（计算机应用技术专业论文）第三代虚拟蜜网的研究与设计.pdf

太原理工大学硕士研究生学位论文 i 第三代虚拟蜜网的研究与设计 摘 要 由于黑客技术的不断发展，新的网络安全产品和技术层出不穷，当前 网络安全的传统技术有防火墙、入侵检测等，这些安全技术大多都是基于 特征规则匹配的，采用的是被动的安全策略，对于未知的攻击行为不能够 做出有效的响应，面对不断增长的新的攻击方式方法，始终处于被动的地 位。 蜜罐技术是一种新兴的基于主动防御的网络安全技术，近年来得到了 广泛的关注和快速的发展。蜜罐是一种网络安全资源，它通过监视入侵者 的活动，使我们能够分析研究入侵者所掌握的技术、使用的工具以及入侵 的动机，从而提高网络的安全防御能力。 蜜罐网络简称蜜网，是蜜罐技术的一种高级实现形式。蜜网是从蜜罐 发展而来的研究入侵者目的、策略、工具和方法的一门新兴的网络安全技 术，蜜网的任务就是在不被攻击者发现的前提下，尽可能多地捕获攻击者 在蜜网中的所作所为，同时要保证蜜网内的蜜罐系统不被作为跳板来攻击 非蜜网系统，最后分析捕获的数据，发现新的攻击方法和对未来的攻击作 出预测。 蜜网技术的发展，为研究网络安全提供了一个新的可行方法和思路， 为网络安全技术的发展注入了新的活力，蜜网技术的方案可被政府、军队、 企业、院校、组织和个人所采用，达到研究网络入侵行为，提高抵御入侵 的能力，保护自身网络资源，甚至可以作出相应反制的目的。 本文首先对蜜罐及蜜网技术进行了分析研究，重点阐述了蜜网的体系 结构，并在数据捕获和数据控制两个方面对蜜网体系结构的变化作了对比 分析。 然后，在对蜜网进行深入研究的基础上，设计了虚拟蜜网系统，包括 虚拟蜜网的体系结构和网络拓扑， 实现了一个在win32平台上基于vmware 软件部署的第三代虚拟蜜网。并且验证了第三代蜜网对攻击数据的捕获和 分析功能。 最后，对基于 vmware 软件部署的第三代虚拟蜜网进行了攻击测试， 并对蜜网网关记录的攻击数据从入侵者的攻击目的、手段和能力等几个方 太原理工大学硕士研究生学位论文 ii 面对攻击进行了详尽的分析。测试结果表明，该系统达到了设计目标。 关键字：网络安全，蜜罐，第三代虚拟蜜网，攻击测试 太原理工大学硕士研究生学位论文 iii research and design of gen virtual honeynet abstract with the technology of hack develops, the new technology and products of the network security are produced more and more, traditional network information security technologies include firewall, invasion detection system and so on. these technologies are based on matching the rules, which is an passive security policy, they cannot be effective if the attack is unknown or new. in face of the fast developing of attacking technologies, these security technologies often fall into morass. a newly emerging network security technology called honeypot technology based on active defense is now widely studied and progressed. a honeypot is a network security resource, which can facilitate us to analyze and study the technology, tools and motive of the intruders by monitoring their activities, and thus enhance our ability to safeguard the network. honeynet, short for honeypot network, is a high implementation of honeypot technology. the honeynet is a new network security technology that comes from the honeypot, which is used to research the motives, tactics, tools and methods of the hacker. the work of the honeynet is trying its best to get more of the actions of the hacker in the honeypot and not be found by them, meanwhile, we should make sure that the honeypot intruded by the attacker can not be use to intrude the non-honeynet systems, and then, we use the data captured from the honeynet to find out the new attacks and predict future attacks. with the development of the honeynet technology, it gives a new and useful method for the research of the network security, gives actively power for the development of the network security technology. the methods of the honeynet can be accepted by the government, army, enterprises, universities, organizations and internet users to use for researching the attacks on internet, improve the 太原理工大学硕士研究生学位论文 iv ability to defend the intrusion, protect their resouces of the network, and be used to counterattack the attackers. firstly, i do some study on honeypot and honeynet，expatiate the architecture of honeynet, and analyse the changes of the architecture of honeynet in data capture and data control. secondly, based on deeply researching in honeynet, i design a virtual honeynet system, include the framework and network topology, implement gen honeynet based on vmware workstation in the win32 platform, and verify the function of gen honeynet capturing and analyzing data. finally, i carry on attacking test to gen honeynet based on vmware workstation in the win32 platform, analyse attacking data recorded by honeywall from the motive, method and ability of the intruder. the test result verifies that the honeynet is an effective way to capture attackers information and have reached the intended targets. key words: network security, honeypot, gen virtual honeynet，test about attacking 声 明 声 明 本人郑重声明：所呈交的学位论文，是本人在指导教师的指导下，独立进行研究所 取得的成果。除文中已经注明引用的内容外，本论文不包含其他个人或集体己经发表或 撰写过的科研成果。对本文的研究做出重要贡献的个人和集体，均己在文中以明确方式 标明。本声明的法律责任由本人承担。 论文作者签名： 日期： 关于学位论文使用权的说明 关于学位论文使用权的说明 本人完全了解太原理工大学有关保管、使用学位论文的规定，其中包括： 1学校有 权保管、并向有关部门送交学位论文的原件与复印件； 2学校可以采用影印、缩印或其 它子复制手段复制并保存学位论文； 3学校可允许学位论文被查阅或借阅；4学校可以 学术交流为目的，复制赠送和交换学位论文； 5学校可以公布学位论文的全部或部分内 容（保密学位论文在解密后遵守此规定） 。 作者签名： 日期： 导师签名： 日期： 太原理工大学硕士研究生学位论文 1 第一章 绪论 入侵检测 (intrusion detection)是保障计算机及网络安全的重要措施之一, 近几年， 出现了很多入侵检测系统。 但现有的入侵监测系统大多存在以下不足:信息过载、 未知攻 击、 误报和漏报。 为了解决目前入侵检测中普遍存在的误报和漏报以及数据过载等问题， 使入侵检测能够适应计算机网络的快速发展， 本课题的研究目标是在现有入侵检测系统 的基础上引入蜜罐， 着重研究蜜网技术， 并基于 vmware 软件在 win32 平台上部署了第 三代虚拟蜜网。 通过在真实的环境下对部署的蜜网进行系统测试和攻击测试验证了其有 效性、可用性和稳定性，并对蜜网网关记录的攻击数据进行了分析，验证了该蜜网系统 对攻击数据的捕获和分析功能。从而更好的研究了入侵者的攻击方法、攻击目的和攻击 策略。 1.1 研究背景 自从 20 世纪 90 年代以来，网络进入飞速发展的时代。网络在社会生活的各个方面 都得到了广泛的应用。但是由于网络本身安全方面的缺陷，黑客网络攻击与入侵行为、 安全信息泄漏等事件，对国家安全、经济发展、社会稳定团结造成了极大的威胁，并且 网络安全事件呈迅猛递增的趋势。 导致互联网目前如此糟糕的安全状况的原因有很多， 一方面是由于互联网的开放性 和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷，同时，大部分的网络 使用者还未真正拥有安全意识，也还很少进行安全加强工作，如及时打补丁、安装防火 墙和其他安全工具等，从而导致了目前的互联网具有巨大的安全隐患。另一方面，随着 网络攻击技术的发展，特别是分布式拒绝服务攻击、跳板（step-stone）攻击及互联网蠕 虫的盛行，互联网上的每一台主机都已经成为攻击的目标。此外，黑客社团也不像互联 网早期那么纯洁，不再仅仅为了兴趣和炫耀能力而出动，而更多的由于国家利益、商业 利益及黑暗心理等因素促使其对互联网安全构成危害1。 针对如此严重的安全威胁，而我们却仍然对黑客社团所知甚少。现有的安全措施主 要是基于己知的事实和攻击模式，采取被动防御的方法，这些方法对于复杂而多变的黑 客攻击显得力不从心。当网络被攻陷破坏后，我们甚至还不知道对手是谁（黑客、脚本 小子还是蠕虫？） ，对他们使用了哪些工具、以何种方式达成攻击目标，以及为什么进 行攻击更是一无所知。如何使网络安全防御体系由静态转为动态，防御措施从被动变为 太原理工大学硕士研究生学位论文 2 主动成为了当今要研究的新课题。 1.2 课题的意义 网络与信息安全技术的核心问题是对计算机系统和网络进行有效地防护。 网络安全 涉及面很广，从技术层面上讲主要包括防火墙技术、入侵检测技术、病毒防护技术、数 据加密和认证技术等，这些安全技术中，大多数技术都是在攻击者对网络进行攻击时对 系统进行被动的防护。 而蜜罐技术可以采取主动的方式， 就是用特有的特征吸引攻击者， 同时对攻击者的各种攻击行为进行分析并找到有效的对付方法。 蜜罐定义为一种安全资 源2，它并没有任何业务上的用途，它的价值就是吸引攻击者对它进行非法的使用。蜜 罐技术本质上是一种对攻击者进行欺骗的技术，通过布置一些作为诱饵的主机、网络服 务以及信息诱使攻击者对他们进行攻击，减少对实际系统所造成的安全威胁，更重要的 是蜜罐技术可以对攻击行为进行监控和分析，了解攻击者所使用的攻击工具和攻击方 法，推测攻击者的意图和动机，在此基础上尽可能地追踪攻击者的来源，对其攻击行为 进行审计和取证，从而能够让防御者清晰地了解他们所面对的安全威胁，并通过法律手 段去追究攻击者的责任，或者通过技术和管理手段来增强对实际系统的安全防护能力。 蜜罐可以弥补当前网络安全技术的不足，如入侵检测系统的误报和漏报问题。结合 蜜罐构建的网络安全防御系统，可使网络防御者化被动为主动，更好地研究入侵者的行 为和动机，从而更好地保护业务网络。 蜜网是在蜜罐技术上逐步发展起来的一个新的概念，又可成为诱捕网络。蜜网技术 实质上还是一类研究型的高交互蜜罐技术，其主要目的是收集黑客的攻击信息。但与传 统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中，可以 包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具以方便对攻击 信息的采集和分析。 此外，虚拟蜜网通过应用虚拟操作系统软件（如 vmware 和 user mode linux 等） 使得能够在单一的主机上实现整个蜜网的体系架构。 虚拟蜜网的引入使得架设蜜网的代 价大幅降低，也较容易部署和管理，但同时也带来了更大的风险，黑客有可能识别出虚 拟操作系统软件的指纹， 也可能攻破虚拟操作系统软件从而获得对整个虚拟蜜网的控制 权。 “知己知彼，百战不殆”，安全防护工作者，无论是安全研究人员、安全产品研发人 员、安全管理人员和安全响应服务人员，都需要首先对黑客社团有深入的了解，包括他 们所掌握的攻击技术、 技巧和战术、 甚至心理和习惯等。 只有在充分了解对手的前提下， 太原理工大学硕士研究生学位论文 3 才能更有效地维护互联网安全。而蜜罐和蜜网技术为捕获黑客的攻击行为，并深入分析 黑客提供了基础。 1.3 论文研究内容及章节安排 本文主要对第三代虚拟蜜网进行了研究， 重点设计并且实现了一个在 win32 平台上 基于 vmware 软件部署的第三代虚拟蜜网， 对其进行了系统测试， 验证了该蜜网的数据 控制和数据捕获功能， 并在真实环境下进行了攻击测试。 成功的分析了捕获的网络攻击。 根据作者所做的工作进行组织安排，本文共分五章。 第一章 简单介绍了课题的研究背景、目的和意义，以及论文的组织结构。 第二章 阐述了网络安全现状，介绍了几种关键的网络攻击技术和入侵检测系统， 重点研究了蜜罐技术及其分类和优缺点。 第三章 介绍了蜜网的发展历史及当前蜜网技术国内外的发展现状，对蜜网进行了 综合分析研究，包括蜜网的基本概念、特点、核心功能、体系结构、安全价值、应用领 域及应用中可能存在的风险。 第四章 研究了虚拟蜜网的关键技术，提出了虚拟蜜网设计目标，介绍了第三代虚 拟蜜网的开发环境及相关技术，对整个蜜网系统的数据控制、数据捕获、数据分析进行 了研究，并对第三代蜜网网关(roo)进行了介绍。 第五章 设计并实现了在 win32 平台上基于 vmware 软件部署的第三代虚拟蜜网系 统，对该蜜网的远程管理进行了测试。 第六章 通过在真实的环境下对部署的蜜网进行系统测试和攻击测试验证了其有效 性、可用性和稳定性，并对蜜网网关记录的攻击数据进行了分析，验证了该蜜网系统对 攻击数据的捕获和分析功能。从而更好的研究了入侵者的攻击方法、攻击目的和攻击策 略。 第七章 对整个论文的工作进行了总结，对后续研究工作进行了展望。 太原理工大学硕士研究生学位论文 4 第二章 网络安全及蜜罐技术 2.1 网络安全的概述 2.1.1 网络安全的定义 网络安全的通常定义是指网络系统的硬件、软件及系统中数据信息能够受到保护， 不会因为偶然或者恶意原因而遭破坏、更改、泄露，系统能够连续可靠运行，网络服务 不中断3。 可见，一个可靠的网络应该具有如下几个特征： （1）保密性：信息不泄露给非授权的用户、实体。 （2）完整性：数据未经授权不能进行改变。 （3）可用性：能够保证合法用户的正常访问与使用。 （4）可控性：对信息的传播及内容具有控制能力。 2.1.2 网络协议的缺陷 计算机网络是一个基于多种协议的网络，tcp/ip 协议使得不同型号，不同厂商，不 同功能的网络设备能够协同工作。 但是，tcp/ip 协议也存在着一系列的设计缺陷。正是这些设计缺陷，在计算机网络 中埋下了严重的安全隐患。 1. 网络监听 tcp/ip 的设计原则就是保持简单，由于 tcp 包和 ip 包都没有留给数据加密的项目 或者选项。这使得在网上传输的数据，如果在终端没有加以处理的话，都是以明文传输 的。 这样，入侵者就可以很容易地通过嗅探器等网络工具非法获取指定主机的传输信 息。 2. 源地址欺骗 由于数据包明文发送并容易被捕获，其中的源 ip 地址段又可以直接被修改为其他 主机的 ip 地址。因此，入侵者就可以通过修改源 ip 地址段来伪装服务与会话。 3. 源路由选择欺骗 ip 数据包为测试目的设置了一个选项ip source routing,该选项可以直接指明到达 节点的路由。 太原理工大学硕士研究生学位论文 5 这样，入侵者就可以通过提供伪源 ip 地址，从而获得源主机的合法服务。 4. 路由信息协议(rip)攻击 rip 协议用来在局域网中发布动态路由信息，它是为局域网中的节点提供一致的路 由选择和可达性信息而设计的。但是，节点对收到的信息并不进行真实性检查。 这样， 入侵者就可以通过提供受损路由信息(即利用 icmp 的重定向信息)欺骗路由， 进行窃听与伪造。 2.1.3 用户使用的缺陷 系统与网络实际上都是由用户来操作的。由于用户缺乏安全知识，在使用系统和网 络的时候可能在无意间给攻击者提供了入侵的机会。 用户使用缺陷通常体现为如下几个 方面。 1. 易于破解密码 大多数系统都把口令作为第一层和唯一的防御线。而且，如果攻击者能够确定一个 账号名和密码，通常他就能够进入该网络。 2. 软件设计缺陷 大多数软件，包括操作系统和应用程序，都存在着设计缺陷。软件的设计缺陷体现 在开放大量的不必要的端口、执行有错误的脚本和软件运行时存在内存溢出错误。 3. 恶意程序 恶意程序通常是指带有攻击意图而编写的一段具有威胁的程序。 这些威胁可以分成两个类别：需要宿主程序的威胁和彼此独立的威胁，如图 2-1 所 示。 图 2-1 恶意程序的分类 figure 2-1 classification of malicious programs 恶意程序主要包括：陷门、逻辑炸弹、特洛伊木马、蠕虫、细菌、僵尸、病毒等。 恶意程序恶意程序 需要宿主程序需要宿主程序独立的独立的 陷门陷门逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马病毒病毒蠕虫蠕虫僵尸僵尸细菌细菌 太原理工大学硕士研究生学位论文 6 （1） 陷门：也被称为后门，是指进入程序的秘密入口，它使得知道陷门的人可以 不经过安全检查而获得访问。通常是由程序员为了进行调试和测试程序而人为设下的。 （2） 逻辑炸弹：最古老的程序威胁之一。逻辑炸弹是嵌入在某个合法程序里面的 一段代码，被设置成当满足特定条件时就会发作，也可理解为“爆炸”，它具有计算机病 毒明显的潜伏性。一旦触发，逻辑炸弹的危害性可能改变或删除数据或文件，引起机器 关机或完成某种特定的破坏工作。 （3）特洛伊木马：也被称为木马，是一个有用的，或表面上看起来有用的程序或 命令过程。它包含了一段隐藏的、有威胁的代码。 （4）蠕虫：网络蠕虫程序是一种能够使用网络连接从一个系统感染到另一个系统 的病毒程序。为了实现其感染功能，网络蠕虫的传播主要靠网络载体实现。 （5）细菌：计算机中的细菌是一些并不明显破坏文件的程序，他们的唯一目的就 是繁殖自己。一个典型的细菌程序可能什么也不做，除了在多道程序系统中同时执行自 己的两个副本，或者可能创建两个新的文件外，每一个细菌都在重复地复制自己，而且 是以指数级的速度复制，最终耗尽了所有的系统资源(如 cpu、ram、硬盘等)，从而拒 绝用户访问这些可用的系统资源。 （6）病毒：病毒是一种攻击性程序，采用把自己的副本嵌入到其他文件中的方式 来感染计算机系统。当被感染文件加载进内存时，这些副本就会去感染其他文件，如此 不断进行下去。 （7）僵尸：僵尸程序秘密接管网络上其他机器的控制权，之后通过被劫持机器实 施攻击行为，这使得发现真正的攻击者变得较为困难。僵尸程序可以应用于拒绝服务攻 击，使得目标站点陷入拒绝服务状态，达到攻击的目的。 僵尸网络(英文名称叫 botnet)，是互联网上受到黑客集中控制的一群计算机，往往 被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(ddos)、海量垃圾邮件等， 同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。发现一个僵尸网络 是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机 的用户往往并不知情。僵尸网络是目前互联网上黑客最青睐的作案工具。 2.2 攻击技术简介 为什么要研究攻击技术呢？古人云：“知己知彼，百战不殆。”，目前的攻击技术越 来越繁多，工具越来越复杂，手段越来越隐蔽，为了更加有效地对网络进行防护，本节 从攻击者角度出发对攻击技术进行了分类研究，深入分析了各种不同的攻击技术，并对 太原理工大学硕士研究生学位论文 7 每类攻击技术进行了概述4。 2.2.1 探测技术 探测是黑客在攻击开始前必需的情报收集工作， 攻击者通过这个过程尽可能多的了 解与攻击目标安全相关的方方面面信息，以便能够集中火力进行攻击。探测又可以分为 三个基本步骤：踩点、扫描和查点。 踩点指攻击者结合各种工具和技巧，以正常合法的途径对攻击目标进行窥探，对其 安全情况建立完整的剖析图。常用的方法有通过搜索引擎对开放信息源进行搜索、域名 查询、dns 查询、网络勘察等。 扫描则是攻击者获取活动主机、开放服务、操作系统、安全漏洞等关键信息的重要 技术。扫描技术包括 ping 扫描（确定哪些主机正在活动） 、端口扫描（确定有哪些开放 服务） 、操作系统辨识（确定目标主机的操作系统类型）和安全漏洞扫描（获得目标上 存在着哪些可利用的安全漏洞） 。著名的扫描工具包括 nmap，netcat 等，知名的安全漏 洞扫描工具包括开源的 nessus 及一些商业漏洞扫描产品如，iss 的 scanner 系列产品。 查点是攻击者常采用的从目标系统中抽取有效帐号或导出资源名的技术， 查点的信 息类型大体可以归为网络资源和共享资源、用户和用户组和服务器程序及其旗标三类。 2.2.2 攻击技术 在攻击阶段， 攻击者通过探测阶段掌握的有关攻击目标的安全情况会选择不同的攻 击方法来达到其攻击目的。攻击方法层出不穷，大致可以将其归为以下四类，即窃听技 术、欺骗技术、拒绝服务和数据驱动攻击。 1. 窃听技术 窃听技术指攻击者通过非法手段对系统活动进行监视从而获得一些安全方面的关 键信息。目前属于窃听技术的流行攻击方法有键击记录器、网络监听、非法访问数据和 攫取密码文件。 键击记录器是植入操作系统内核的隐蔽软件，通常实现为一个键盘设备驱动程序， 能够把每次键击都记录下来，存放到攻击者指定的隐藏的本地文件中。著名的有 win32 平台下适用的 iks 等。 网络监听则是攻击者一旦在目标网络上获得一个立足点之后刺探网络情报的最有 效方法，通过设置网卡的混杂（promiscuous）模式获得网络上所有的数据包，并从中抽 取安全方面的关键信息，如明文方式传输的口令。unix 平台下提供了 libpcap 网络监听 太原理工大学硕士研究生学位论文 8 工具库和 tcpdump、dsniff 等著名监听工具，而在 win32 平台下也拥有 winpcap 监听工 具库和 windump、dsniff for win32、sniffer 等免费工具，另外还拥有大量简单易用的商 业监听产品如 sniffer pro。 非法访问数据指攻击者或内部人员违反安全策略对其访问权限之外的数据进行非 法访问。 攫取密码文件是攻击者进行口令破解获取特权用户或其他用户口令的必要前提， 关 键的密码文件如 win9x 下的 pwl 文件、winnt/2000 下的 sam 文件和 unix 平台下 的/etc/password 和/etc/shadow。 2. 欺骗技术 欺骗技术是攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的 攻击方法，属于此类的有获取口令、恶意代码、网络欺骗等攻击手法。 获取口令的方式有通过缺省口令、口令猜测和口令破解三种途径。某些软件和网络 设备在初始化时会设置缺省的用户名和密码， 意在允许厂家有能力绕过被锁闭或遗忘的 管理员帐号，但这些缺省口令也给攻击者提供了最容易利用的脆弱点。口令猜测则是历 史最为悠久的攻击手段，由于用户普遍缺乏安全意识，不设密码或使用弱密码的情况随 处可见，这也为攻击者进行口令猜测提供了可能。口令破解技术则提供了进行口令猜测 的自动化工具，通常需要攻击者首先获取密码文件，然后遍历字典或高频密码列表从而 找到正确的口令。著名的工具有 john the ripple、crack 和适用于 win32 平台的 l0phtcrack 等。 恶意代码包括特洛伊木马应用程序、邮件病毒、网页病毒等，通常冒充成有用的软 件工具、 重要的信息等， 诱导用户下载运行或利用邮件客户端和浏览器的自动运行机制， 在启动后暗地里安装邪恶的或破坏性软件的程序， 通常为攻击者给出能够完全控制该主 机的远程连接。 网络欺骗指攻击者通过向攻击目标发送冒充其信任主机的网络数据包， 达到获取访 问权或执行命令的攻击方法。具体的有 ip 欺骗、会话劫持、arp（地址解析协议）重 定向和 rip（路由信息协议）路由欺骗等。 ip 欺骗是攻击者将其发送的网络数据包的源 ip 地址篡改为攻击目标所信任的某 台主机的 ip 地址，从而骗取攻击目标信任的一种网络欺骗攻击方法。通常应用于攻击 unix 平台下通过 ip 地址进行认证的一些远程服务如 rlogin、rsh 等，也常应用于穿透 防火墙。 会话劫持指攻击者冒充网络正常会话中的某一方， 从而欺骗另一方执行其所要的操 太原理工大学硕士研究生学位论文 9 作。目前较知名的如 tcp 会话劫持，通过监听和猜测 tcp 会话双方的 ack，插入包 含期待 ack 的数据包，能够冒充会话一方来达到在远程主机上执行命令的目的。支持 tcp 会话劫持的工具有最初的 juggernaut 产品和著名的开源工具 hunt。 arp 提供将 ip 地址动态映射到 mac 地址的机制，但 arp 机制很容易被欺骗， 攻击主机可以发送假冒的 arp 回答给目标主机发起的 arp 查询，从而使其错误地将 网络数据包都发往攻击主机，导致拒绝服务或者中间人攻击。 rip 由于其 v1 没有身份认证机制，v2 使用 16 字节的明文密码，因此攻击者很容 易发送冒充的数据包欺骗 rip 路由器， 使之将网络流量路由到指定的主机而不是真正希 望的主机，达到攻击的目的。 3. 拒绝服务攻击 拒绝服务攻击指中断或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻 击方法，被认为是最邪恶的攻击，其意图就是彻底地破坏，而这往往比真正取得他们的 访问权要容易得多，同时所需的工具在网络上也唾手可得。因此拒绝服务攻击，特别是 分布式拒绝服务攻击对目前的互联网络构成了严重的威胁，造成的经济损失也极为庞 大。 拒绝服务攻击的类型按其攻击形式划分为导致异常型、资源耗尽型、欺骗型。另外 分布式拒绝服务攻击（ddos）采用资源耗尽型的攻击方式，但由于其特殊性，因此将 其另归为一类。 导致异常型拒绝服务攻击利用软硬件实现上的编程缺陷，导致其出现异常，从而使 其拒绝服务。如著名的 ping of death 攻击和利用 ip 协议栈对 ip 分片重叠处理异常的 treadrop 攻击。 资源耗尽型拒绝服务攻击则通过大量消耗资源使得攻击目标由于资源耗尽不能提 供正常的服务。视资源类型的不同可分为带宽耗尽和系统资源耗尽两类。带宽耗尽攻击 的本质是攻击者通过放大等技巧消耗掉目标网络的所有可用带宽。著名的如 smurf 攻 击，冒充目标网络向多个广播地址发送 ping 包，造成数量庞大的 ping 响应湮没攻击目 标网络。 系统资源耗尽攻击指对系统内存、cpu 或程序中的其他资源进行消耗，使其无法 满足正常提供服务的需求。著名的 syn flood 攻击即是通过向目标服务发送大量的 syn 包造成服务的连接队列耗尽，无法再为其他正常的连接请求提供服务。 分布式拒绝服务攻击则是通过控制多台傀儡主机， 利用他们的带宽资源集中向攻击 目标发动总攻，从而耗尽其带宽或系统资源的攻击形式。如图 2-2 所示，ddos 攻击的 太原理工大学硕士研究生学位论文 10 第一步是瞄准并获得尽可能多的傀儡主机的系统管理员访问权， 然后上传 ddos 攻击并 运行， 大多数 ddos 守护进程运行的方式是监听发起攻击的指令， 收到后即向指定的目 标网络发动 flood 攻击。 目前著名的 ddos 工具有 tfn （tribe floodnetwork ） 、 tfn2k、 trinoo 、wintrinoo 和 stacheldraht 等。 图 2-2 ddos 攻击原理 figure 2-2 principle of ddos attack 4. 数据驱动攻击 数据驱动攻击是通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击 者给出访问目标系统的权限，数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、 输入验证攻击、同步漏洞攻击、信任漏洞攻击等。 缓冲区溢出攻击可追溯到 1988 年臭名昭著的 morris 蠕虫， 但其真正为众人所知是 在 1996 年 11 月 aleph one 发表的经典文章“smashing the stack for fun and profit”。 缓冲区溢出攻击的原理是通过往程序的缓冲区写入超出其边界的内容， 造成缓冲区的溢 出，使得程序转而执行其他攻击者指定的代码，通常是为攻击者打开远程连接的 shellcode，以达到攻击目的。最初的缓冲区溢出攻击仅限于 unix 平台，大量缓冲区溢 出漏洞被发掘并给出攻击脚本，著名的一些服务程序如 apache、wuftpd、sendmail、 openssh 等都曾被发掘出缓冲区溢出漏洞。 格式化字符串攻击主要是利用由于格式化函数的微妙程序设计错误造成的安全漏 洞，通过传递精心编制的含有格式化指令的文本字符串，以使目标程序执行任意命令。 输入验证攻击针对程序未能对输入进行有效的验证的安全漏洞， 使得攻击者能够让 程序执行指定的命令。 最为著名的是 1996 年的 phf 攻击， phf 是早期 apache web 服 务器的一个标准 cgi 脚本，由于其没有确切地分析并验证输入的有效性，导致其会以 傀儡主机傀儡主机 攻击目标攻击目标 傀儡主机傀儡主机傀儡主机傀儡主机 攻击者攻击者 攻击指令攻击指令 ddos守护进程ddos守护进程 flood攻击flood攻击 太原理工大学硕士研究生学位论文 11 运行 web 服务器程序的用户 id 的特权执行攻击者指定的任何命令。 同步漏洞攻击利用程序在处理同步操作时的缺陷，如竞争状态、信号处理等问题， 以获取更高权限的访问。 发掘信任漏洞攻击则利用程序滥设的信任关系获取访问权的一种方法，著名的有 win32 平台下互为映象的本地和域 administrator 凭证、lsa 密码（local security authority）和 unix 平台下 suid 权限的滥用和 x window 系统的 xhost 认证机制等。 2.2.3 隐藏技术 攻击者在完成其攻击目标（如获得 root 权限）后，通常会采取隐藏技术来消除攻 击留下的蛛丝马迹，避免被系统管理员发现，同时还会尽量保留隐蔽的通道，使其以后 还能轻易的重新进入目标系统。隐藏技术主要包括日志清理、安装后门、内核套件等。 日志清理主要对系统日志中攻击者留下的访问记录进行清除， 从而有效地抹除自己 的行动踪迹。unix 平台下较常用的日志清理工具包括 zap, wzap, wted 和 remove。攻击 者通常在获得特权用户访问权后会安装一些后门工具， 以便轻易地重新进入或远程控制 该主机，著名的后门工具包括 bo（back orifice） 、netbus 和称为“tcp/ip 瑞士军刀”的 netcat 等；攻击者还可以对系统程序进行特洛伊木马化，使其隐藏攻击者留下的程序、 运行的服务等。内核套件则直接控制操作系统内核，提供给攻击者一个完整的隐藏自身 的工具包， 著名的有 knark for linux、 linux root kit 及 win32 平台下的 nt/2000 rootkit。 2.3 入侵检测与蜜罐技术 2.3.1 入侵检测系统概述 随着攻击者技术的不断提高，攻击工具与手法的日趋复杂多样，单纯的防火墙策略 已经无法满足对安全高度敏感部门的需要。网络的防卫必须采用一种纵深的、多样的手 段。 与此同时，当今的网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断 升级、补漏的系统使得网络管理员的工作不断加重，不经意的疏忽便有可能造成安全的 重大隐患。在这种环境下，入侵检测系统出现了，并成为安全市场上新的热点。 目前，入侵检测系统不仅愈来愈多的受到人们的关注，而且已经开始在各种不同的 环境中发挥其关键的作用。 太原理工大学硕士研究生学位论文 12 1. 什么是入侵检测 入侵检测5（intrusion detection）,顾名思义，即是对入侵检测行为的发觉。它通过 对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析， 从中发现网络或 系统中是否有违反安全策略的行为和攻击的迹象。 进行入侵检测的软件与硬件的组合便 是入侵检测系统(intrusion detection system,简称 ids)。与其他安全产品不同的是，入侵 检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一 个合格的入侵检测系统能大大检化管理员的工作，保证网络安全的运行。 具体来说，入侵检测系统的主要功能如下： （1）监测并分析用户和系统的活动； （2）检查系统配置和漏洞； （3）评估系统关键资源和数据文件的完整性； （4）识别已知的攻击行为； （5）统计分析异常行为； （6）操作系统日志管理，并识别违反安全策略的用户活动。 由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。除 了国外的 iss、axent、nfr、cisco 等公司外，国内也有数家公司（如中联绿盟，中科网 威等）推出了自己相应的产品。但就目前而言，入侵检测系统还缺乏相应的标准。目前， 试图对 ids 进行标准化的工作有两个组织：ietf 的 intrusion detection working group (idwg) 和 common intrusion detection framework (cidf),由于这两个组织的进展非常 缓慢，至今仍没有被广泛接收的标准。 2. 入侵检测系统的作用 入侵检测能帮助系统对付各种网络攻击，扩展了服务器的安全承受能力。它从计算 机网络系统中的若干关键点收集信息，并分析这些信息，查看网络中是否有违反安全策 略的行为和遭到袭击的迹象。它是防火墙之后的第二道安全闸门，在不影响网络性能的 情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 （1）入侵检测系统与防火墙的区别。 防火墙最根本的功能就是确保网络流量的合法性， 并将网络中的流量快速从一条链 路转发到另一条链路上去。每一个防火墙都有一个规则库，无论是进站信息还是出站信 息，符合其所设定规则的通讯将会被放行。而入侵检测系统不但能检测、识别网络和系 统中存在的入侵和攻击，而且会对攻击进行记录、并做出主动响应。防火墙与入侵检测 系统的区别如表 2-1 所示。 太原理工大学硕士研究生学位论文 13 表 2-1 入侵检测系统与防火墙的区别 table 2-1 the distinction between firewall and intrusion detection system 防火墙 入侵检测系统 设备类型 数据转发设备， 完成类似交换 机或路由器的设备 一般接口， 数据采集， 分析设 备 流量处理机构 过滤 无处理 对受检报文的操作 大量的读写操作， 需要修改各 层报文的头或内容 只做简单的复制， 不修改原来 的报文 对通讯速度的影响 取决于防火墙的转发延时 ids 是旁路设备， 丝毫不影响 通讯速度 可附加模块 可实现网络层以上加密， 应用 层病毒检测、杀毒功能 不能实现加密、 杀毒功能， 但 可实现病毒检测功能 对入侵行为的处理 拒绝、报警、日志记录 拒绝、 报警、 日志记录和有限 度的反击及跟踪 入侵检测的准确性 迫于流量转发负载的压力， 只 对流量做普通检查， 有可能发 生漏报、误报现象。 除了检测以外， 没有任何业务 负担， 而且具有庞大、 详细入 侵指纹库的 ids 可以提供非 常准确的判断识别信息， 误报 率大大低于防火墙。 对访问日志的记录 只作条目式记录，框架较粗 非常详细，包括访问的资源， 请求的报文内容等。 设备稳定性对网络的影响 要求非常高， 否则可能造成网 络通讯的阻断。 无论 ids 工作与否， 都不会影 响网络通讯的流畅和稳定性。 应用层内容恢复 一般不提供应用层的内容恢 复， 但可以根据此进行过滤和 替换功能。 能够完全恢复出应用层的信 息。 能够对网络特定的流量进 行全程监视、 记录。 为管理员 判断进攻者、 收集证据提供了 强有力的手段。 对网络层以下，各协议的支 持 由于防火墙对物理链路的阻 断， 因此必须支持所有网络层 以下的协议方能维持原有网 络的正常运作， 如 rip、 osfp、 igrp、cgmp、igmp、pim 等。 没有跨接任何物理链路， 因此 无此要求。 太原理工大学硕士研究生学位论文 14 （2）入侵检测系统的原理 入侵检测系统的基本原理是嗅探(sniffer)。它通过将网卡设置成混杂模式，使得网 卡可以接收网络接口上的所有数据，数据的来源可以是主机上的日志信息、变动信息， 也可以是网络上的数据信息，甚至是流量变化等。入侵检测系统的基本结构如图 2-3 所 示。 图 2-3 入侵检测系统结构图 figure 2-3 framework chart of intrusion detection system 杀毒软件在查杀病毒时对每个病毒或恶意程序都会有相对应的特征码。 入侵者在进 行某种入侵的同时同样也会有相对应的“特征码”出现。当入侵者对服务器进行攻击时， ids 就会嗅探到一段被攻击时的数据包，入侵检测系统正是将诸如此类的数据包收集并 定义起来，给每一段极具特点的数据包定义为该攻击类别的特征码，从而判断攻击的类 型。 3. 几款常见的入侵检测系统 （1）snort snort 是目前最流行的入侵检测系统之一，可以运行于多种操作系统平台。本质上 讲，snort 是一个基于网络的入侵检测系统。它捕获和记录在网络上传输的数据包，并 通过规则脚本识别其中的可疑行为，以对管理员进行各种报警6。 snort 系统是一个以开放源代码(open source)形式开发的网络入侵检测系统,由 martin roesch 编写，并由遍布世界各地的众多程序员共同维护和升级。snort 运行在 libpcap库函数基础之上， 并支持多种系统软硬件平台， 如redhat linux 、 debian linux 、 hp-ux 、solaris(x86 和 sparc)、x86 free/net/openbsd、netbsd 以及 macos x 等。 系统代码遵循 gnu/gpl 协议。 snort 系统具有系统尺寸小、易于安装、便于配置、功能强大、使用灵活等诸多优 点。 实际上， snort 不仅是一个网络入侵检测系统, 它还可作为网络数据包分析器(sniffer) 数据数据 数 据 提 取 数 据 提 取 数据数据 数 据 分 析 数 据 分 析 数据数据 结 果 处 理 结 果 处 理 事件事件 太原理工大学硕士研究生学位论文 15 和记录器(logger)来使用。它采用基于规则的工作方式，对数据包内容进行规则匹配来 检测多种不同的入侵行为和探测活动，例如缓存溢出、隐蔽端口扫描、cgi 攻击、smb 探测等等。snort 具备实时报警功能，可以发送警报消息到系统日志文件、smb 消息或 者是指定的警报文件中。 系统采用命令行开关选项和可选 bpf 命