(shù)據(jù)將是一種較好的捕獲辦法。不管入侵者使用什么二進(jìn)制程序，都能夠從內(nèi)核捕獲數(shù)據(jù)并且能夠統(tǒng)計(jì)它們的行為。并且，由于顧客空間和內(nèi)核空間是分開(kāi)的，因此在技術(shù)上還能夠?qū)崿F(xiàn)對(duì)全部涉及root在內(nèi)的顧客隱藏自己的動(dòng)作。圖中左邊的數(shù)據(jù)捕獲機(jī)制闡明了其工作的原理。

數(shù)據(jù)捕獲是由內(nèi)核模塊來(lái)完畢的，因此要使用這個(gè)模塊獲得蜜罐機(jī)操作系統(tǒng)內(nèi)核空間的訪問(wèn)，從而捕獲全部read()和write()的數(shù)據(jù)。捕獲模塊通過(guò)替代系統(tǒng)調(diào)用表的read()和write()函數(shù)來(lái)實(shí)現(xiàn)這個(gè)功效，這個(gè)替代的新函數(shù)只是簡(jiǎn)樸的調(diào)用老read()和write()函數(shù)，并且把內(nèi)容拷貝到一種數(shù)據(jù)包緩存。

3.3數(shù)據(jù)傳輸隱蔽通道的建立

當(dāng)蜜罐捕獲到數(shù)據(jù)后，那么它需要在入侵者沒(méi)有察覺(jué)的狀況下把數(shù)據(jù)發(fā)送到蜜網(wǎng)網(wǎng)關(guān)服務(wù)端。蜜罐普通都是布置在局域網(wǎng)內(nèi)，如果捕獲模塊只是簡(jiǎn)樸使用UDP流來(lái)給服務(wù)端發(fā)送數(shù)據(jù)，入侵者只需監(jiān)聽(tīng)網(wǎng)絡(luò)上的數(shù)據(jù)傳輸就能夠判斷與否有蜜罐系統(tǒng)的存在了。但是捕獲模塊還是能夠使用UDP來(lái)給服務(wù)端發(fā)送數(shù)據(jù)，只但是它需要修改內(nèi)核使顧客無(wú)法看到這些數(shù)據(jù)包，涉及其它主機(jī)發(fā)送的該類型使用相似配備的數(shù)據(jù)包。當(dāng)捕獲模塊把這些數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)的時(shí)候，操作系統(tǒng)也無(wú)法制止這些數(shù)據(jù)包的傳輸。

如果一種局域網(wǎng)上每個(gè)蜜罐安裝了按照以上辦法改善后的數(shù)據(jù)捕獲模塊，入侵者將不能發(fā)現(xiàn)任何捕獲模塊的數(shù)據(jù)，然而服務(wù)端能夠完全訪問(wèn)這些由蜜罐客戶端捕獲的數(shù)據(jù)。每個(gè)read()或write()調(diào)用請(qǐng)求都會(huì)產(chǎn)生一種或多個(gè)日志數(shù)據(jù)包，每個(gè)數(shù)據(jù)包都包含了一點(diǎn)有關(guān)這個(gè)調(diào)用內(nèi)容的信息和這個(gè)調(diào)用訪問(wèn)的數(shù)據(jù)。每個(gè)包還包含了一種統(tǒng)計(jì)，這個(gè)統(tǒng)計(jì)包含某些產(chǎn)生調(diào)用的進(jìn)程描述、調(diào)用產(chǎn)生的時(shí)間和統(tǒng)計(jì)數(shù)據(jù)的大小。這些包完全由捕獲模塊產(chǎn)生，而不是使用TCP/IP合同棧來(lái)產(chǎn)生或發(fā)送數(shù)據(jù)包，因此系統(tǒng)無(wú)法看到或阻斷這些數(shù)據(jù)包。當(dāng)數(shù)據(jù)包創(chuàng)立