浅谈网络安全中蜜罐技术的应用

ScienceandTechnologyConsultingHerald

IT技术

浅谈网络安全中蜜罐

30072

技术的应用

赵磊

天津大学软件学院

摘要本文通过分析对比保护计算机网络交全的传统防火墙技术和最新发展起来的蜜罐技术认为后者摆脱了前者应对攻击的被动性对各种攻击具有主动应付策略且能结合计算机犯罪取证的形式抵御各种攻击因而具有更广阔的发展前景关键词网络攻击计算机网络安全蜜罐蜜网中图分类号TP393.08文献标识码A文章编号1673-0534(2006)10(a)-0016-02随着计算机网络的普及和发展针对网是网络管理员经过周密布置而设下的黑匣络的各种攻击也呈现泛滥之势美国CERT子看似漏洞百出却尽在掌握之中它收计算机应急响应组统计的安全时间数量以集的入侵数据十分有价值;而后者根本就每年翻番的惊人指数级增长在保护网络安是送给入侵者的礼物即使被入侵也不一定全上传统的方法是利用防火墙firewall和查得到痕迹因此蜜网项目组The各种防病毒软件防火墙防毒软件及其运行HoneynetProject的创始人Lance机制监察入侵活动和内容过滤等已经被大Spitzner给出了对蜜罐的权威定义蜜罐是家熟知然而目前还有一种称为蜜罐一种安全资源其价值在于被扫描攻击和honeypot)的系统则是要让黑客误以为已经攻陷成功侵入网络并且让黑客继续为所欲为2.2蜜罐的功能

目的在于拖延时间以便网络保安系统和人设计良好的蜜罐共有以下几种主要员能够把黑客抓住它与防火墙技术有一功能一是阻止功能它把一个网络设计成定的区别本文试就蜜罐技术及其在网络可以监视和捕获他人入侵的智能化网络二安全中的应用作一探讨

是通过提供给攻击者基于伪造数据的蜜罐可以转移攻击者的视线使攻击者对1传统防火墙技术的局限性

真正系统的危害性降到最低三是不仅可以防火墙是网络上使用最多的安全设备发现外部的攻击者也可以提供内部攻击者是网络安全的重要基石但防火墙不是万能攻击方式的特征值四是可以通过蜜罐的据不完全统计防火墙的攻破率已经超提供的数据了解攻击者的技术手段以更过47传统防火墙技术有一定的局限性和好地保护系统安全

脆弱性一是防火墙不能解决来自内部网络设计蜜罐的初衷就是让黑客入侵借此的攻击和安全问题二是防火墙不能防止策收集证据同时隐藏真实的服务器地址因略配置不当或错误配置引起的安全威胁三此我们要求一台合格的蜜罐拥有这些功能:发是防火墙不能防止利用标准网络协议中的缺现攻击产生警告强大的记录能力欺陷进行的攻击四是防火墙不能防止利用服骗协助调查另外一个功能由管理员去完务器系统漏洞所进行的攻击五是防火墙不成那就是在必要时候根据蜜罐收集的证据能防止数据驱动式的攻击六是防火墙的操来起诉入侵者

作系统防火墙软件不能保证没有漏洞七2.3蜜罐的系统结构

是防火墙无法解决TCP/IP等协议的漏洞蜜罐是某一运行环境下的特殊软八是防火墙无法区分恶意命令还是善意命件它主要由入侵检测入侵重定向模令恶意流量还是善意流量有很多命令对拟脆弱性行为记录数据融合行为分管理员而言是一项合法命令而在黑客手析行为控制等7个模块构成其中入侵重里就可能是一个危险的命令

定向模拟脆弱性是蜜罐系统与普通防火墙的最大区别入侵重定向模块把入侵2

蜜罐技术概述

行为引向经脆弱性模拟的蜜罐系统由2.1

蜜罐的定义

行为记录模块对入侵行为进行详细记录并一个honeypnt就是一个设计用来经数据融合后给行为分析模块提供一个高观测黑客如何探测并最终入侵系统的系统效简洁的数据源供其分析在整个过程中它意味着包含一些并不威胁本部门机密的数行为控制模块对入侵行为进行控制防止入据或应用程序而同时对于黑客来说又共有很侵者在系统内进行破坏同时也防止入侵者大诱惑力的这样的一个系统也就是放置在利用该系统作为跳板对其他网络系统进行攻你网络上的一台计算机表面看来像一台普击造成所谓的下游责任downstream通的机器但同时通过一些特殊配置来引诱liability)

潜在的黑客并捕获它们的踪迹

2.4蜜罐系统的实现

我们要弄清楚一台蜜罐和一台没有任何实际应用的蜜罐系统是多样的最防范措施的计算机的区别虽然这两者都有简单的蜜罐就是在外网上与internet相可能被入侵破坏但是本质却完全不同蜜罐

连有一台计算机运行没有打上补丁的微软

16科技咨询导报ScienceandTechnologyConsultingHerald

Windows或者RedHatLinux然后在计算机和internet连接之间安置一套网络监控系统以便悄悄记录下进出计算机的所有流量监视各种攻击行为

同时一些安全扫描安全分析工具和一些黑客软件也共有蜜罐的功能如TigerSuite和NetCat其中NetCat被誉为网络安全界的瑞士军刀是一个简单而有用的工具透过使用TCP或UDP协议的网络连接去读写数据它被设计成一个稳定的后门工具能够直接由其他程序和脚本轻松驱动因而被黑客广泛使用但同时它也可以作为蜜罐使用其原理是NetCat可以帮助我们在一些端门上绑定服务这样就允许我们在LinxuNTFreeBSD上建立一些如SendmailDNSTelnetFTP甚至是WebServer等的虚假服务

简单地使用以下语句就可以不停地监听某一个端门直到ctrl+c为止同时把结果输出到日志文件中c:log.txt

ncLp80>c:log.txt2.5专业蜜罐软件

专业蜜罐软件有很多种典型的有CyberCopSting和DTKDeceptionToolKit其特点是运行在某一平台上但可以模拟多个系统多种服务并能提供一些典型的漏洞也就是说这些软件可以进行各种脆弱性模拟给攻击者一个充满陷阱的蜜罐

CyberCopSting是由网络联盟技术有限公司NetworkAssociates推出的该软件运行在NT系统下可以模拟LinuxSolarisCiscoIOSNT等多种操作系统并提供了一些典型的漏洞来研究攻击者的行为

DTKDeceptionToolKit可在多种Lnix系统上运行DTK目前可以真正模拟的系统有10种左右而且它可模拟很多服务更确切地说我们可以称它为一个状态机功能非常强大需要C和Perl编译器去编译运行缺点是在构建时非常麻烦比如说在编译时会让你选择自己的操作系统选择你所要模仿的操作系统

3蜜罐技术的发展

蜜罐技术虽然诞生时间不长但发展极快已经由蜜罐发展到蜜网

IT技术

honeynethoneynet是honeypot技术的延伸和发展也可以认为是蜜罐的一种形式

蜜网是指采用了另外的技术的蜜罐能以合理方式记录下黑客的行动同时尽量减小或排除对internet上其他系统造成的风险蜜网的系统结构一般是在其前端放置一个防火墙所有的信息包将通过防火墙进来防火墙能够对所有从我们的honeypot机器往外的每一个连接进行追踪当该honeypot外发的数量达到我们顶先设定的上限时防火墙便会阻塞那些信息包这样可以在最大程度保证我们的机器不被滥用的前提下允许入侵者做尽可能多的他们想做的事这样做就避免了我们的honeypot成为入侵者扫描探测及攻击的系统

防火墙与honeynet之间还放置了一个路由器之所以放置它有下面两个原因首先路由器的存在使防火墙变得不可见了当我们的honeypot被攻击后入侵者可能会察看从这里往外的路由这么放置更像一个真实的网络环境没人会注意到在路由器的外面还有一台防火墙其次路由器也可以对访问控制进行一些限制它可以作为对防火墙的一个很好的补充以确保honeypot不会被用来攻击陷阱网络之外的机器

蜜罐领域最让人兴奋的发展成果之一

(上接15页)

准备工作3:建立用户页面validation.jsp页面输入框的定义是用户名:

validate()实现如下functionvalidate(){createXMLHttpRequest();vardate=document.getElementById(\"username\");

varurl=\"<%=request.getContextPath()%>/ValidationServlet?username=\"

+escape(date.value);xmlHttp.open(\"GET\",url,true);xmlHttp.onreadystatechange=callback;

}

在输入框下面有一个