（计算机应用技术专业论文）诱骗网络及重定向模块的设计与实现.pdf

南京邮电学院硕士学位论文 摘要 不断增长的i n t e r n e t 数据业务使得因特网上的服务面临着越来 越多的非法访问和入侵。传统的保护网络的策略是尽可能地保护系统 和资源的安全，发现系统的漏洞，并及时做出反应。这种方法的最大 特征是进行单纯的防御，而入侵者始终处于主动进攻的位置，这给网 络的防护带来了极大的挑战。h o n e y p o t 技术改变了这种状况，它带 来了一定的主动性，因为攻击者不知道h o n e y p o t 是否存在，也不知 道它部署在哪里。应用h o n e y p o t 可以发现一个要保护的系统的漏洞， 也可用来吸引入侵者，把入侵者从真实的目标引开，达到诱骗的目的。 而重定向技术的应用可以使系统更具诱骗性。 基于h o n e y p o t 原理，我们开发了一个诱骗网络系统m a g i c n e t 。 本论文首先介绍了h o n e y p o t 和h o n e y n e t 基本原理，然后讨论了 h o n e y n e t 系统的配置和实现，在此基础上给出了m a g i c n e t 的设计和 实现，以及基于s n o r t 检测引擎的重定向模块的设计与实现，最后对 重定向模块进行了测试分析，同时对进一步的工作进行了讨论。其中 重定向模块实现方法已申请发明专利，专利申请号：2 0 0 4 1 0 0 4 4 8 73 9 。 南京邮电学院硕士学位论文 a b s t r a c t t h ec o n t i n u i n gg r o w t ho fi n t e r n e td a t as e r v i c eh a sm a d ep u b l i c s e r v e r si n c r e a s i n g l yv u l n e r a b l et ou n a u t h o r i z e da c c e s s e sa n di n t r u s i o n s t r a d i t i o n a l l y , t h es t r a t e g yt od e f e n dai n f o r m a t i o ns y s t e mi st op r o t e c tt h e s y s t e ma n dr e s o u r c ea sb e s ta sp o s s i b l e ，t od e t e c ta n yv u l n e r a b l ei nt h e s y s t e m ，a n dt od or e a c t i o ni nt i m e t h ed i s t i n c tf e a t u r eo ft h i sa p p r o a c hi s t h a ti ti sp u r e l yd e f e n s i v ew h i l et h ee n e m yi so nt h ea t t a c k t h a tb r i n g s s e r i c o u sc h a l l e n g et on e t w o r ks e c u r i t y h o n e y p o ta t t e m p t st oc h a n g et h i s s i t u a t i o n i t g i v e st h eo r g a n i z a t i o n st h ea b i l i t yt ot a k et h ei n i t i a t i v e b e c a u s ea t t a c k e r sd on o tk n o wi ft h e ya r et h e r ea n dw h e r et h e yw i l lb e h o n e y p o th e l p st oe x p l o r en e wv u l n e r a b i l i t i e si na no r g a n i z a t i o n i tc a n a l s ob eu s e dt oa t t r a c ta n dd i v e r ta na t t a c k e rf r o mt h er e a lt a r g e t s t h a t t s t h em e a no ft a r pn e t w o r k w i t ht h e h e l po fr e d i r e c t i o nm o d u l e h o n e y p o tc a ne a s i l yb a i ta n dc a p u t u r ei n t r u d e r s o u rr e s e a r c h g r o u ph a sd e v e l o p e dar e a lt r a pn e t w o r l ( s v s t e m - m a g i c n e t b a s e do nh o n e y p o tt e c h i n q u e t h i st h e s i s f i r s tg i v ea n i n t r o d u c t i o no ft h eb a s i c p r i n c i p l e o fh o n e y p o ta n dh o n e y n e t ，t h e n d i s c u s s e st h ec o n f i g u r a t i o na n dt h ei m p l e m e n t a t i o no fh o n e y p o t a f t e r t h a t ，i tf o c u s e so nt h ed e s i g na n di m p l e m e n t a t i o no fm a g i c n e t ，a i s ot h e d e s i g na n dt h ei m p l e m e n t a t i o no ft h er e d i r e c t i o nm o d u l eb a s e do ns n o r t d e t e c te n g i n e f i n a l l yat e s ta n da n a l y s i so nr e d i r e c t i o nm o d u l e i sd o n e a n dad i s c u s s i o na b o u tt h e f u t u r ew o r ki s g i v e n t h ei m p l e m e n t a f t o n a p p 。o a c ho fr e d i r e c t i o n m o d u l eh a sa l r e a d ya p p l i e d ap a t e n ta n dt h e p a t e n tn u m b e ri s2 0 0 410 0 4 4 8 7 39 南京邮电学院 硕士学位论文摘要 学科、专业：工学计算机应用技术 研究方向： 计算机通信与网间互连技术 作 者：j 塑级研究生 彭雷 指导教师扬鏖 题 目：诱骗网络及重定向模块的设计与实现 英文题目：t h ed e s i g na n di m p l e m e n t a t i o no ft r a pn e t w o r ka n d r e d i r e c t i o nm o d u l e 主题词： 网络安全h o n e y p o t h o n e y n e t诱骗网络 重定向模块 k e y w o r d s ： n e t w o r ks e c u r i t y h o n e y p o th o n e y n e t t r a pn e t w o r k r e d i r e c t i o nm o d u l e 基金项目：江苏省自然科学基金项目“基于诱骗技术的主动 式网络安全新技术研究”( b k 2 0 0 3 1 0 6 ) 江苏省自然科学基金预研项目“计算网格安全策 略实现模型研究”( b k 2 0 0 4 2 1 8 ) 南京邮电学院学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电学院或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：日期 南京邮电学院学位论文使用授权声明 南京邮电学院、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电学院研究生部办理。 研究生签名：导师签名：日期： 南京邮电学院硕士学位论文 第一章诱骗网络技术概述 在战争中信息就是力量。对敌方了解得越深入，击败他的可能性就越大。在 应对那些恶意黑客、网络入侵者及电脑世晁里其他的b l a c k h a t 们的反击战中， 正义方手里所掌握的信息实在是少得可怜。大部分安全专家，甚至那些安全产品 的设计者们，都忽视了敌方的工具、战略和动机。在这一点上，显然敌方是占优 势的。 i n t e r n e t 上一台随机性的计算机一天会被扫描上许多次。系统被成功入侵 前的持续时间，对于r e dh a t6 2 服务器的默认安装来说要少于7 2 小时，而对 于常见的家庭用户设置，在w i n d o w s9 8 下再提供文件共享，在4 天之内就会有 5 次被黑掉。平均每天系统被n e t b i o s 进行扫描的次数是1 7 次。服务器从其连 入网络后开始算起，被黑客入侵的最短时间记录为1 5 分钟“1 。 所有这些表明，每天都有大量的入侵者试图闯入你的计算机网络，并且他们 成功的概率也是相当惊人的。这是一场敌对性很强的战争，那些不采取积极防御 措施的网络管理员很有可能就会被置于一种任人摆布的境地之中。 诱骗网络技术作为一种可以收集黑客攻击行为信息，发现网络安全威胁的安 全技术，为企业和组织提供了一种可以防患于未然的安全手段。通过诱骗网络， 将消极防御变为积极防御，甚至将被动攻击变为积极引诱。本章将通过h o n e y p o t 和h o n e y n e t 技术，阐述诱骗网络的相关概念。 1 1h o n e y p o t 技术概述 1 1 1h o n e y p o t 的概念 h o n e y p o t 是一种安全资源，它的价值在于被探测、攻击甚至侵入“1 。这意味 着任何时候我们设计一个h o n e y p o t ，我们的目的和期望就是它会被探测、攻击 甚至侵入。这种资源是什么并不重要，它可以是一个路由器、一个运行模拟服务 的脚本、一个牢笼，或是一个真实的产品系统。重要的是这种资源的价值在于被 攻击。如果它从不被探测或攻击，那么它就没有任何价值。这与大多数的产品系 统正好相反，因为我们不希望它们被探测或攻击。 由定义可以看出。h o n e y p o t 与多数安全工具的区别在于它可以有不同的外 在形式。现在我们所用的多数安全技术都是为解决某一特定问题而设计的。例如， 南京邮电学院硕士学位论文 防火墙是一种通过控制进出的数据流来保护企业组织的技术，它被用作接入控制 设备。防火墙常被安装在企业或组织的周边来阻止非授权行为。网络入侵检测系 统( n i d s ) 被设计为通过监视系统或网络的行为来检测攻击。它被用来识别非授 权行为。 h o n e y p o t 与它们的不同在于它不局限与解决某一种特定的问题。相反 h o n e y p o t 是一种高度灵活的工具，可以被用于多种不同的环境中。这就是为什 么h o n e y p o t 的定义乍看起来有些含糊不清，因为它能以多种不同的形式来实现 不同的目标。例如，h o n e y p o t 可以用来阻止攻击，实现防火墙的功能；也可以 用来检测攻击，实现与i d s 相同的功能。它还可以用来捕获和分析自动攻击，比 如蠕虫，或者作为预警和告警装置，或者用来研究黑客的组织的行为，捕获黑客 的击键和会话信息。h o n e y p o t 的用途取决于你如何使用它和你想达到什么目的。 然而，h o n e y p o t 的所有形式都有一个共同点：它们的价值在于被探测、攻击或 侵入。 正如h o n e y p o t 的定义是最基本的，它的工作机制也很简单。h o n e y p o t 是一 种安全资源，它没有生产价值，任何人和任何资源都不应该与它有信息交流。因 此，任何与h o n e y p o t 有关的行为本质上都是可疑的。任何指向h o n e y p o t 的数据 流都很可能是一次探测、扫描或攻击。任何由h o n e y p o t 发起的数据流都意味着 系统很可能已经被侵入，并且黑客正在向外发起连接。 图卜1 传统的单矬h o n e y p o t 系统 2 南京邮电学院硕士学位论文 1 1 2h o n e y p o t 的发展历史 h o n e y p o t 的思想最早可追溯到1 9 8 8 年5 月，c i i f f o r ds t o l l 在 c o m m u n i c a t i o n so ft h ea c m 杂志上发表的一篇题为“s t a l k i n gt h ew i i f h a c k e r ”0 3 的文献。这篇文献主要介绍了追踪黑客的过程。他们发现系统被黑客 侵入，为了找到入侵者，c 1 i f f o r ds t o l l 开始跟踪黑客活动。采取的方法是保 持系统对黑客开放，对系统进行严密的监视，悄悄记录黑客的活动并进行追踪。 文中还介绍了在追踪黑客的过程中采用的另一种技术手段，即伪造一些包含敏感 信息的文件作为诱饵吸引住黑客，一方面让黑客暂时不去进行其他破坏，另一方 面使自己有更充足的时间追踪黑客。文章提到，如果使伪造的文件包含不同类型 的信息，如财政、军事等，就可能试探出入侵者的兴趣。记录对这些文件的访问 自然也起到检测入侵者的效果。这就是h o n e y p o t 的基本思想。 h o n e y p o t 作为一个独立的系统正式出现于b i l lc h e s w i c k 在1 9 9 1 年发表的 一篇题为“a ne v e n i n gw i t hb e r f e r di nw h i c hac r a c k e ri sl u r e d ，e n d u r e d ， a n ds t u d i e d ”“1 的文献。文章指出，虽然已经有一些安全工具可以检测黑客攻 击，但有所遗漏。为了提供更多的信息，可以在系统空闲的端口上，打开一些伪 造的服务吸引黑客，进而记录下黑客的活动。所谓伪造的服务是指模仿正常服务 器软件的一些行为，如建立连接、提示访问者输入用户名和口令等。这种方法只 能得到少量的黑客信息。b i l lc h e s w i c k 把黑客引入一个专门的操作系统环境中， 使黑客暴露出了更多的信息。这个利用u n i x 更改根目录( c h r o o t ) 机制设立的黑 客活动环境被称为牢笼( j a i l ) 。b i l lc h e s w i c k 在其与s t e v e nm b e l l o v i n 合 作的“f i r e w a l l sa n di n t e r n e ts e c u r i t y ：r e p e l l i n gt h ew i l yh a c k e r ”“ 一书中再次提到伪造服务时，用到h o n e y p o t s 一词。作者特别提到，h o n e y p o t 记录黑客信息的功能可以用于检测的目的。 f r e dc o h e n 在1 9 9 6 年发表的文献“i n t e r n e th o l e s i n t e r n e tl i g h t n i n 2 r o d s ”“1 中，提到可以利用防火墙技术把未授权访问“引”向h o n e y p o t ，消耗黑 客的资源。f r e dc o h e n 认为，h o n e y p o t 除了可以演示黑客的存在外，自身也起 到了把攻击引离生产系统的效果。在1 9 9 8 年发表的文献“an o t eo nt h er o l eo f d e c e p t i o ni ni n f o r m a t i o np r o t e c t i o n ”3 中，f r e dc o h e n 认为h o n e y p o t 实质 上是种欺骗系统，并设计了采用伪造服务技术的欺骗系统d t k ( d e c e p t i o n 南京邮电学院硕士学位论文 t o o l k i t ) “3 。d t k 后来被认为是第一个公共可以得到的h o n e y p o t 系统，f r e d c o h e n 希望d t k 的广泛使用可以使黑客难以分辨真伪，增加黑客实旌有效攻击的 难度。在1 9 9 9 年发表的另外一份文献“am a t h e m a t i c a ls t r u c t u r eo fs i m p l e d e f e n s i v en e t w o r kd e c e p t i o n s ”中，f r e dc o h e n 从时间的角度，对欺骗系统 的思想进行了完整的表述。黑客在欺骗系统上花费时间，就可能暂时不会攻击工 作系统。他分析了欺骗系统能够吸引住黑客的一些途径，包括增加欺骗系统的数 量、增加欺骗系统的伪装程度等。f r e dc o h e n 出发点是如何充分利用h o n e y p o t 。 他从延缓黑客攻击的角度，看到了h o n e y p o t 为保护工作系统赢得时间的作用。 f r e dc o h e n 的工作较大地推进了h o n e y p o t 的发展。一些商用或免费的 h o n e y p o t 系统陆续出现，主要有：s p e c t e r “，c y b e r c o ps t i n g 1 ，m a n t r a p 。” 等。 虽然欺骗系统可能为保护工作系统赢得时间，但在实际使用中，人们更感兴 趣的是h o n e y p o t 记录的黑客信息。更多的注意力开始放在记录黑客信息上面。 r e c o u r c e 公司的h o n e y p o t 产品m a n t r a p 就是一个典型的代表。它使用真实的系 统作为h o n e y p o t ，提供了从系统级到网络级的强大的记录黑客活动功能。 明确提出h o n e y p o t 是一个了解黑客的有效手段始于l a n c es p i t z e r 。他在 “k n o wy o u re n e m y ”“”“3 系列文献中展示了了解黑客的一些初步成果，并在“t o b u il dah o n e y p o t ”“6 1 文献中简单介绍了自己所使用的工具h o n e y p o t s 。l a n c e s p i t z e r 使用真实的系统接受黑客攻击，利用防火墙、网络s n i f f e r 记录和控制 黑客的活动。 h o n e y p o t 真正引起人们较多的关注始于1 9 9 9 年由l a n c es p i t z n e r 倡议成 立的h o n e y n e t 研究组织的出现。h o n e y n e t 组织设置了一个一定规模的向黑客开 放的网络环境，观察黑客活动，也称为h o n e y n e t ，以对黑客群体进行系统的研 究。该组织为设置h o n e y n e t 提出了一个较为完善的方案“”，包括隐蔽地采集黑 客在h o n e y p o t 上的活动信息、控制h o n e y p o t 引入的风险、分析h o n e y p o t 采集 的数据等等。他们的研究引起越来越多的人注意到h o n e y p o t 。h o n e y n e t 研究组 织也被认为是h o n e y p o t 研究的中坚力量。目前，除了最初的研究组织外，也出 现了一些其他团体使用这样的系统进行研究，这些不同的团体x 组成t - - 个更大 的组织h o n e y n e t 研究联盟( h o n e y n e tr e s e a r c ha l l i a n c e ) ，以共享搜集到 4 南京邮电学院硕士学位论文 的黑客信思。 s p i t z n e r 在2 0 0 1 年的题为“h o n e y p o t sd e f i n i t i o n s a n dv a l u eo f h o n e y p o t s ”“”的文献中，为h o n e y p o t 下了定义，并对h o n e y p o t 在网络安全防 护体系中的作用做了比较恰当的评述。s p i t z n e r 认为h o n e y p o t 的概念非常简单， 就是一个专门让黑客攻击的系统，而作为欺骗系统的h o n e y p o t 所发挥的作用是 很有限的，h o n e y p o t 的主要作用是提供了一条获取黑客信息的途径。 从2 0 0 2 年开始，h o n e y p o t 理论在全球范围内引起了人们的注意，加拿大、 日本、澳大利亚、新加坡等都进行了相应的研究，并开展了多项庞大的研究计划， 如汇集美国多家机构( 如c i s c o 公司的s t u t z m a n 、s u n 公司的s p i t z n e r 、国家 空间研究所的h a s s 、f b i 的m a n d i a 、密西根大学的s o n g ) 的3 0 多位安全专家进 行的h o n e y n e t s 计划和美国密西根大学的h o n e y d 计划等“”，研究更深层次的理 论和技术，如h o n e y p o t 网络的系统结构、多机系统、虚拟机系统等等，引起了 美国国防部、国家安全部、国际银行组织、计算机安全协会的高度重视乜0 1 。 国内对h o n e y p o t 的研究始于2 0 0 1 年，主要集中在理论消化和实现方面。就 整体水平来说，h o n e y p o t 的研究和知识产权方面仍处于起步阶段，目前的理论 和产品都只针对一些特定的情况，没有建立完整的理论模型和应用技术。 从以上对h o n e y p o t 发展历史的介绍可以看出，h o n e y p o t 自出现以来，主要 经历了欺骗系统、h o n e y p o t s ，h o n e y n e t 几个发展阶段。欺骗系统侧重利用 h o n e y p o t 直接保护工作系统，从h o n e y p o t s 到h o n e y n e t 都是以了解黑客为主要 目的，h o n e y p o t s 把注意力集中在了解黑客的结果，而h o n e y n e t 则研究了所使 用的工具的各个方面，最有力地推动了h o n e y p o t 的发展。h o n e y p o t 近年来才产 生较大的影响，是一门崭新的技术。 1 1 3h o n e y p o t 的分类 1 1 3 1 按交互性分 h o n e y p o t 按交互性可分为低交互h o n e y p o t ，中交互h o n e y p o t 和高交互 h o n e y p o t 。交互性的高低决定了它提供的功能的多少。交互性越高，通过 h o n e y p o t 获得的有价值的信息越多，对黑客和其攻击的了解越深，相应地， h o n e y p o t 的复杂性也越高，由h o n e y p o t 所带来的危险性也越高。 低交互的h o n e y p o t 通常只提供某些特定的模拟服务。在一种基本的形式中， 南京邮电学院硕士学位论文 这些服务能够通过监听一个特定的端口实现。例如一个简单的n e t c a t 。命令就 可以监听h t t p 8 0 端口，并且将所有进入的网络流量记录到日志文件。 n e t c a t l p8 0 l o g h o n e y p o t p o r t _ 8 0 1 0 9 这样，所有进入的网络流量能够很容易地被识别并予以保存。这种简单的方 法不可能捕获复杂的协议间的通信。一个外界发起的s m t p 握手连接不会提供多 少有用的信息，因为没有内部的服务对它进行应答。 在低交互的h o n e y p o t 中没有真实的操作系统让黑客操作，这很大程度地减 小了h o n e y p o t 的风险。而另一方面，这也是它的一个弊端。它不能观察黑客与 操作系统的交互，而这也许才是真正有价值的。低交互的h o n e y p o t 就像一个单 向的对话，我们只是听，但是不提问题。这种方式是十分被动的。 中交互的h o n e y p o t 提供更多的交互，但是仍然没有真正的底层操作系统。 开发者对模拟的特定服务具有更加深刻的了解和更加丰富的知识。h o n e y p o t 的 风险也相应地增加了。由于h o n e y p o t 的复杂性提高，黑客发现安全漏洞和弱点 的可能性更大。 高交互的h o n e y p o t 有一个真实的底层操作系统。它可以为我们提供大量关 于黑客的信息。通过它我们可以发现新的黑客工具，识别操作系统和应用程序中 新的安全漏洞和弱点，甚至获得黑客间相互交流的信息。 多数高交互h o n e y p o t 放置于个受控的环境中，例如在一个防火墙后面， 防火墙允许黑客攻击其中的h o n e y p o t ，但是不允许黑客用它来发起新的攻击。 这种结构难于布署和维护，因为必须不让黑客觉察到正在被监视。 高交互h o n e y p o t 的维护非常的困难和耗时。你必须经常更新防火墙规则和 i d s 特征数据库，昼夜不停地对它进行监视。伴随着高的复杂性的是很高的风险。 任何一个失误，都可能导致黑客获得对整个操作系统的控制，用它来攻击其它的 系统或者截取生产系统的信息。但是，如果能够被恰当地维护，高交互h o n e y p o t 能够让我们了解到其它h o n e y p o t 所不能了鼹到的黑客的信息。 i i 3 1 按用途分 按其用途可以分为两种类型：应用型h o n e y p o t 和研究型h o n e y p o t 。 应用型h o n e y p o t 般用于特定组织中帮助提高网络的安全性，降低危险。 它的作用主要表现三个方面：防护，检测和响应。 6 南京邮电学院硕士学位论文 研究型h o n e y p o t 为安全专家们提供一个学习各种攻击的平台。在研究攻击 入侵中，没有其他方法比观察入侵者的行为，一步步记录他们的攻击直至整个系 统被入侵的方法更好。当然如果能够观察入侵者在系统被入侵之后所进行的行 为，将会有更大的价值，比如他们与其他攻击者之间的通信或者上载一个新的工 具包的行为。这是h o n e y p o t 特有的属性。此外，研究型h o n e y p o t 是捕获自动攻 击的好手，比如a u t o r o o t e r 和蠕虫等。因为这些攻击手段的目标是整个网段， 所以研究型h o n e y p o t 可以捕获这些攻击并迸行研究。 1 2h o n e y n e t 技术概述 1 2 1h o n e y n e t 的概念 h o n e y n e t 是一种高交互性的h o n e y p o t ，它被专门设计来吸引b l a c k h a t 社团 的攻击。一旦被攻入，h o n e y n e t 就可以被用来学习b l a c k h a t 社团的工具、战术 和动机”“。 h o n e y n e t 不是一个单独的系统而是一个网络。该网络位于一个防火墙之后， 在这里，所有的进出数据都会被容纳、捕获和控制。然后所捕获的信息会被加以 分析，以便获取关于敌方的一些情报。在h o n e y n e t 内部，可以放置任何类型的 系统来充当h o n e y p o t ，如s o l a r i s 、l i n u x 、w i n d o w sn t 、c i s c o 交换机等等。 这样，就为入侵者创造了一个更具有真实“感觉”的网络环境。同样，通过对不 同的系统配置不同的服务，例如l i n u xd n s 、w i n d o w sn t 网站服务器或者s o l a r is f t p 服务器，就可以了解不同的工具和战术。可能具有特定技术或者动机的某些 b l a c k h a t 会定位于一些特定的系统或者薄弱环节。拥有了各种系统，就更有可 能发现这些差别。 所有置于h o n e y n e t 内的系统都是标准的产品系统。这些系统都是真实的系 统和应用，等同于i n t e r n e t 上所能找到的系统。在这里一切都不是模拟的。也 没有对系统做其他的手脚而降低其安全性。通过使用这种系统，我们从中学到了 很多东西。在h o n e y n e t 中所发现的风险和易受攻击环节，与目前很多组织中所 存在的情况是致的。而且，h o n e y n e t 还可以和你自己所在的组织一样具备动 态性和灵活性。 在h o n e y n e t 中对产品系统的使用是其独特之处。由于一切都不是模拟的。 这样就可以使用相同于你自己组织中的系统和应用程序了。在图卜2 中就给出了 7 南京邮电学院硕士学位论文 一个h o n e y n e t ，其中每个h o n e y p o t 都是一个产品系统，它映像了可以在其内部 网络中找到的某个组织的架构。 图卜2 一个简单的h o n e y n e t 1 2 2i - i o n e y n e t 体系结构 成功的部署一个h o n e y n e t ，必须正确的部署h o n e y n e t 体系结构。在部署 h o n e y n e t 体系结构时并没有简单的规则可以套用，其中的细节和技术都由实际 需要决定。问题在于h o n e y n e t 的复杂性，如果没有适当的部署，可能不能捕获 攻击者的行为，更坏的情况是使自身处于危险中。一般来说，要创建并维护一个 成功的h o n e y n e t 取决于三个方面：数据控制，数据捕获和数据采集“。 ( 1 ) 数据控制。数据控制就是对黑客行为的牵制。与黑客打交道总会存在 危险，我们必须尽量降低这种危险。我们要确保一旦h o n e y n e t 中的一个蜜罐被 侵入，蜜罐不能被用来攻击任何非h o n e y n e t 的系统。然而，我们必须在黑客毫 不察觉的情况下监视并控制所有进出h o n e y n e t 的数据流量。 在侵入到一个系统后，黑客通常需要连接到i n t e m e t ，检索工具，建立i r c 连接或者发送电子邮件。我们要给他足够的自由来完成这些行为，因为这些正是 我们所要了解和研究的。而且，如果他不能发起任何向外的连接，他会对系统产 生怀疑，甚至破坏系统的数据然后离开。因此既要给予黑客足够的灵活性来做 他们需要做的事，又要不让他们利用被入侵的系统来攻击其它的生产型系统，比 如对生产型系统进行d o s ( d e n i a lo f s e r v i c e ) 攻击，系统扫描，漏洞利用等。 一般来说，你允许黑客向外的连接越多，所能捕获的关于黑客的信息就越多， 画 南京邮电学院硕士学位论文 而相应的危险也就越大。 ( 2 ) 数据捕获。数据捕获是对黑客所有行为的监控和记录。我们正是通过 对这些数据的分析来了解黑客的工具、策略和动机的。我们的目的就是要在黑客 不知道自己被监控的情况下捕获尽可能多的数据，而且对蜜罐机进行的修改要尽 可能的少。 数据捕获的关键是层次，我们不能仅仅依靠单独的一层来捕获信息，因为它 随时可能出现错误。捕获数据的层次越多，得到的数据越完整，将这些层次的数 据综合起来，我们就可以得到一个比较完整的黑客行为轮廓。 捕获的数据不能存放在本地的蜜罐机上，一则信息存储在本地有可能被黑客 发现，让他意识到该系统是蜜罐机；二则存储在本地的信息有可能丢失或被破坏。 我们不仅要在不被黑客察觉的情况下捕获他们的所有行为，而且要将捕获的信息 传送到远端存放。 ( 3 ) 数据采集。对于在分布式环境中使用多个h o n e y n e t 的企业或组织， h o n e y n e t 还有第三个要素数据采集。大多数组织仅仅使用单个h o n e y n e t ， 他们所需要的只是对数据的控制和捕获。然而，对于那些使用多个在逻辑上或物 理上分布在世界各地的h o n e y n e t 的组织，如h o n e y n e t 研究联盟m o n e y n e t r e s e a r c h a l l i a n c e ) ，他们需要收集所有捕获的数据，并将其集中存放在一个中心 的位置。通过这种方式将捕获的数据进行综合，可以成指数级地提高捕获到的数 据信息的价值a 数据采集要素提供了一种从分布的h o n e y n e t 中收集所有捕获信 息的安全方式。 目前主要有以下几种h o n e y n e t 方案：第代h o n e y n e t 1 、第二代 h o n e y n e t “、虚拟h o n e y n e t 1 等。 1 2 3 第一代h o n e y n e t 第一代( g e n i ) h o n e y n e t 技术简单而有效地实现了数据控制和数据捕获。 在图卜3 中我们可以看到g e n ih o n e y n e t 详细的结构。位于第三层的防火墙将 h o n e y n e t 分为3 个不同的子网络，分别是蜜罐网络，i n t e m e t 和管理网络 ( a d m i n i s t r a t i v en e t w o r k ) 。每个进出蜜罐网络的数据包都必须经过防火墙f f i r e w a l l ) 和路由器( r o u t e r ) 。防火墙是控制向外和向内连接的主要设备，路由器是对这种 控制功能的补充a 在g e n ih o e n y n e t 中，防火墙配置为允许任何向内的连接，但 9 南京邮电学院硕士学位论文 是控制向外的连接。 ( 1 ) 实现数据控制 防火墙对每个蜜罐向i n t e r a c t 发起的连接进行计数，一旦一个蜜罐向外的连 接数达到一个门限值，防火墙便会立即阻塞该蜜罐任何向外的连接企图。这样就 给予了黑客足够的自由来做他们想做的事情，同时也为防止黑客利用蜜罐向外发 起攻击提供了自动化的保障： 所能允许的向外的连接数取决于你想通过h o n e y n e t 实现的功能。如果你想 捕获自动化的攻击，如a u t o r o o t e r s 或者蠕虫，那么你不需要允许任何向外的连 接。当自动化的攻击侵入蜜罐网络中的一个蜜罐后，防火墙只需要简单地阻塞所 有向外的连接，阻止自动攻击的进一步复制。这样你不仅可以捕获黑客的攻击工 具，而且其它系统不会有被攻击的危险。但是，如果你想捕获非自动化的攻击， 或者想要知道系统被侵入之后会发生什么，那么你可能需要允许一些向外的连接 行为。一般地，你所允许的向外的连接越多，你所能了解的关于黑客的信息就越 多，而相应的危险也就越大。 研究发现允许每小时5 l o 个向外的连接，既能够不引起黑客的怀疑，又 可以保护网络上的其它生产型系统不受到黑客的攻击“1 。如果你可以一天2 4 小 时监视h o n e y n e t ，那么你可以允许任何向外的连接。当一个攻击被h o n e y n e t 识 别时，比如拒绝服务( d e n i a lo f s e r v i c e ) 攻击，监视人员可以轻易地阻止这个攻击。 1 0 南京邮电学院硕士学位论文 但是，g e n ih o e n y n e t 还是使用了一种自动化的方式来进行，因为大多数组织不 可能对h o n e y n e t 提供2 4 小时的监视。 g e n ih o e n y n e t 在防火墙和蜜罐网络之间放置了一个路由器( r o u t e r ) 。这样做 有两个原因。首先，路由器可以帮助隐蔽防火墙。当一个蜜罐机被侵入时，黑客 会发现一个产品路由器放置在蜜罐机与外面的网络之间，这就形成了一个更为真 实的网络环境，并且使防火墙不易被黑客发现。使用路由器的另一个原因是路由 器起到了第二个层次的接入控制作用。路由器是防火墙的补充，它帮助确保蜜罐 机不会被黑客用来攻击h o n e y n e t 外面的系统。 只依靠个设备来进行h o n e y n e t 的接入控制是远远不够的，因此g e n i h o e n y n e t 使用路由器作为另外的接入控制设备，目的主要是防止欺骗攻击 ( s p o o f i n g ) 、拒绝服务攻击( d o s ) 和基于i c m p 的攻击。透过配置使路由器只允许 以h o n e y n e t 的i p 地址作为源i p 地址的数据包通过，这样可以防止欺骗攻击， 如s y n 泛洪或s m u r f 攻击。同时还阻塞了向外的i c m p 连接，因为有些防火 墙不能对i c m p 数据包进行跟踪。 防火墙与路由器的结合有效地控制了h o n e y n e t 向外的流量。它既给黑客充 分的自由来做他们想做的事，又对黑客进行限制使他们不能在蜜罐机上发起对其 它系统的攻击。 ( 2 ) 实现数据捕获 g e n lh o e n y n e t 的数据捕获在3 个层次进行。 捕获数据的第一个层次是防火墙( f i r e w a l l ) 。防火墙日志记录了所有指向 h o n e y n e t 和由h o n e y n e t 发起的连接。这些信息的记录是非常关键的，因为所有 的连接本质上都是可疑的。g e n ih o e n y n e t 将防火墙配置为不仅可以记录下所有 的连接信息，而且对于每一个连接企图都向管理员发送警报。比如，有人企图通 过t e l n e t 登陆到蜜罐网络中的一个系统，防火墙会在日志中记录下这个连接，并 且向管理员发送警报通知该事件。这对于那些无休止的扫描尤其有效。防火墙的 另一个作用是防止黑客利用后f - ( b a c k d o o r ) 或特定的端口进行攻击。很多攻击都 会在系统上创建一个命令平台( s h e l l ) 或后门供以后使用，由于防火墙能够对指向 系统任何端e l 的连接给予报警，因此这些后门很容易被检测到。当蜜罐网络中的 一个蜜罐机发起向外的连接时，防火墙也会记录在日志中并发出警报，这个警报 南京邮电学院硕士学位论文 的级别更高，因为它表明蜜罐网络中的一个系统已经被黑客侵入，警报会通过 e m a i l 和寻呼机同时传送。 入侵检测系统( i d s ) 是捕获数据的个关键层次，它有两个重要的作用。首 先，也是最重要的，对h o n e y n e t 网络上所有行为的捕获。i d s 的主要任务是捕 获并记录数据线路上的每一个数据包。在图5 中可以看到，i d s 探测器跨接在两 个子网络上，被h o n e y n e t 中所有其它系统共享。它的一端位于交换机的一个侦 听端口上，可以记录所有的网络行为。这些记录的信息将用来分析黑客的行为。 i d s 的另个作用是对任何可疑的网络行为向管理员发出警报。大多数i d s 探测 器有一个可疑的签名数据库，当网络上数据包的签名与数据库相符，i d s 就会发 出警报。它能够对特定的连接提供详细的信息。 在g e n lh o e n y n e t 中使用了h o n e y n e tp r o j e c t 开发的o p e ns o u r c ei d ss n o r t ， 将s n o r t 配置为捕获所有的网络行为，并保存为二进制日志文件。这些日志文件 是非常重要的，因为它捕获了每个进出h o n e y n e t 的数据包。另外，s n o r t 还记录 下所有的a s c i i 信息( 比如f t p 会话的击键信息) 并以易读的文件形式保存。 两种格式的文件分别保存在它们自己的目录下面，这使得对每天记录的日志文件 进行 囊4 览和分析变得容易许多。为了让s n o r t 可以每天自动记录目志，g e n i h o e n y n e t 配置了一段启动代码，这段代码每天会以很短的时间执行，来重新启 动s n o r t 进行日志记录，并将日志文件保存到一个新的目录。第三，所有的s n o r t 警报都被递交到了目志服务器。最后，g e n ih o e n y n e t 使用了一个后端的数据库 从分布在各地的蜜罐网络中收集所有的警报。 数据捕获的第三个层次是系统本身，通过系统层来捕获所有在系统上发生的 用户或系统行为。一种方法是不仅在本地记录系统日志，而且在远程的日志服务 器上对所有的系统r 志进行收集。对于u n i x 操作系统和大多数网络设备来说。 只需要在配置文件中为远程的日志服务器加入一个入口即可。对于基于w i n d o w s 的系统，有些第三方软件可以实现远程日志记录，而且系统日志可以写入远程日 志服务器的n f s 或s m b 共享文件夹中。n t 需要使用第三方软件来将系统信息 写入日志，但它可以直接将系统日志写入远端的文件系统。这样，一些关键的系 统信息，如进程行为、系统连接和攻击企图等，都可以安全地复制到远程系统。 g e n ih o e n y n e t 没有采取任何措旋来隐蔽远程日志服务器，因为如果黑客发现了 南京邮电学院硕士学位论文 远程日志服务器，最坏情况是使臼志服务器无法工作( 这是大多数黑客的