GF蜜罐Word文档下载推荐.docx
《GF蜜罐Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《GF蜜罐Word文档下载推荐.docx(15页珍藏版)》请在冰点文库上搜索。
提醒:
honeyd、farpd命令使用需要加上当前网卡-ieth2,根据实际情况添加。
二.实验目的
1、了解蜜罐的概念
2、利用蜜罐解决实际问题
三.需求分析
众所周知,随着互联网规模的迅猛发展,互联网安全面临着巨大的考验。
每天发生在互联网上的攻击事件数不胜数。
导致互联网目前如此糟糕的安全状况的原因有很多,一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷,同时,大部分的网络使用者还未真正拥有安全意识,也还很少进行安全加强工作,如及时打补丁、安装防火墙和其他安全工具等,从而导致了目前的互联网具有巨大的安全隐患。
另一方面,随着网络攻击技术的发展,特别是分布式拒绝服务攻击、跳板(Step-stone)攻击及互联网蠕虫的盛行,互联网上的每一台主机都已经成为攻击的目标。
此外,黑客社团也不像互联网早期那么纯洁,不再仅仅为了兴趣和炫耀能力而出动,而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。
同时攻击者也不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具(如PacketStorm网站)。
而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。
特别值得注意的一个趋势是多种攻击脚本和工具的融合,如大量的内核后门工具包(Rootkit),及能够集成多种攻击脚本并提供易用接口的攻击框架(如在2004年DEFCON黑客大会中引起广泛关注的Metasploit)的出现。
针对如此严重的安全威胁,而网络安全人员和管理员却仍然对黑客社团所知甚少。
当网络被攻陷破坏后,甚至还不知道幕后黑手是谁。
对他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。
“知己知彼,百战不殆”,安全防护工作者,无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员,都需要首先对黑客社团有深入的了解,包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。
只有在充分了解对手的前提下,安全技术人员和网络管理员才能更有效地维护互联网安全。
而蜜罐和蜜网技术为捕获黑客的攻击行为,并深入分析黑客提供了基础。
四.技术分析
1.蜜罐
蜜罐(Honeypot)是一种在互联网上运行的计算机系统,它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。
蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。
由于蜜罐并没有向外界提供真正有价值的服务,因此所有连接的尝试都将视为是可疑的。
蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。
这样,最初的攻击目标得到了保护,而真正有价值的内容没有受到侵犯。
此外,蜜罐也可以为追踪攻击者提供有力的线索,为起诉攻击者搜集有力的证据。
简单地说,蜜罐就是诱捕攻击者的一个陷阱。
“蜜罐”(honeypot)这一概念最初出现在1990年出版的一本小说《TheCuckoo’sEgg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。
“蜜网项目组”(TheHoneynetProject)的创始人LanceSpitzner给出了对蜜罐的权威定义:
蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。
这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷,而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。
在一般情况下,蜜罐(honeypot)模拟某些常见的漏洞,模拟其它操作系统的特征或者在某个系统上做了一些设置,使其成为一台“牢笼”主机,来诱骗入侵者,目的是增加黑客攻击系统所花的开销,使攻击者劳而无功,从而降低黑客攻击系统的兴趣,减少重要系统被攻击的危险。
从1998年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,如FredCohen所开发的DTK(欺骗工具包)、NielsProvos开发的Honeyd等,同时也出现了像KFSensor、Specter等一些商业蜜罐产品。
这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。
虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。
但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题,从2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。
蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类,产品型蜜罐的目的在于为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。
一般产品型蜜罐较容易部署,而且不需要管理员投入大量的工作。
较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTraq等一系列的商业产品。
研究型蜜罐则是专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,对黑客攻击进行追踪和分析,能够捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。
研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作,具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术。
蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐,交互度反应了黑客在蜜罐上进行攻击活动的自由度。
低交互蜜罐一般仅仅模拟操作系统和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动较为有限,因此通过低交互蜜罐能够收集的信息也比较有限,同时由于低交互蜜罐通常是模拟的虚拟蜜罐,或多或少存在着一些容易被黑客所识别的指纹(Fingerprinting)信息。
产品型蜜罐一般属于低交互蜜罐。
高交互蜜罐则完全提供真实的操作系统和网络服务,没有任何的模拟,从黑客角度上看,高交互蜜罐完全是其垂涎已久的“活靶子”,因此在高交互蜜罐中,我们能够获得许多黑客攻击的信息。
高交互蜜罐在提升黑客活动自由度的同时,自然地加大了部署和维护的复杂度及风险的扩大。
研究型蜜罐一般都属于高交互蜜罐,也有部分蜜罐产品,如ManTrap,属于高交互蜜罐。
蜜罐技术的优点:
(1)收集数据的保真度,由于蜜罐不提供任何实际的作用,因此其收集到的数据很少,同时收集到的数据很大可能就是由于黑客攻击造成的,蜜罐不依赖于任何复杂的检测技术等,因此减少了漏报率和误报率。
(2)使用蜜罐技术能够收集到新的攻击工具和攻击方法,而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。
(3)蜜罐技术不需要强大的资源支持,可以使用一些低成本的设备构建蜜罐,不需要大量的资金投入。
(4)相对入侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。
蜜罐技术的缺陷:
(1)需要较多的时间和精力投入。
(2)蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限,不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。
(3)蜜罐技术不能直接防护有漏洞的信息系统。
(4)部署蜜罐会带来一定的安全风险。
部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为跳板从而对第三方发起攻击。
一旦黑客识别出蜜罐后,他将可能通知黑客社团,从而避开蜜罐,甚至他会向蜜罐提供错误和虚假的数据,从而误导安全防护和研究人员。
防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹,并使得蜜罐与真实的漏洞主机毫无差异。
蜜罐隐藏技术和黑客对蜜罐的识别技术(Anti-Honeypot)之间相当于一个博弈问题,总是在相互竞争中共同发展。
另外,蜜罐技术的初衷即是让黑客攻破蜜罐并获得蜜罐的控制权限,并跟踪其攻破蜜罐、在蜜罐潜伏等攻击行为,但技术人员必须防止黑客利用蜜罐作为跳板对第三方网络发起攻击。
为了确保黑客活动不对外构成威胁,必须引入多个层次的数据控制措施,必要的时候需要研究人员的人工干预。
2.蜜网
蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又可成为诱捕网络。
其主要目的是收集黑客的攻击信息,但与传统蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,我们可以包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。
“蜜网项目组”是一个非赢利性的研究组织,其目标为学习黑客社团所使用的工具、战术和动机,并将这些学习到的信息共享给安全防护人员。
为了联合和协调各国的蜜网研究组织共同对黑客社团的攻击进行追踪和学习,2002年1月成立了“蜜网研究联盟”(HoneynetResearchAlliance),到2002年12月为止,该联盟已经拥有了10个来自不同国家的研究组织。
联盟目前的执行委员会主席为来自Sun公司的LanceSpitzner。
“蜜网项目组”目前的规划分为四个阶段:
第一个阶段即1999年-2001年,主要针对蜜网技术进行一些原理证明性(ProofofConcept)的实验,提出了第一代蜜网架构;
第二阶段从2001年到2003年,对蜜网技术进行发展,并提出了第二代蜜网架构,开发了其中的关键工具-HoneyWall和Sebek;
第三阶段从2003年到2004年,其任务着重于将所有相关的数据控制和数据捕获工具集成到一张自启动的光盘中,使得比较容易地部署第二代蜜网,并规范化所搜集到的攻击信息格式;
第四阶段从2004年到2005年,主要目标为将各个部署的蜜网项目所采集到的黑客攻击信息汇总到一个中央管理系统中,并提供容易使用的人机交互界面,使得研究人员能够比较容易地分析黑客攻击信息,并从中获得一些价值。
一个蜜网是由许多用来与攻击者进行交互的蜜罐组成的网络,其中的这些靶子(蜜网内的蜜罐)可以是你想提供的任何类型的系统,服务或是信息。
此外,虚拟蜜网通过应用虚拟操作系统软件(如VMWare和UserModeLinux等)使得我们可以在单一的主机上实现整个蜜网的体系架构。
虚拟蜜网的引入使得架设蜜网的代价大幅降低,也较容易部署和管理,但同时也带来了更大的风险,黑客有可能识别出虚拟操作系统软件的指纹,也可能攻破虚拟操作系统软件从而获得对整个虚拟蜜网的控制权。
蜜网有着三大核心需求:
(1)数据控制;
(2)数据捕获;
(3)数据分析。
通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全,以减轻蜜网架设的风险;
数据捕获技术能够检测并审计黑客攻击的所有行为数据;
而数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。
以下结合“蜜网项目组”及其推出的第二代蜜网技术方案对蜜网的核心需求进行分析。
第二代蜜网方案的整体架构如下图16-1-1所示,其中最为关键的部件为称为HoneyWall的蜜网网关,包括三个网络接口,eth0接入外网,eth1连接蜜网,而eth2作为一个秘密通道,连接到一个监控网络。
HoneyWall是一个对黑客不可见的链路层桥接设备,作为蜜网与其他网络的唯一连接点,所有流入流出蜜网的网络流量都将通过HoneyWall,并受其控制和审计,同时由于HoneyWall是一个工作在链路层的桥接设备,不会对网络数据包进行TTL递减和网络路由,也不会提供本身的MAC地址,因此对黑客而言,HoneyWall是完全不可见的,因此黑客不会识别出其所攻击的网络是一个蜜网。
HoneyWall实现了蜜网的第一大核心需求-数据控制,如下图16-1-2所示,HoneyWall对流入的网络包不进行任何限制,使得黑客能攻入蜜网,但对黑客使用蜜网对外发起的跳板攻击进行严格控制,控制的方法包括攻击包抑制和对外连接数限制两种手段。
图1蜜网方案的整体架构
图2HoneyWall的数据控制
3.常见的网络诱骗工具及产品
DTK:
DTK(DeceptionToolkit)是在1997年面世的首个开放源码的蜜罐技术,它组合了Perl手稿程序和C源码。
DTK旨在使运行DTK的系统在攻击者看来好像存在许多已知的缺陷。
DTK监听输入并做出似乎真的存在缺陷的反应。
在这个过程中它记录所有动作,提供合情合理的回答,使攻击者有系统不安全的错觉。
DTK的主要目的是引诱攻击者,被用来提供足以能够欺骗当前市面上的自动攻击工具的虚构服务,使其相信抵御者就是他们所伪装的那个样子。
但是,DTK并不是作为信息系统欺骗的最终目标来设计的。
它只是一个产生欺骗的简单工具,来迷惑单纯化的攻击,击败自动攻击系统,向有利于防御者的方向改变攻防工作量的平衡。
DTK实际上就是一个有穷状态机的集合,它能虚拟任何服务,并可方便地利用其中的功能直接模仿许多服务程序。
它监听输入并做出似乎真的存在缺陷的反应。
在这个过程中它记录所有动作,提供合情合理的回答,使攻击者有系统不安全的错觉。
在设计产生欺骗的状态机时可以很容易的揭示攻击者恶意攻击的程度和意图。
DTK有效的增加了攻击者的工作量。
减少“噪音”水平的攻击,使我们能够更清晰的看到更有水平的攻击,并追捕它们。
DTK欺骗是可编程的,但是它受限于要在攻击者的输入的基础上做出反应给出输出,来模仿易受攻击的系统的行为,这使得它在可以提供的deception种类的丰富程度上受到很大限制。
另外,很容易区分真的计算机环境和通过由少数状态组成的状态机所实现的有限能力,所以DTK对大多数自动攻击工具是适用的,但很容易被一个真正的攻击者区分出来。
Honeyd。
Honeyd是一个很酷很小巧的用于创建虚拟的网络上的主机的后台程序,这些虚拟主机可以配置使得它们提供任意的服务,利用个性处理可以使得这些主机显示为在某个特定版本的操作系统上运行。
Honeyd是GNUGeneralPublicLicense下发布的开源软件,目前也有一些商业公司在使用这个软件。
其最初面向的是类linux操作系统,可以运行在*BSD系统,Solaris,GNU/Linux等操作系统上,由NielsProvos开发和维护。
最新版本是2004年4月19日发布的Honeyd0.8b。
应用于Windows系统的Honeyd程序也已经出现,其开发者为MikeDavis.最新版本为windowsportsforHoneyd0.5。
Honeyd能让一台主机在一个模拟的局域网环境中配有多个地址(曾测试过的最多可以达到65536个),外界的主机可以对虚似的主机进行ping、traceroute等网络操作,虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟,也可以为真实主机的服务提供代理。
Honeyd可以通过提供威胁检测与评估机制来提高计算机系统的安全性,也可以通过将真实系统隐藏在虚拟系统中来阻止外来的攻击者。
因为Honeyd只能进行网络级的模拟,不能提供真实的交互环境,能获取的有价值的攻击者的信息比较有限,所以Honeyd所模拟的蜜罐系统常常是作为真实应用的网络中转移攻击者目标的设施,或者是与其他高交互的蜜罐系统一起部署,组成功能强大但花费又相对较少的网络攻击信息收集系统。
Honeynet。
Honeynet是一种高交互的Honeypot,它不是一个单一的产品,而是一个被设计让攻击者攻击的有机的网络架构。
它的目的是捕获黑客的行为并记录相关信息,并方便部署者对这些记录进行分析,以获取黑客的攻击方法,了解黑客的攻击工具,洞悉黑客的攻击心理,通过了解、学习黑客的攻击技术,反过来对网络做出更好的保护。
Honeynet是一种Honeypot,但它跟普通Honeypot有着很大的区别:
普通的Honeypot都是一台机器,但是Honeynet则是一个有机网络,一般来说由数台电脑组成(除了在一台电脑上通过虚拟机来模拟数台电脑的情况),并配以各种必要的软、硬件,使它看起来象是一个真实的产品系统网络,这个“产品系统”网络包括各种服务和操作系统,这里的服务可以包括Http、FTP、Mail等服务,而操作系统则可以包括Windows、Linux、BSD、Solaries等流行系统。
相对于DTK,Honeyd等低交互性的Honeypot来说的,Honeynet具有高交互性。
DTK、Honeyd等低交互性Honeypot通过模拟服务和操作系统,而不真正的装上真实的服务和操作系统来捕获黑客行动记录,而Honeynet则通过各种真实的服务和操作系统来提供“服务”以获取黑客行动记录,黑客面对的是一个完整的“产品系统”网络,而不是虚拟的网络。
在这个网络内安装有各种数据控制工具,把黑客的行为控制在允许的范围内,但又保证不让黑客知道他的行为已经受到监视和约束,但是由于这个网络采用了严密的数据控制,黑客忙了半天,用尽了他掌握的各种技术、工具,不仅没能达到攻击目标,却让部署者轻松的获取了这些信息。
一旦黑客的行为的后果超出了部署者可承受的范围之后,可以马上中断联接,由于这个网络不是一个真实的产品系统网络,即使Honeynet受到破坏,部署者最大的损失至多是重装系统而已。
其他各种安全防御措施,如IDS、防火墙,部署者要么需要在大量的日志中搜索有价值的少数信息,要么只有在系统遭到破坏后才能知道系统已经遭到黑客入侵。
而由于Honeynet在正常情况下的任何数据包都是异常数据包,所以它记录的内容相对于IDS非常少。
通过日志记录,Honeynet可以把部署者感兴趣的事件以各种方便的途径发送给部署者,可以让部署者不需要24小时全天候的守候。
五.实验步骤及结果
六.问题答疑
1.HoneyPot的优点与缺点有哪些?
蜜罐技术的优点:
蜜罐技术的缺陷:
2.如何检测并防范网络嗅探?
答:
1.检测网络嗅探的方法
(1).检查网络接口卡是否为混杂模式(PROMISC)。
(2).监视DNSReverseLookups。
(3).发送一个带有网络中不存在的MAC地址的广播包到网络中的所有主机。
(4).小心监控网络中各种交换机和路由器的运行情况,来及时发现这些网络设备出现的某种不正常的现象。
(5).使用Honeypot(蜜罐)技术来设计一个陷阱,以此来诱骗攻击者对它进行嗅探,并通过它来找到嗅探的源头。
(6).小心监视你网络中的主机,经常查看主机中的硬盘空间是否增长过快,CPU资源是否消耗过多,系统响应速度是否变慢,以及系统是否经常莫名其妙地断网等等。
(7).在Linux发行版本中运行ARPWatch来监控网络中是否有新的MAC地址加入。
(8).无线局域网是以广播的方式来转发数据包的。
2.防御网络嗅探的方法
1).在以太网中防御网络嗅探的方法
(1).尽量在网络中使用交换机和路由器。
(2).对在网络中传输的数据进行加密。
(3).对于E-mail,你也应该对它的内容进行加密后再传输。
(4).划分VLAN(虚拟局域网)。
(5).在你的网络中布置入侵检测系统(IDS)或入侵防御系统(IPS),以网络防火墙等安全设备。
(6).你应当强化你的安全策略,加强员工安全培训和管理工作。
(7).在内部关键位置布置防火墙和IDS,防止来自内部的嗅探。
(8).如果要在你的网络中布置网络分析器,应当保证你的网络分析器本身的安全,最好事先制定一个网络分析策略来规范使用。
2)在无线局域网中防御无线网络嗅探的方法
(1).禁止SSID广播;
(2).对数据进行加密。
你可以在无线访问点(AP)后再连接一个VPN网关,通过VPN强大的数据加密功能来保护无线数据传输;
(3).使用MAC地址过滤,强制访问控制;
(4).使用定向天线;
(5).采取屏蔽无线信号方法,将超出使用范围的无线信号屏蔽得;
(6).使用无线嗅探软件实时监控无线局域网中无线访问点(AP)和无线客户连入情况。
指导教师评语:
实验成绩:
指导(辅导)教师:
升级会员 