（计算机应用技术专业论文）蜜罐系统研究与实现.pdf

南京邮电学院硕士学位论文 摘要 诱骗网络技术是近几年才发展起来的一种主动安全技术。它设置 一个专门让黑客攻击的应用系统，以记录黑客的活动，便于我们了解 黑客的攻击方式和手段，发现潜在的威胁。 论文首先系统地介绍了蜜罐系统及其实现技术，接着详细阐述了 局域网环境下我们所设计开发的蜜罐系统m a g i c n e t ，包括系统的配 置和实现过程，在此基础上给出了在l i n u x 环境下对m a g i c n e t 进行 配置安装和运行管理的软件实现方案，并对该实现方案进行了测试， 最后论文对诱骗网络技术的发展趋势进行了总结和展望。 童塞墼皇兰堕堡主兰垡垦塞一 一二一 a b s t r a c t i nt h ep a s tf e wy e a r s ，t r a pn e t w o r kh a se m e r g e da so n eo ft h e t e c h n i q u e st a k i n gt h ei n i t i a t i v et od e f e n da g a i n s th a c k e r s i tp r e s e n t st h e d e d i c a t e da p p l i c a t i o ns y s t e mi n t e n d e d t ob ea t t a c k e d s ow ec a n c o n v e n i e n t l yr e c o r dt h eh a c k e r s a c t i v i t i e s ，k n o wa t t a c km e t h o d o l o g i e s ， a n dr e c o g n i z ep o t e n t i a lt h r e a t s f i r s tt h i st h e s i s s y s t e m i c a l l y i n t r o d u c e s h o n e y p o t s a n dt h e i r t e c h n i q u e so fi m p l e m e n t a t i o n t h e ni td e s c r i b e si nd e t a i lah o n e y p o t m a g i c n e tt h a tw a sd e s i g n e da n dd e v e l o p e db yu su n d e rt h el a n e n v i r o n m e n t s f u r t h e rm o r e ，i tp r e s e n t sas o f t w a r ei m p l e m e n t a t i o no ft h e c o n f i g u r a t i o n ，i n s t a l l a t i o na n dr u n t i m ea d m i n i s t r a t i o no fm a g i c n e ti n l i n u xa n dm a k e sat e s tf o ri t f i n a l l yt h et h e s i sg i v e sac o n c l u s i o na n d s o m ef u t u r er e s e a r c ht o p i c s 南京邮电学院 硕士学位论文摘要 学科、专业：工学计算机应用技术 研究方向：计算机通信与网间互连技术 作 者：j 塑级研究生常波 指导教师扬鏖 题目：蜜罐系统研究与实现 英文题目：t h er e s e a r c ha n di m p l e m e n t a t i o no fh o n e y p o t s 主题词 k e y w o r d s ： 诱骗网络蜜罐h o n e y n e t网络安全 t r a t ；n e t w o r k h o n e y p o th o n e y n e t n e t w o r ks e c u r i t y 基金项目：江苏省自然科学基金项目“基于诱骗技术 的主动式网络安全新技术研究 ( b k 2 0 0 3 1 0 6 ) 南京邮电学院学位论文独创性声明 妒 7 6 5 2 0 8 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电学院或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均己在论文中作了 明确的说明并表示了谢意。 研奉生签名：一日期： 南京邮电学院学位论文使用授权声明 南京邮电学院、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅。可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电学院研究生部办理。 研究生签名：导师签名：日期： 南京邮电学院硕士学位论文 第一章简介 本章主要介绍了蜜罐系统研究与实现的背景和意义，并对作者主要完成的工 作做了一个概要性的介绍。 1 1 课题的背景和意义 本课题来源于江苏省自然科学基金项目基于诱骗技术的主动式网络安全新 技术研究( b k 2 0 0 3 1 0 6 ) ，主要研究蜜罐系统及其相关技术。研究的主要内容包 括：基于蜜罐系统理论的网络安全防范系统的体系结构；蜜罐系统与防火墙、入 侵检测系统( i d s ) 、服务器和实际局域网等之间的关系和集成技术；蜜罐系统 本身的内部结构和其数据控制、采集、分析的方法；蜜罐系统的管理工具模型等。 当今世界，计算机网络的触角已伸向了地球的各个角落，深入各个领域，它 正在对人们的生活方式和工作方式产生着前所未有的影响。同时，随着网络规模 的不断扩大，人们对网络知识的了解越来越深入，网络上的攻击行为变得越来越 多，已经严重威胁到网络与信息的安全。计算机网络信息安全已成为个倍受关 注的问题。 目前，普遍采用的网络安全技术有防火墙、入侵检测、漏洞扫描、身份认证、 访问控制、加密技术等。它们在网络安全中都发挥着各自的作用，然而，在采取 了这些安全措施之后，仍不断听到世界各地网络入侵事件的报道，让人们对网络 的安全又产生了深深的忧虑。人们不禁要问，我们的网络安全究竟还面临着哪些 威胁? 要免遭威胁，就不得不先了解威胁。威胁的根源在于信息系统中普遍存在的 各种漏洞，而黑客的存在使潜在的漏洞变成了真实的威胁。漏洞是补不完的，黑 客成了网络信息安全必须愿对的问题。兵书有云，知己知彼方能百战百胜，密罐 就是为了了解黑客而发展起来的一项主动式网络安全技术。 蜜罐系统是一种精心布置的供黑客入侵的网络资源，黑客在其中的行为被监 控和记录并保存到安全的地方，但是黑客几乎察觉不到任何的监视行为【l - 2 1 。通 过对收集到的黑客行为数据进行分析，不仅可以获取黑客行为、工具、攻击策略 和动机的信息，增进企业或组织的安全防御能力；而且能够发现网络中潜在的安 全威胁和漏洞，使企业或组织能够在可能的攻击发生前修补安全漏洞，避免攻击。 本文对诱骗网络技术进行了系统的研究。首先介绍了蜜罐系统及其实现技 南京邮电学院硬士学位论文 术，接着详细阐述了局域网环境下蜜罐系统m a g i c n e t 的配置和实现过程，在此 基础上给出了在l i n u x 环境下对m a g j 【c n e t 进行配置安装和运行管理的软件实现 方案，并对该实现方案进行了测试，最后论文对诱骗网络技术的发展趋势进行了 总结和展望。 文中所述的诱骗网络技术泛指各种具有诱骗和陷阱性质的网络安全技术，它 与蜜罐( h o n e y p o t ) 技术同义。蜜罐系统是基于诱骗网络技术的一种具有行为控制 和数据捕获功能的网络安全系统，各种蜜罐产品，包括h o n e y n e t 在内，均为蜜 罐系统的一种实现方案。蜜罐机指蜜罐系统中设置为供黑客扫描、攻击和入侵的 系统。 1 2 主要完成的工作 作者对现有蜜罐系统理论进行了较为系统的研究，在此基础上配置和实现了 一种蜜罐系统m a g i c n e t ，并给出了一种对m a g i c n e t 进行安装配置和运行管理的 软件实现。本文工作主要包括以下几个方面： 1 对蜜罐的发展历史、作用、交互性、现有产品等进行了系统的介绍。 2 对目前普遍采用的几种诱骗网络技术类型进行了介绍。 3 从体系结构和功能实现两方面详细阐述了蜜罐系统的实现和配置过程。 4 。给出了蜜罐系统软件包m a g i c n e t1 0 的层次结构图和各模块的详细介绍。 5 在局域网环境下对m a g i c n e t 的主要功能进行了实验并给出实验结果。 亘至坚皇兰堕堡主堂垡堡壅一 第二章蜜罐系统概述 本章首先介绍了蜜罐的发展历史及其在网络安全中的地位和作用，随后对蜜 罐的交互性进行了介绍，最后对现有的蜜罐产品系统分别进行了介绍，并对各自 的优缺点进行了比较。 2 1 蜜罐的发展历史 蜜罐的思想最早可追溯到1 9 8 8 年5 月，c l i f f o r ds t o u 在c o m m u n i c a t i o n so f t h e a c m 杂志上发表的一篇题为“s t a l k i n gt h ew i l yh a c k e r 【3 】的文献。这篇文献主要 介绍了作者追踪黑客的过程。作者发现系统被黑客侵入，为了找到入侵者，作者 开始跟踪黑客活动。采取的方法是保持系统对黑客开放，对系统进行严密的监视， 悄悄记录黑客的活动并进行追踪。作者还介绍了在追踪黑客的过程中采用的另一 种技术手段，即伪造一些包含敏感信息的文件作为诱饵吸引住黑客，一方面让黑 客暂时不去进行其他破坏，另一方面使自己有更充足的时间追踪黑客。作者提到， 如果使伪造的文件包含不同类型的信息，如财政、军事等，就可能试探出入侵者 的兴趣。记录对这些文件的访问自然也起到检测入侵者的效果。这就是蜜罐的基 本思想。 蜜罐作为一个独立的系统正式出现于b i l lc h e s w i c k 在1 9 9 1 年发表的一篇题 为“a n e v e n i n g w i t h b e r f e r d i n w h i c h a c r a c k e r i s l u r e d ，e n d u r e d ，a n ds t u d i e d 【4 的 文献。作者指出，虽然已经有一些安全工具可以检测黑客攻击，但有所遗漏。为 了提供更多的信息，作者在系统空闲的端口上，打开一些伪造的服务吸引黑客， 进而记录下黑客的活动。所谓伪造的服务是指模仿正常服务器软件的一些行为， 如建立连接、提示访问者输入用户名和口令等。这种方法只能得到少量的黑客信 息。作者把黑客引入一个专门的操作系统环境中，使黑客暴露出了更多的信息。 这个利用u n i x 更改根目n ：( c h r o o t ) 机制设立的黑客活动环境被作者称为牢笼 ( j a i l ) 。b i l lc h e s w i c k 在其与s t e v e nm b e l l o v i n 合作的“f i r e w a l l sa n di n t e m e t s e c u r i t y ：r e p e l l i n gt h ew i l yh a c k e r ”【5 】一书中再次提到伪造服务时，用到 h o n e y p o l s 词。作者特别提到，蜜罐记录黑客信息的功能可以用于检测的目的。 f r e dc o h e n 在19 9 6 年发表的文献“i n t e m e th o l e s i n t e m e tl i g h m i n gr o d s ， 6 1 中，提到可以利用防火墙技术把未授权访问“引”向蜜罐，消耗黑客的资源。作者 认为，蜜罐除了可以演示黑客的存在外，自身也起到了把攻击引离应用系统的效 ， 南京邮电学院硕士学位论文 果。在1 9 9 8 年发表的文献an o t eo nt h er o l eo fd e c e p t i o ni n i n f o r m a t i o n p r o t e c t i o n ，【7 1 中，f r e dc o h e n 认为蜜罐实质上是一种欺骗系统，并设计了采用伪 造服务技术的欺骗系统d t k ( d e c e p f i o n t o o l k i t ) 【8 】。d t k 后来成为一种可以免费 获取的蜜罐系统，作者希望d t k 的广泛使用可以使黑客难以分辨真伪，增加黑 客实旌有效攻击的难度。在1 9 9 9 年发表的另外一份文献“am a t h e m a t i c a ls t r u c t u r e o f s i m p l e d e f e i i s i v e n e t w o r k d e c e p t i o n s ”【9 】中，f r e d c o h e n 从时间的角度，对欺骗 系统的思想进行了完整的表述。黑客在欺骗系统上花费时间，就可能暂时不会攻 击应用系统。作者分析了欺骗系统能够吸引黑客的一些途径，包括增加欺骗系统 的数量、增强欺骗系统的伪装程度等。f r e dc o h e n 出发点是如何充分利用蜜罐。 他从延缓黑客攻击的角度，看到了蜜罐为保护应用系统赢得时间的作用。 f r e dc o h e n 的工作较大地推进了蜜罐的发展。一些商用或免费的蜜罐系统陆 续出现，主要有：s p e c t e r 10 1 ，c y b e r c o ps t i n g i l l ，m a n t r a p 【1 2 】等( 参见第2 4 节) 。 虽然欺骗系统可能为保护应用系统赢得时间，但在实际使用中，人们更感兴 趣的是蜜罐记录的黑客信息。更多的注意力开始放在记录黑客信息上面。 r e c o u r c e 公司的蜜罐产品m a n t r a p 就是一个典型的代表。它使用真实的系统作为 蜜罐，提供了从系统级到网络级的强大的记录黑客活动功能。 明确提出蜜罐是一个了解黑客的有效手段始于l a n c es p i t z e r 。他在“k n o w y o u re n e m y ” 1 3 - 1 5 】系列文献中展示了了解黑客的些初步成果，并在“t ob u i l da h o n e y p o t ”【l6 j 文献中简单介绍了自己所使用的蜜罐工具。l a n c es p i t z e r 使用真实 的系统接受黑客攻击，利用防火墙、网络s n i f f e r 控制和记录黑客的活动。 蜜罐真正引起人们较多的关注开始于1 9 9 9 年由l a n c es p i t z n e r 倡议成立的 h o n e y n e t 研究组织( h o n e y n e t p r o j e c t ) 的出现。h o n e y n e t 组织设置了一个具有一定 规模的淘黑客开放的网络丽境，用于观察黑客活动，称为h o n e y n e t ，来对黑客 群体进行系统的研究。该组织为设置h o n e y n e t 提出了一个较为完善的方案”】， 包括隐蔽地采集黑客在蜜罐上的活动信息、控制蜜罐引入的风险、分析蜜罐采集 的数据等等。他们的研究引起越来越多的人注意到蜜罐。h o n e y n e t 研究组织也 被认为是蜜罐研究的中坚力量。目前，除了最初的研究组织外，也有一些其他团 体使用这样的系统进行研究，这些不同的团体又组成了一个更大的组织 h o n e y n e t 研究联盟( h o n e y n e t r e s e a r c h a l l i a n c e ) ，以共享搜集到的黑客信息。 4 南京邮电学院硕士学位论文 s p i t z n e r 在2 0 0 1 年的题为 h o n e y p o t sd e f i n i t i o n sa n dv a l u eo fh o n e y p o t s ”驯 的文献中，为蜜罐下了定义，并对蜜罐在网络安全防护体系中的作用做了比较恰 当的评述。s p i t z n e r 认为蜜罐的概念非常简单，就是一个专门让黑客攻击的系统： 而作为欺骗系统的蜜罐所发挥的作用是很有限的；蜜罐的主要作用是提供了一条 获取黑客信息的途径。 从2 0 0 2 年开始，蜜罐理论在全球范围内引起了人们的注意，加拿大、日本、 澳大利亚、新加坡等都进行了相应的研究，并开展了多项庞大的研究计划，如、汇 集美国多家机构的3 0 多位安全专家( 包括c i s c o 公司的s t u t z m a n 、s u n 公司的 s p i t z n e r 、国家空间研究所的h a s s 、f b i 的m a n d i a 、密西根大学的s o n g ) 进行的 h o n e y n e t s 计划和美国密西根大学的h o n e y d 计划等【吲，研究更深层次的理论和 技术，如蜜罐网络的系统结构、多机系统、虚拟机系统等等，引起了美国国防部、 国家安全部、国际银行组织、计算机安全协会的高度重视。 国内对蜜罐的研究始于2 0 0 1 年，主要集中在理论消化和实现方面。就整体 水平来说，蜜罐的研究和知识产权方面仍处于起步阶段，目前的理论和产品都只 针对一些特定的情况，没有建立完整的理论模型和应用技术。 从以上对蜜罐发展历史的介绍可以看出，蜜罐自出现以来，主要经历了欺骗 系统、h o n e y p o t s ，h o n e y n e t s 几个发展阶段。欺骗系统侧重利用蜜罐直接保护工 作系统；从h o n e y p o t s 到h o n e y n e t 都是以了解黑客为主要目的，h o n e y p o t s 把注 意力集中在了解黑客的结果，而h o n e y n e m 则研究了所使用的工具的各个方面， 最有力地推动了蜜罐的发展。蜜罐近年来才产生较大的影响，是一门崭新的技术。 2 2 蜜罐在网络安全中的地位和作用 与防火墙和入侵检测系统不同，蜜罐并不是最终的网络安全机制，而是种 能够促进整个网络安全性的工具。蜜罐的价值和它有助于解决的问题取决于你如 何构建、部署和使用它a 蜜罐按其用途可以分为两种类型：应用型蜜罐和研究型 蜜罐。 2 2 1 应用型蜜罐 应用型蜜罐一般用于特定组织中帮助提高网络的安全性，降低危险。它的作 用主要表现在以下三个方面【1 8 - 1 9 ： 麟 豳防护。蜜罐在防护中所做的贡献很少，它不会将那些试图攻击的入侵者 南京邮电学院颐士学位论文 拒之门外。将入侵者阻挡在外部的安全产品在防护中可以做到最好，比如关闭不 需要的或不安全的服务，而且还可以通过强认证机制来保障只有合法的用户才能 访问相应的服务。而蜜罐设计的初衷就是妥协，因此它不会将入侵者拒绝在系统 之外，事实上，蜜罐希望有入闯入系统，从而进行各项记录和分析工作。 有些人认为诱骗也是一种对应用系统进行防护的方法。因为诱骗使黑客花费 大量的时间和资源对蜜罐进行攻击，这就防止了黑客对真正的应用系统进行攻 击。也就是说，黑客被吸引到蜜罐中对它进行攻击，从而保证真正的资源不会受 到攻击。但是一般情况下，大部分组织更愿意花时间和精力去防护自己的系统不 会受到攻击，对诱骗行为并不感兴趣。也就是说，诱骗的确提供了保护的功能， 但是如果想要得到很好的防护效果，人们更希望选择那些专门进行防护的安全产 品。 与此同时，不得不承认诱骗不能够防护两种最为常见的攻击：自动工具包攻 击和蠕虫攻击。目前攻击自动化已经成为了一种攻击趋势，那些自动化的攻击工 具可以进行侦听、攻击并搜寻任何它们认为有价值的信息。这种工具可以对蜜罐 进行攻击，也可以迅速地攻击蜜罐所在组织中的任何其他系统。它还可以攻击用 户机器上的i p 协议栈。诱骗工具的确不能防护这类攻击，因为不能保证提供多 个系统连续进行诱骗。 总之，蜜罐的防护功能很弱，如果一个组织想要认真地进行防护工作，首选 一定不是蜜罐。 ( 2 ) 检测。虽然蜜罐的防护功能很弱，但是它却具有很强的检测功能。对于 大部分组织来说，检测攻击是一件非常难的事情。许多组织面对的是大量的正常 通信与可疑的攻击行为混合的网络，比如千兆比特网络中的系统日志，想要从大 量的网络行为中检测出攻击行为是一件非常困难的事情，甚至想检测出哪些系统 已经被攻陷也是一件十分困难的事情。入侵检测系统( i d s ) 是专门为检测攻击 而设计的检测工具，然而，i d s 中发生的误报使系统管理员的工作变得极其繁重。 误报是指i d s 的探测器认为某些合法的网络行为符合入侵行为的特征，就向系 统管理员发出警报并要求进行处理。由于误报率很高，i d s 系统管理员每天不得 不处理不计其数的告警，以至于有时并不能完全进行处理。如同“狼来了，中的那 个小孩一样，兰真正的攻击到来的时候，系统管理员也许已经疲于处理过多的“误 6 南京邮电学院硬士学位论文 报”，而放弃了对真正攻击行为采取行动。高误报率往往使1 d s 失去有效告警的 作用，而蜜罐的误报率远远低于大部分i d s 工具a 另一个问题在于漏报，发生在i d s 系统没有检测出攻击时。大部分i d s 系 统，无论是基于特征匹配的还是基于协议分析的，都有可自g 遗漏新型的或者未知 的攻击。目前的i d s 技术还不能有效地对新型攻击方法进行检测。同时，黑客 一直都在开发并散布各种各样新型的i d s 躲避方法和多种多样不可能被i d s 检 测出的攻击，比如k 2 的a d m m u t a t e 。蜜罐可以解决漏报问题，因为它们很难 躲避也很难被新的攻击方法攻陷。实际上，使用蜜罐的首要目的就是在新的或未 知的攻击发生的时候将它们检测出来。蜜罐的系统管理员无需担心特征数据库的 更新和检测引擎的修订。因为蜜罐最希望看到的就是攻击如何进行。 蜜罐可以简化检测的过程。因为蜜罐没有任何有效行为，所以所有与蜜罐相 关的连接都认为是可疑的行为。从原理上讲，任何连接到蜜罐的连接都应该是侦 听、扫描或攻击的一种。无论何时蜜罐发起一个连接，一般都会被认为蜜罐已经 被黑客入侵，这样就可以极大地降低误报率和漏报率，从而简化了检测的过程。 现在有很多蜜罐也会发出自i 己的连接，这样做的目的是极大地迷惑入侵者。因为 如果蜜罐从不发出任何连接，会让黑客产生怀疑，全身而退。所以从某种意义上 说，现在的蜜罐已经成为一个越来越复杂的安全检测工具。 ( 3 ) 响应。尽管从一般意义上讲，蜜罐也可以进行响应。但是如果组织内的 系统已经被入侵，这之后发生的所有行为都已经是受入侵者控制的“污染”数据。 如果用户和系统行为已经“污染”了收集的数据，系统管理员将不知道接下来该做 什么。比如，系统管理员登录到网页上，但是发现所有登录在网站上的用户都在 使用已经被入侵的系统。如果想在此时收集入侵者攻击行为的证据就是一件很困 难的事情。 必须解决的问题是那些受攻击的系统在被入侵后不能脱机工作，否则将会导 致这些系统所提供的所有应用服务都将停止。同时，系统管理员也不能进行合适 和全面的鉴定分析。 蜜罐可以减弱甚至消灭这两个问题，它提供了一个具有低数据污染的牺牲性 系统，并且这个牺牲性系统可以随时进行脱机工作。比如说，某个组织有3 个 w e b 服务器，这些服务器都县经被黑客攻陷。然而，系统管理员仍然可以进入系 南京邮电学院硕士学位论文 统并清除特定的问题。尽管如此，系统管理员仍然不知道何时出错，系统受得了 什么样的伤害，黑客是否可以进行内部访问，以及是否已经完全彻底地将所有问 题都清除干净。但是，如果3 个服务器中有一台为蜜罐，系统管理员就可以将该 系统放置在脱机状态，并进行鉴定分析工作。基于这种分析，系统管理员不仅可 以知道入侵者如何进入系统，还可以得知如果他再次闯入会做哪些坏事。根据这 次教训，系统管理员可以将经验应用于其他的w e b 服务器，从而可以在以后的 工作中较好地防止黑客的攻击。 2 2 2 研究型蜜罐 对于一个安全组织来说，面临的最大问题是缺乏对黑客的了解。他们最需要 了解的是谁在攻击、攻击的目的是什么、攻击是如何进行的、攻击使用的方法是 什么、攻击是何时进行的等等。这些问题如果只是凭空猜测，肯定得不到正确的 答案。而有什么工具可以帮助安全专家们进一步了解他们的“敌人”昵? 在信息安 全领域，安全专家们所拥有的信息寥寥无几。 也许解决这个问题最好的方法之一就是使用蜜罐。蜜罐可以为安全专家们提 供一个学习各种攻击的平台。在研究黑客攻击的过程中，没有其他方法比观察黑 客的行为，一步步记录他们的攻击直至整个系统被入侵的方法更好。当然如果能 够观察系统被入侵之后黑客所进行的行为，将会具有更大的价值，比如他们与其 他黑客之间的通信或者上载一个新的工具包的行为。这可能是蜜罐特有的属性。 此外，研究型蜜罐是捕获自动攻击的好手，比如a u t o - r o o t e r 和蠕虫等。这些攻 击手段的目标通常是整个网段，研究型蜜罐可以很好地捕获这些攻击并进行研 究。 一般意义下，研究型蜜罐不能降低应用系统受到的威胁。但是我们可以利用 从研究型蜜罐中得出的经验和教训，来提高应用系统的防护、检测和响应能力。 然而，研究型蜜罐并不能为应用系统带来直接的安全防护。如果个组织想要提 高其应用网络的安全性，则应该考虑使用应用型蜜罐，这是因为应用型蜜罐更容 易配置和使用。而对于那些对安全威胁很感兴趣的组织来说，如大学、政府和大 型公司，则可以使用研究型蜜罐。例如，h o n e y n e t 研究组织就是这样一个研究 蜜罐的组织，它每天都可以从黑客的行为中获得很多信息。 蜜室堂皇堂堕堡主兰垡丝奎二一 2 3 蜜罐的交互性 蜜罐交互性的高低决定了它提供的功能的多少。交互性越高，通过蜜罐获得 的有价值的信息越多，对黑客和其攻击的了解越深；相应地，蜜罐的复杂性也越 高，由蜜罐所带来的危险性也越高翻。 2 3 1 低交互性蜜罐 低交互的蜜罐通常只提供某些特定的模拟服务。在一种基本的形式中，这些 服务能够通过监听一个特定的端口实现。例如一个简单的n e t c a t 命令就可以监 听h t t p s 0 端口，并且将所有进入的网络流量记录到日志文件。 # n e t c a t - 1 一p8 0 l o 蜜罐p o r t8 0 1 0 9 这样，所有进入的网络流量能够很容易地被识别并予以保存。这种简单的方法不 可能捕获复杂的协议间的通信。一个外界发起的s m t p 握手连接不会提供多少 有用的信息，因为没有内部的服务对它进行应答。 在低交互的蜜罐中没有真实的操作系统让黑客操作，这很大程度地减小了蜜 罐的风险。而另一方面，这也是它的一个弊端。它不能观察黑客与操作系统的交 互，而这也许才是真正有价值的。低交互的蜜罐就像一个单向的对话，我们只是 听，但是不提问题。这种方式是十分被动的。 2 3 2 中交互性蜜罐 中交互的蜜罐提供更多的交互，但是仍然没有真正的底层操作系统。开发者 对模拟的特定服务具有更加深刻的了解和更加丰富的知识。蜜罐的风险也相应地 增加了。由于蜜罐的复杂性提高，黑客发现安全漏洞和弱点的可能性更大。 通过更高级的交互，蜜罐有可能遭到更复杂的攻击，也就有可能记录和分析 更复杂的攻击。黑客面临的是个更为真实的操作系统环境，他与之进行交互并 扫描的可能性更大。 开发中交互的蜜罐是十分复杂和耗费时间的。由于具有更高的交互性，蜜罐 必须以一种更安全的方式来进行配置，所有模拟的服务必须尽可能的安全。而且 开发者必须有非常高深的知识，对所有的协议和服务都必须了解得非常的透彻。 2 3 3 高交互性蜜罐 高交互的蜜罐有一个真实的底层操作系统。它可以为我们提供大量关于黑客 的信息a 通过它我们可以发现新的黑客工具，识别操作系统和应用程序中新的安 重室墅皇堂堕堡主兰堡兰奎_ = 一 全漏洞和弱点，甚至获得黑客之间相互交流的信息a 多数高交互蜜罐放置于一个受控的环境中，例如在一个防火墙后面，防火墙 允许黑客攻击其中的蜜罐，但是不允许黑客用它来发起新的攻击a 这种结构难于 部署和维护，因为必须不让黑客觉察到正在被监视。 高交互蜜罐的维护非常地困难和耗时。你必须经常更新防火墙规则和i d s 特 征数据库，昼夜不停地对它进行监视。伴随着高的复杂性的是很高的风险。任何 一个失误，都可能导致黑客获得对整个操作系统的控制，用它来攻击其它的系统 或者截获应用系统的信息。但是，如果能够被恰当地维护，高交互蜜罐能够让我 们了解到其它蜜罐所不能了解到的黑客信息。 2 3 4 交互性比较 三种交互级别的蜜罐各有其优缺点。表2 - 1 对它们的特点进行了比较。选择 越低交互级别的蜜罐，相应的危险性就越低。蜜罐的维护也是选择交互级别的一 个考虑因素。 表2 1 蜜罐的交互性比较 低交互中交互高交互 操作系统 风险低中高 信息搜集 只对连接只对请求所有的 运行知识低低高 开发知识低高 中、高 维护时间低 低 非常高 2 4 现有蜜罐产品介绍 蜜罐的概念已经提出很久了，有很多新的商业和研究用途的蜜罐系统被研制 出来。商业用途的蜜罐系统相对推出的速度要快一些，而研究用途的免费蜜罐系 统还是早些时候推出的产品。因此从应用上讲，商业蜜罐系统的功能和稳定性要 强一些。 市场上的各种蜜罐产品虽然总的来说功能繁多，类别覆盖从商业到研究，从 低交互性蜜罐到高交互性蜜罐，从单个的蜜罐到复杂的蜜罐系统，但是使用起来 却非常容易，各个开发商在产品的易用性方面做了不少的工作。总的来说有以下 南京邮电学院硕士学位论文 一些常用的蜜罐产品： b a c ko f f i c e rf r i e n d l y 2 1 】：一个可以用作蜜罐系统的小程序。 s p e c t e r ：可以运行在多种的操作系统上的低级别的蜜罐系统。 d t k ：模拟众多服务的p e r l 脚本程序，是个低级别蜜罐系统。 h o n e y d 2 2 1 ：能在网络上创建虚拟主机和虚拟服务的后台程序。 l a b r e a ：可以构造_ 个“柏油坑”，也就是所谓“粘蜜罐”的程序。 m a n t r a p ：运行在s o l a r i s 操作系统上的高交互级别的蜜罐系统。 p e r s o n a lh o n e y p o t s ：个人根据开源软件开发的试验用途的蜜罐系统。 下面我们对上述产品分别予以介绍。 2 4 1b a c k0 f n e e rf r i e n d l y b a c ko f f i c e rf r i e n d l y ( b o f ) 是由n e t w o r kf l i g h tr e c o r d e r ( n f r ) 公司发布的 一个用来监控b a c ko r i f i c e ( 发布于1 9 9 8 年的一种基于w i n d o w s 的木马，主要 监听u d p 3 1 3 3 7 端口) 的工具。它是一种低交互蜜罐系统，可以运行在w i n d o 、v s 9 8 ，w i n d o w s2 0 0 0 ，w i n d o w sn ts e r v e r4 0 ，w i n d o w sn tw o r k s t a t i o n4 0 ，u n i x 等操作系统环境下。 b o f 所做的仅仅是模拟几个基本的i n t e r a c t 服务，在服务的t c p 端口上监 听，记录所有的连接企图，支持的服务有：f t p ，t e l n e t ，s m t p ，h t t p ，p o p 3 和i m a p ，如图2 1 所示。 图2 - 1b o f 配置界面 b o f 还有一个选项就是能对某种服务的连接请求做出一定程度上的“虚假回 应”，回应的字符串和服务相关。它并不是一个好的严谨的蜜罐系统，但是对于 个人工作站来说，欺骗黑客是非常有用的，对于那些想知道谁连接他的工作站的 南京邮电学院硕士学位论文 好奇者来说，是个不错的工具。 2 4 2 s p e c t e r s p e c t e r 是n e o w o r x 公司的商业蜜罐系统。s p e c t e r 模拟了一个完整的系统， 提供一个虚假的目标给黑客，引诱他们离开真实的应用系统。s p e c t e r 提供像 s m t p 和f t p 这样的常规i n t e m e t 服务，给黑客造成一个应用系统的假象，但事 实上这是个陷阱，黑客所连接的是一个虚假的没有任何价值的系统，在黑客还没 有意识到这一点时，他们的一切行为都被记录下来了，并且通知了系统管理员。 当黑客试图闯入时，s p e c t e r 甚至通过w h o i s 查询来调查发起者，获得相关指纹 信息，通过t r a c e r o u t e 发现其源地址之后，进行反端口扫描。 s p e c t e r 是运行在w i n d o w sn t 2 0 0 0 平台上的智能蜜罐系统，要求的机器配 置并不高( 最低配置：奔腾9 0 ，3 2 m 内存) 。s p e c t e r 将网卡设置为混杂模式 ( p r o m i s c u o u sm o d e ) 嗅探网络上的所有数据包。然而，s p e c t e r 并不是收集所有 数据包的信息和特征数据库相比较，而是模拟一个真正的操作系统和一定数量的 服务，使黑客相信他所攻击的就是一个真正的应用系统。s p e c t e r 记录所有的连 接请求，甚至启动对黑客的f i n g e r 服务和端口扫描，以收集尽可能多的黑客信 息。 图2 - 2s p e c t e r 配置界面 s p e c t e r 包含两部分：g f 擎和控制台。引擎进行数据包嗅探和处理网络连接， 南京邮电学院硕士学位论文 控制台提供一个简单的图形配置界面，如图2 - 2 所示，所有的配置都可以在一个 屏幕上完成。s p e c t e r 能模拟九个不同的操作系统( w i n d o w sn t ，w i n d o w s 9 5 9 8 ， m a c o s ，l i n u x ，s t m o s s o l a r i s ，d i g i t a lu n i x ，n e x t s t e p ，i r i x 和u n i s y su n i x ) 。 根据模拟的操作系统的不同，s p e c t e r 提供不同格式的虚假口令文件。s p e c t e r 能 够提供5 种不同的安全级别：开放( 配置糟糕) 、安全、失败( 软硬件都有问题) 、 奇怪( 不可预知) 和攻击( 收集黑客信息然后通知) 。s p e c t e r 能模拟5 种不同的网络 服务( s m t p , f t p ：t e l n e t ，f i n g e r 和n e t b u s ) 和七种陷阱( t r a p s ：特定端口的连接， 例如d n s ，s u n - r p c ，p o p 3 ，i m a p 4 和b a c ko r i f i c e ) 。远程主机发起的所有连接都 被记录，包括连接时确切的时间、引擎的状态和提供的服务类型。s p e c t e r 还有 一种用户自定义陷阱，用户可以指定监听端口。当有报警发生时，s p e c t e r 在图 形控制界面显示报警的简要描述，报警的详细描述可以e m a i l 给系统管理员或者 记录在硬盘上。当检测到一个连接时，s p e c t e r 就对发起连接的机器进行f i n g e r 操作或端口扫描，所有的相关信息都会被记录下来。 s p e c t e r 仅仅模拟一般的服务和操作系统，只是个低级别的蜜罐系统，并没 有真正的系统可供黑客交互，所以即使在黑客完全控制了该模拟系统并以此作为 平台进行新的攻击时，它的风险都是很低的。 s p e c t e r 的价值在于欺骗，它能快速容易的发现是什么人在探测它。作为一 个蜜罐系统，s p e c t e r 减少了误报和漏报，简化了欺骗进程。 2 4 3d t k d e c e p t i o nt o o l k i t ( d t k ) 是由t r e dc o h e n 开发的免费工具，主要使用p e r l 脚本编写。在d t k 的w e b 站点上有如下描述： “d t k 开发的目的是使防卫者拥有对攻击者一定数量的优势。” d t k 使用欺骗来反击黑客。基本的理念就是使黑客感觉到运行d t k 的系统 有着大量的广为人知的漏洞td t k 的欺骗是可编程的，它的特点就是在黑客输 入的情况下产生输出，模仿输出这个系统的漏洞，其时这是个易于攻击的假象。 d t k 还有一个有趣的被称之为“欺骗端1 ：3 ( d e e e p t i o np o r t ) ”的概念，t r e d c o h e n 提出，如果一个系统在t c p 的3 6 5 端口监听，就表明运行这个系统的机 器是一个运行欺骗防御的蜜罐系统，这样黑客为了避开欺骗防御就会首先检查出 这样一个端口。c h o e r t 说，当d t k 被广泛认知和使用时，最终一个仅仅包含简 堕室堂皇堂堕堡圭堂垡鲨苎一 单的欺骗防御的监听端口系统就能吓跑不少的黑客。 2 4 4 h o n e y d h o h e y d 由m i c h i g a n 大学的n i e l sp r o v o s 开发，最初发布于2 0 0 2 年4 月。它 基于u n i x 平台设计，源码开放，是种低交互的应用型蜜罐，用于检测攻击和 非授权行为，可以进行定制来监听任何端口。最初发布的版本可以模拟5 种不同 服务，这些模拟服务用来欺骗黑客并捕获他们的行为。 h o n e ) r d 不检测指向它自身i p 地址的攻击，相反，它检测对非有效系统的i p 地址的攻击。当检测到对非有效系统的连接企图时，它会接受这个连接，假扮为 该系统与黑客交互。h o n e y d 可以监视指向数百万个不存在有效系统的i p 地址的 连接，主动与成千上万个黑客交互。h o n e y d 可以监视一个不存在有效系统的极 大型网络。 和s p e c t e r 一样。h o n e y d 也能够模拟多种不同的操作系统。但是，s p e c t e r 每次只能模拟一种操作系统，而h o n e y d 可以同时模拟多动操作系统。另外， h o n e y d 不仅支持对系统应用级的模拟，还支持对i p 栈级的模拟。目前h o n e y d 可以模拟4 7 3 种不同类型和版本的操作系统。 2 4 5l a b r e a l a b r e a 是由t o ml i s t o t l 开发的用来构造“柏油坑( t a r p i t y ，也就是所谓“粘 蜜罐( s t i c k yh o n e y p o t ) ”的程序。它可以诱捕c o d er e d 和n i m d a 这样四处扫描受 影响的应用系统的蠕虫病毒，并有效地将它们困在一个“柏油坑”中。 l a b r e a 会利用网络中没有被使用的i p 地址来构造一些一虚拟系统”，回复已 被感染的系统发出的连接请求。l a b r e a 可以响应这些连接请求，并使另一端的 机器在这个柏油坑中”粘”上一段时间。 l a b r e a 是一个g p l 工具，主要利用一些空闲的网络资源诱骗和绑定恶意线 程由于这些被骗入“柏油坑”的蠕虫线程无法转而攻击其饱机器，所以它们会变 得无害。它除了每秒1 1 0 个字节的带宽以外不几乎不消耗任何资源。 2 4 6 m a n t r a p m a n t r a p 是一个由s y m a n t e c 公司开发的商业蜜罐系统，运行在s o l a r i s2 6 2 7 和2 8 上的系统，支持i n t e r x 8 6 和s u n s p a r c 架构。 南京邮电学院硕士学位论文 由于m a n t r a p 的开发者声称，平均起来，来自公司内部的攻击造成的损失 要比来自外部的攻击造成的损失要大的多，m a n t r a p 主要集中于内网安全，当然， m a n t r a p 也可致力于外网的安全。下面是m a n t r a p 宣传册上的段： “m a n t r a p 创建了一个内部黑客到达所需目标必须成功通过的虚拟的布雷 区，黑客的一个小小的错误都会令自己暴露。” m a n t r a p 的主要概念是称之为“笼子( c a g e ) ”的东西。基本上，一个“笼子”就 是连接一个特定的网络接口上的主机操作系统的副本。在一台单一的机器上 m a n t r a p 能支持4 个这样的操作系统副本。在安装期间，“笼子”内部产生与安装 m a n t r a p 的机器样的操作系统环境。在m a n t r a p 软件内核上也有一个交互界 面，控制“笼子”和主机内核之间的交互。尽管m a n t r a p 存在单一的主机上，但是 在网络上这些“笼子”是作为四个单独的系统而出现的，这样的话，一个m a n t r a p 就是网络上拥有四个系统的子网，每个系统都有网络接口。 由于m a n t r a p 使用的是现存的操作系统，它就没有任何的软件运用和特征 子集的限制，可以在m a n t r a p “笼子”上安装差不多任何一个应用程序和数据库， 这一点何在个主机上安装没有任何区别，m a n t r a p 对其“笼子”运行的应用程序 几乎没作限制，m a n t r a p 仅仅限制了应用程序和内核之间的交互。内核之上的交 互界面限制了应用程序和内核之间的联系。 m a n t r a p 的“笼子”可以典型安装，也可以由m a n t r a p 的内容产生模块( c g m l 定制。由内容产生模块( c g m ) 定制的内容是随机产生的，所以没有两个m a n t r a p 的“笼子”是相同的。内容产生模块( c g m ) 也会发生多层变化，这样即使黑客拥有 m a n t r a