（计算机应用技术专业论文）蜜罐系统honeypots的研究与分析.pdf

蜜罐系统h o n e y p o t s 的研究与分析 摘要 随着i n t e m e t 的快速发展，网络安全问题电日盏严重，计算机犯罪正逐年递 增。怎样确保网络的安全已经成为计算机科学的一个研究重点。 现有的安全措施主要是基于己知的事实和攻击模式，采取被动防御的方法， 这些方法对于复杂而多变的黑客攻击显得力不从心攻击。如何使网络安全防御 体系由静态转为动态，防御措施从被动变为主动是我们要研究的新课题。 本文介绍一个新的主动型的网络安全系统：蜜罐。这是个受到严密监控的 网络诱骗系统，能把将攻击从网络中比较重要的机器上转移开，对新攻击发出 预警，同时可以在黑客攻击蜜罐期间对其的行为和过程进行深入的分析研究。 论文详细分析了蜜罐的原理、结构、特点、设计和实现，并构建一个虚拟 蜜罐系统来全面论证了蜜罐的功能。论文分为四部分： 第一部分，介绍蜜罐的起源与发展，蜜罐的定义和分类，分析蜜罐的安全 价值，沦述相对于其他安全工具蜜罐所特有的优势和弱点。并对现有的蜜罐产 品作了介绍和比较。 第二部分，全面分析蜜罐的相关技术，包括蜜罐在网络中的位置、蜜罐的 信息收集方式、蜜罐的系统平台的选择、蜜网和虚拟蜜网的结构和相关原理， 同时研究了蜜罐的风险性和如果减小风险，指出了蜜罐的发展方向。 第二部分，构建了一个h o n e y d 和s n o g 结合虚拟蜜罐系统，来验证了蜜罐 的设计和实现。 第三部分，对该虚拟蜜罐系统的功能做全面的测试，分析和对比。 通过理论的证明和试验的验证，得出结论：蜜罐可以迷惑攻击者，转移攻 击目标，消耗攻击者资源，发现系统漏洞和新的攻击方式。和现有网络安全手 段如入侵监测系统和防火墙结合使用，可以有效的提高系统的安全性。 关键词：蜜罐，蜜网，虚拟蜜网，入侵检测系统，防火墙 r e s e a r c ha n d a n a l y s i so fh o n e y p o t s a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n t e r a c t t h ep r o b l e mo fn e t w o r ki n f o r r n a t i o n s e c u r i t yi sb e c o m i n gm o r ea n dm a o r es e r i o u s ，t h ec o m p u t e rc r i m e sa r ed o u b l i n g e v e r yy e a r h o wt oe n s u r et h en e t w o r ks e c u r i t yh a sb e e nf o c u so ft h ec o m p u t e r s c i e n c er e s e a r c h t h ea v a i l a b l ec o u n t e r m e a s u r e sa r ep r i m a r i l yb a s e do nk n o w nf a c t sa n dk n o w n a t t a c kp a t t e r n sa n dm a i n l ya r ep a s s s i v ed e f e n c em e a n s a l lt h e s em e a n ss e e mt o o l e s sa b l et oh a n d l ec o m p l e xa n ds w i f t l yc h a n g i n ga t t a c hm e t h o d s h o wt om a k et h e n e t w o r ks e c u r i t yd e f e n s es y s t e md y n a m i ca n dt oc h a n g em e a s u r ea c t i v e l yb u tn o t p a s s i v e l ya r et h en e wr e s e a r c ht a s k t h ep a p e rp u tf o r w a r dt h en e wa c t i v e s e c u r i t ys y s t e m ：h o n e y p o t s t h e h o n e y p o t si sas t r i c t l ym o n i t o r e dn e t w o r kd e c o y s j tc a nd i s t r a c ta d v e r s a r i e sf r o m v a l u a b l em a c h i n e so nan e t w o r k ，c a np r o v i d ee a r l yw a r n i n ga b o u tn e wa t t a c ka n d e x p l o i t a t i o nt r e n d s ，a n da l l o wi n d e p t he x a m i n a t i o no fa t t a c k e r l sa c t i o na n dp r o s e c c s d u r i n ge x p l o i t a t i o no f ah o n e y p o t t h et h e s i sd i s c u s s e st h et h e o r y ，s t r u c t u r e ，c h a r a c t e r i s t i c ，d e s i g na n d i m p l e m e n t a t i o n o fh o n e y p o t si n d e t a i l c o n s t r u c t i n g av i r t u a l h o n e y p o t s d e m o n s t r a t et h eh o n e y p o t s sf u n c t i o n s t h et h e s i sc o n s i s t so ff o u rp a r t s t h ef i r s t ，t h i st h e s i si n t r o d u c et h eo r i g i n s d e v e l o p m e n t 。t h ed e f i n i t i o nm a d c a t e g o r i e so fh o n e y p o t s a n dv a l u eo fs e c u r i t y ，s p e c i a la d v a n t a g ea n dw e a k n e s so f h o n e y p o t sa r ed i s c u s s e d ，t h ec o m p a r i s o no f a v a i l a b l eh o n e y p o t si sp r e s e n t e da l s o t h es e c o n d ，a n dc o r r e l a t i v ec o r l c e ：p t sa n di d e a sa r ea n a l y z e dc o m p l e t e l y ， i n c l u d i n gl a c a t i o n ，o p e r a t i n gs y s t e ms e l e c t i o n ，i n f o r m a t i o ng a t h e r i n g ，r i s ka n dt r e n d o fd e v e l o p m e n t t h ec o n c e p to fh o n e y n e ta n dv i r t u a lh o n e y n e ta r ed i s c u s s e d t h et h i r d o n ev i r t u a lh o n e y p o t si sc o n s t r u c t e du s e dh o n e y dt o g e t h e rw i t hs n o r t t ov a l i d a t et h ec o n c e p ta n di m p l e m e n t a t i o no fh o n e y p o t s f i n a l l y t h ea 1 1 一s i d e dt e s t i n go f t h i sv i r t u a lh o n e y p o t s l sf u n c t i o ni sd o n e a c c o r d i n gt ot h ec o n c l u s i o no ft h i st h e s i s w ec a nc l a i mt h a th o n e y p o t sc a n p u z z l ea d v e r s a r i e s ，d e v e r ta na t t a c kf r o mt h e i rr e a lt a r g e t s ，e x h a u s ta t t a c k e rr e s o u r c e s ， d i s c o v e rv u l n e r a b i l i t i e sa n dn e wa t t a c k i n gm e t h o d e s w o r k e dw i t hi d sa n df i r e w a l l t h ec o m p u t e rn e t w o r ks e e u r i t yw i l lb ee n h a n c e de f f e c t i v e l y k e yw o r d s ：h o n e y p o t s ，h o n e y n e t s ，v i r t u a lh o n e y n e t s ，i d s ，f i r e w a l l l i 第1 章蜜罐介绍 1 1 蜜罐的发展背景 今天，计算机和网络已经融入政治、经济、军事和人们生活的方方面面。 随着网络规模的不断扩大，系统的遭受入侵和攻击也越来越多。黑客利用自动 化和全球化的扫描和攻击工具，可以在很短的时间内就使大面积的计算机系统 遭受破坏。计算机犯罪逐年递增，网络和信息安全问题变得越来越突出。然而 经过多年的研究和探索，我们仍然不能确保计算机系统的安全，甚至无法准确 地评估它们的安全性。 网络安全防护涉及面很广，从技术层面上讲主要包括防火墙技术、入侵检 测技术、病毒防护技术、数据加密和认证技术等。这些安全技术中，大多数都 是在攻击者对网络进行攻击时对系统进行被动的防护，而蜜罐技术可以采取主 动的方式。顾名思义，蜜罐技术就是用“定制”的特征吸引攻击者，同时对攻 击者的各种攻击行为进行分析并找到有效的对付方法。 蜜罐系统最重要的功能就是吸引攻击并监视和记录系统中的所有操作。为 了吸引攻击者，通常要在蜜罐上故意留下一些系统漏洞和安全后门，或放罱一 些网络攻击者希望得到的虚假的敏感信息。网络安全专家通过精心的伪装，使 得攻击者在进入蜜罐系统后仍不知自己已经处于系统的监视之中。这样他的所 有行为，包括输入的字符、执行的操作等都会被蜜罐系统所记录。 蜜罐系统管理人员通过研究和分析这些记录，可以得到攻击者采用的攻击 工具、攻击手段、攻击目的和攻击水平等方面的信息，根据这些信息，网络安 全人员就可以加强对系统的安全防护。同时某种程度上，在蜜罐系统中记录的 信息还可以作为对攻击者进行起诉的证据，这也是蜜罐设计的目的之一m 。 1 2 蜜罐的定义 蜜罐( h o n e y p o t s w ) 的定义是什么，目前还有很多争论。综合国内外的资料， 我们给出这样一个定义： 蜜罐w w 是指受到严密监控的网络诱骗系统，通过真实或模拟的网络和服务 来吸引攻击，从而在黑客攻击蜜罐期问对其的行为和过程进行分析，以搜集信 息，对新攻击发出预警，同时蜜罐也可以延缓攻击和转移攻击目标。 蜜罐本身并不直接增强网络的安全性，相反它吸引入侵来搜集信息。将蜜 罐和现有的安全防卫手段如入侵检测系统( i d s ) 、防火墙( f i r e w a l l ) 、杀毒软件等 哈尔滨理工大学工学硕士学位论文 结合使用，可以有效提高系统安全性。 1 3 蜜罐的分类 我们从三个层面，对蜜罐做了分类： 1 从应用层面，可分为产品型和研究型。1 。 产品型蜜罐，指由网络安全厂商开发的商用蜜罐，一般用来作为诱饵把 黑客的攻击尽可能长时间地捆绑在蜜罐上，赢得时间保护实际网络环境，有时 也用来收集证据来作为起诉黑客的依据一但这种应用在法律方面仍然具有争 议。 研究型的蜜罐，主要用于主要应用于研究活动，吸引攻击，搜集信息， 探测新型攻击，检索新型黑客工具，了解黑客和黑客团体的背景、目的、活动 规律等。因此，研究型蜜罐在编写新的i d s 特征库，发现系统漏洞，分析分布 式拒绝服务( d d o s ) 攻击等方面是很有价值的。 2 从技术层面，根据交互程度( i n v o l v e m e n t ) 可分三种。 蜜罐的一个特征是它的交互程度( l e v e lo f i n v o l v e m e n t “，) ，交互程度指攻击 者与蜜罐相互作用的程度。 低交互( l o w i n v o l v e m e n t l ”) 蜜罐 通常是运行于现有操作系统上的一个仿真服务，黑客只能在仿真服务预设 的范围内动作，只允许少量的交互动作，在特定的端口监听记录所有进入的数 据包。在这点上，类似于一个只能记录特征匹配的输入数据包的被动的入侵 检测系统。 低交互蜜罐上没有真正的操作系统和服务，结构简单，部署容易，风险很 低，另一方面，不可能观察到与真实操作系统互相作用的攻击，所能收集的信 息也是有限的。 中交互( m i d i n v o l v e m e n t “1 ) 蜜罐 中交互蜜罐可以反馈给攻击者更多的信息，在不同的端口进行监听。一般 不提供真实的操作系统，而是应用脚本或小程序来模拟服务行为，提供的功能 主要取决于脚本。 通过更多和更复杂的互动，会让攻击者会产生是一个真正操作系统的错觉， 因此能够记录和分析更多数据。开发中交互蜜罐是相对复杂而费时的，要确保 在模拟服务和漏洞时并不产生新的真实漏洞，而给了黑客渗透和攻击真实系统 的机会。 - 高交互( h i g h i n v o l v e m e n t l ”) 蜜罐 高交互蜜罐是一一个比较复杂的解决方案，通常必须由真实的操作系统来构 哈尔滨理工大学工学硕士学位论文 建，提供给黑客的都是真实的系统和服务。 采用这种方式有两个优点，第一是可以获得大量的有用信息，通过给黑客 提供一个真实的操作系统，可以学习黑客运行的全部动作。第二是提供了一个 完全开放的环境来获取所有的攻击行为，这使得我们可能去获取一些无法预期 的动作，包括完全不了解的新的网络攻击方式。同时，也正因为高交互蜜罐提 供了完全开放的系统给黑客，也就带来了更高的风险，即黑客可能通过这个完 全开放的真实系统去攻击其他的系统。 3 从具体实现的角度，可以分为物理蜜罐和虚拟蜜罐。 高交互蜜罐通常是一台或多台拥有独立l p 和真实操作系统的物理机器，它 提供部分或完全真实的网络服务来吸引攻击，我们把这种蜜罐叫物理蜜罐m ，。而 中低交互的蜜罐可以是虚拟的机器、虚拟的操作系统、虚拟的服务，这样完全 虚拟出来的蜜灌，就是所谓的虚拟蜜罐n 。 配置高交互性的物理蜜罐往往成本很高，因为每个蜜罐都是具有自已的i p 地址的真实的机器，要有它自己的操作系统和相应硬件。而虚拟的蜜罐是由一 台机器模拟而成的，在蜜罐主机上，甚至可以构造个拥有具有多个操作系统 的多个主机的网络，并对所有发送到虚拟蜜罐的网络数据作出回应。相对而言， 虚拟蜜罐需要较少的计算机资源，也会降低维护费用。 1 3 蜜罐的安全价值 蜜罐本身并不会替代其他安全防护工具，例如防火墙、常规系统侦听等。 它是增强现有安全性的强大工具，是一种可以了解黑客常用工具和攻击策略的 有效手段。 下面分别讨论产品型蜜罐和研究型蜜罐的安全价值。 1 产品型蜜罐的安全价值 产品型蜜罐一一般应用于特定组织中以减小各种网络威胁，它增强了产品资 源的安全性。下面将从防护、入侵检测和发现入侵后的响应三方面分析产品型 蜜罐的安全价值。 ( 1 ) 防护蜜罐在防护中所做的贡献很少，并不会将那些试图攻击的入侵 者拒之门外。事实上蜜罐设计的初衷就是妥协，希望有人闯入系统，从而进行 各项记录和分析工作。 当然，有些人认为诱骗也是一种对攻击者进行防护的方法。因为诱骗使攻 击者花费大量的时间和资源对蜜罐进行攻击，这就防止或减缓了对真正的系统 和资源进行攻击。但一般情况下，大部分组织更愿意选择专门的安全防护产品， 哈尔滨理工大学工学硕士学位论文 而对蜜罐和诱骗并不感兴趣。 ( 2 ) 检测虽然蜜罐的防护功能很弱，却具有很强的检测功能。因为蜜 罐本身没有任何生产行为，所有与蜜罐相关的连接都认为是可疑的行为而被纪 录。这样就可以大大降低误报率和漏报率，也简化了检测的过程。 现在，我们主要是使用入侵检测系统( i d s u ，) 来检测攻击。然而面对大量 正常通信与可疑攻击行为相混合的网络，想要从海量的网络行为中检测出攻击 行为是一件很困难的，甚至想检测出哪些系统已经被攻陷也是一件十分困难的。 i d s 中发生的误报使系统管理员的工作变得极其繁重，每天不得不处理不计其 数的或真或假的告警，以至于有时并不能及时发现和处理真正的攻击行为。高 误报率往往使i d s 失去有效告警的作用，而蜜罐的误报率远远低于大部分i d s 工具。 另一个方面目前大部分i d s 系统，还不能够有效地对新型攻击方法进行检 测，无论是基于特征匹配的还是基于协议分析的，都有可能遗漏新型的或未知 的攻击，即漏报。蜜罐可以有效解决漏报问题，实际上，使用蜜罐的首要目的 就是检测新的或未知的攻击。蜜罐的系统管理员无需担心特征数据的更新和检 测引擎的修订，因为蜜罐最希望看到的就是攻击如何进行。 ( 3 ) 响应蜜罐检测到入侵后也可以进行一定的响应，包括模拟响应来引 诱黑客进一步的攻击，发出报警通知系统管理员，让管理员适时的调整入侵检 测系统和防火墙配置，来加强真实系统的保护等等。 2 研究型蜜罐的安全价值 现在网络安全面临的一个大问题是缺乏对入侵者的了解。即谁正在攻击、 攻击的目的是什么、攻击者如何进行攻击、使用什么方法、以及何时进行攻击 等。研究型蜜罐就是收集这些信息的有力工具。 研究型蜜罐可以为安全专家们提供一个学习各种攻击的平台，可以全程观 察入侵者的行为，一步步记录他们的攻击直至整个系统被攻陷，特别是在系统 被入侵之后黑客的行为，如他们与其他攻击者之间的通信或者上传后门工具包 的行为，这些信息将会有更大的价值。 此外，研究型蜜罐是捕获自动攻击的好手，比如a u t o r o o t e r 和蠕虫w 等， 因为这些攻击手段的目标是整个网段，合理地布置研究型蜜罐可以有效地捕获 这些攻击并进行研究。 一般而言，研究型蜜罐本身不会为整个系统带来直接的安全保护，但是可 以应用从研究型蜜罐中得出的结论，提高整个系统的防护、检测和响应能力。 如果一个组织想要提高自己产品环境的安全性，则应该考虑使用产品型蜜 哈尔滨理工大学工学硕士学位论文 罐，这是因为产品型蜜罐更容易配置和使用。而对于那些对威胁很感兴趣的组 织来说，如大学、政府和大型的公司，可以使用研究型蜜罐。 1 4 蜜罐的优势和弱点 相对于其他安全工具，蜜罐有自己特有的优点和缺点。 1 4 1 蜜罐的优点 1 使用简单 大部分安全专家都认为，相对于其他安全措旌，蜜罐最大的优点就是简单。 蜜罐中并不涉及到任何特殊的计算，不需要保存特征数据库，也没有需要进行 配嚣的规则库。用户需要做的只是将蜜罐放置在自己的组织中，并坐在一边等 待。某些蜜罐特别是研究型蜜罐可能会复杂一些。但是所有的蜜罐都只有一个 简单的前提：如果有人连接到蜜罐，就将他检测出来并记录下来。越简单就越 可靠，而其他较为复杂的安全工具则要面对包括错误的配置、系统崩溃和失效 在内的多种威胁。 2 资源占用少 许多安全工具都可能被庞大的带宽或网络行为淹没。网络入侵检测设备就 不可能完全跟踪网络行为，极易受突发数据包和潜在的攻击。中央日志服务器 也不能收集所有的系统事件，尤其无法应对突发事件。 当安全资源突然剧增的时候安全工具也有可能失效，从而导致资源耗尽。 比如，防火墙可能会在连接数据库溢出时失效，这时防火墙就不可能再进行正 常的监控工作。于是防火墙不得不阻塞所有的连接，而不是像正常工作时仅仅 阻塞那些不合法的行为。而入侵检测系统( i d s ) 就需要监控更多的行为，也许 数据量会超过每秒兆字节。如果发生这种情况，i d s 的探针缓存器就会溢出导 致数据包的丢失。如果i d s 的资源耗尽，它就不能有效的对网络行为进行监控， 有可能遗漏攻击行为。 但是蜜罐就不会碰到这类问题，它们需要做的仅仅是捕获进入系统的所有 数据，所以不会出现资源耗尽的情况。作为比较，可以考虑i d s 的工作情况。 当某一瞬间，网络上出现大量的可疑数据时，i d s 会试图记录所有这些行为， 但是如果激增的连接数目超过了缓存的大小就会发生溢出，溢出部分的数据很 有可能是需要记录的攻击行为，这样从某种意义上说i d s 就已经失效了。但是 如果工作在相同网络上的是蜜罐就不会发生这种情况，因为蜜罐仅仅对那些尝 试与自己建立连接的行为进行记录和响应，所以不会发生数据溢出的情况。并 且很多蜜罐都是模拟的服务，所以不会为攻击者留下可乘之机，成为攻击者进 行其他攻击的跳板。因此，蜜罐并不像其他的安全设备( 防火墙和i d s 探测器 等) 那样需要昂贵的硬件设备，比如大量的内存和高速芯片等。用户所需做的 仅仅是将一台没有多少用处的旧机器放置在网中，静静等待蜜罐收集到的结果。 3 数据价值高 蜜罐收集的数据很多，但是它们收集的数据通常都带有非常有价值的信息。 安全防护中最大的问题之一是从成千上万的网络数据中寻找自己所需的数据。 运用蜜罐，用户可以快速轻速轻松地找到自己所需的确切信息。比如，h o n e y n e t 组织平均每天可以收集l 到5 m b 的数据。这些数据都具有很高的研究价值，用 户不仅可以获知各种网络行为，还可以完全了解进入系统的攻击者究竟做了哪 些动作。 1 4 2 蜜罐的缺点 同其他安全措施一样，蜜罐也有不足之处，蜜罐不能完全取代其他安全机 制，实际应用中应将它与其他安全机制一同使用以增强网络和系统的安全性。 1 数据收集面狭窄 蜜罐可以完成很多有价值的工作，但是一旦攻击者不再向蜜罐发送任何数 据包，蜜罐就不会再获得任何有价值的信息。也就是说，蜜罐最大的缺点就是 它仅仅可以检测到那些对它进行攻击的行为。如果攻击者闯入蜜罐所在的网络 并攻击了某些系统，如果这些行为的对象并不蜜罐的主机，蜜罐就会对这些行 为一无所知。如果攻击者辨别出用户的系统为蜜罐，他就会避免与该系统进行 交互并在蜜罐没有发觉的情况下潜入用户所在的组织。 2 给使用者带来风险 蜜罐可能为用户的网络环境带来风险。蜜罐一旦被攻陷，就可以用于攻击、 潜入或危害其他的系统或组织。不同的蜜罐可能带来不同的风险。某些蜜罐仅 带来很小的风险，另一些蜜罐则为攻击者提供完整的平台进行新的攻击。蜜罐 越简单，所带来的风险就越小。针对具体的形式来说，仅仅进行服务模拟的蜜 罐就很难被入侵。而那些具有真实操作系统的蜜罐，因为具有很多真实系统的 特性，就很容易被入侵并成为入侵者攻击其他组织和机器的工具。 1 5 蜜罐产品分析 目前，有很多的可用的蜜罐系统，包括商业产品和自由软件，可以根据实 际的工作环境和需求来进行选择。 1 5 1 自由蜜罐软件( f r e eh o n e y p o t ss o r w a r e ) 比较常用的自由蜜罐软件有三个：d t k 、b o f 、h o n e y d 。 1 d t k ( 1 ) e f e p t i o nt o o l k i t ) d t k “。，( 欺骗工具包) 是由f r e dc o h e n 用p e r l 和c 语占编写的、一组丌放源代 码脚本程序，是出现最早的个蜜罐概念的欺骗系统。目前还只有u n i x 系统 下的版本，图卜】新版d t k 的图形界面。 f i g u r el 1g u io f d t k d t k 是一个状态机，可以方便地利用其中的功能模块模仿许多的服务和漏 洞，并作出虚假的应答。在这个过程中埘所有的行为进行；a 录。是下而以仿真 t e l n e t 服务为例来介绍。 d t k 启动后，将打开服务端口监听。开始阶段，如果出现到仿真服务器的 连接，d t k 将向攻击者返回一条b a n n e r 信息。b a n n e r 信息包含了一些系统配置 情况，d t k 町定制该b a n n e r ，以使黑客得到欺骗性的信息。随后是登录阶段， d t k 口 设置一些黑客容易猜到的账号，当黑客的输入和这些账号匹配时将进入 命令阶段。在命令阶段，黑客输入的命令有些得到d t k 事先拟定的返回信息， 好像醵命令真的被执行了。而其它的将得到“a c c e s sd e n i e d ”或者“c o m m a n dn o t f o u n d ”信息。当黑客访问一些敏感文件( 如口令文件) 时，d t k 将送出假口令 文件，同时发条e m a i l 信息通知管理员。黑客的所有输入将被加上时间以及 源i p 地址记录下柬。 过去d t k 非常容易编译和安装，但是随着它的版本不断升高，它也逐渐变 哈尔滨理l 一大学上学硕士学位论文 得难以配置。 2 b o f ( b a c k o f f i e e rf r i e n d l y ) b o f 1 是由m a r c u sr a n u m 和n f r c n e t w o r kf l i g h tr e c o r d e r ) 公司开发的一种 用来监b a c ko r i f i c e 的工具。一种简单但又十分实用的蜜罐，初学者使用b o f 可以迅速掌握蜜罐的概念。n f r 可以运行在w i n d o w s 9 5 、w i n d o w s 9 8 、w i n d o w s n ts e r v e r 4 0 和w i n d o w s n t w o r k s t a t i o n 4 0 上。此外，n f r 公司还推出了u n i x 系统下的版本，它是低交互蜜罐中较为出色的一例。 b o f 可以模仿一些基本的服务，比如h t t p 、f t p 、t e l n e t 、s m t p 、p o p 3 或b a c ko r i f i c e ，还具有“虚假应答”功能。b o f 会记录所有对b o f 端口的连 接和侦听，记录h t t p 攻击、远程登录、暴力登录或者其它各种攻击行为。如 图l 一2 所示： 幽卜2b o f 的记录 f i g u r el 一2 r e c o r do fb o f 3 h o n e y d 本论文就是采用的h o n e y d “来搭建虚拟蜜罐系统的，有关h o n e y d 的结构 和特点将在后面详细介绍。 1 5 2 商业蜜罐( c o m m e r c i a lh o n e y p o t s ) 商业蜜罐中比较常用的也有三个：s p e c t e r 、k f s e n s o r 、m a n t r a p 。 1 s p e c t e r s p e c t e r u “( 幽灵) 是一种商业化的低交互蜜罐，它类似于b o f ，不过它模 拟的服务和功能范围更加广泛，还可以模拟多种不同的操作系统。s p e c t e r 操作 简单，由于与攻击者进行交互的并不是真实的操作系统，所以风险就降得很低。 举例醴明，s p e c t e r 模拟w 曲服务或远程登录服务。当攻击者进行连接的时 候，s p e c t e r 就会激活一个h t t p 头或登录标识。接下来攻击者就会尝试获得 w e b 网页或登录到系统中，这些行为会被s p e c t e r 捕获并记录。到此为止，攻击 者就不可以再有其他的行为了，这是因为事实上并没有真正的应用程序与攻击 者进行变互，s p e c t e r 所完成的仅仅是一些有限的模拟功能。 s p e c t e r 由两部分组成：引擎部分和控制部分。引擎部分进行数据包嗅探并 对各种网络连接进行处理，而控制部分则提供图形用广| 界面供使用者进行各项 配置。所有的配置都可以在一个界面内完成，每个选项都有一个相关的帮助按 钮，如图i 一3 所示。 f i g u r e 卜3t h es p e c k rc o n n o lm a i nw i n d o w 目前，s p e c t e r 系统可以模拟十几娄操作系统( w i n d o w s n t 、w i n d o w s 9 5 9 8 m a c o s 、l i n u x 、s u n o s s o l a r i s 、d i g i t a l u n i x 、n e x t s t e p 、f r e e b s d 、a i x 、i r i x 和u 1 1 i s y s u n i x ) 。s p e c t e r 还可以为受攻击丰机提供伪造的口令文件。 模拟主机的我可以设定为5 种模式o p e n ( 开放) 、s e c u r e ( 安全) 、f a i l i n g ( 失 效、具有硬件或软件问题的机器) 、s t r a n g e ( 特殊、不可预知) 和a g g r e s s i v e ( 攻击 肚，从攻击者那里收集信息并发出广播) 。如果用户想要做的仅仅是“引诱”攻 击者，一般推荐使用o p e n 模式。 s p e c t e r 可虬模拟多种不同的网络服务( 如s m t p 、f t p 、h t t p 、t e l n e t 、 p o p 3 、f i n g e r 和n e t b u s ) 和多种陷阱( 如d n s 、s s h 、s u b 一7 、s u n - r p c 、i m a p 4 、 b 0 2 k 和g e n e r i c ) 。所有连接的记录都具有远程主机的i p 地址、确切时间、 服务类型和连接建立时引擎的状态等信息。还提供一个用户自定义陷阱，系统 管理员可以指定进行检控的端口。以后的扩展中将会提供多个用户自定义的端 哈尔滨理工太学工学硕士学位论文 口。 控制图形用户界面上有个很小的实时状态窗口，用于存告警发生时提供 简短的信息。如果想获得更加详细的信息，可以与系统管理员进行电了邮件联 系或者登录到硬盘进行查看。当s p e c t e r 发现可疑连接时，可以根据配置，在受 攻击的主机上执行f i n g e r 和反端1 5 1 扫描，这些信息也会被记录下来。 s p e c t e r 的价值在于检测，它可以快速并轻松地判断出谁在做什么。作为一 种蜜罐，它还降低了误报和漏报，从而简化r 检测所需做的工作。s p e c t e r 也支 持各种各样的告警和记录机制，用户町以在s p e c t e r 的快照中发现这些功能。 s p e c t e r 的主要缺点是信息的收集分析过程过于复杂。 2 k f s e n s o r k f s e n s o r “实际上是一种基于主机的入侵检测系统( i d s ) ，同时也是一个 w i n d o w s 平台上的蜜罐。它通过模仿易受攻击的系统服务和t r o j a n 作为来吸引 和检测攻击。工作界面如下图14 。 f 1 9 u r e 卜4m a i n w i n d o w o f k f s e n s o r b k f s e n s o r 具有以下优点： ( 1 ) 无误报防火墙和基于网络的i d s 通常会淹没在庞大的网络业务中， 从而冈为误解合法的网络业务而产生错误的告警。k f s e r s o r 蜜罐模型没有任何 合法使用，所有连接都是可疑的行为。 ( 2 ) 低开销k f s e n s o r 在受到攻击之前都处于休眠状态，仅需很小的系 统资源。传感器可以在不影响主机的正常使用情况下安装在用户主机上，无需 哈尔滨理 ：大学工学硕士学位论文 ! , i f i i ! ! ! ! ! ! ! e ! ! 自! ! | ! ! ! ! ! 目e ! ! 自! ! ! ! ! 目! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! = ! ! ! ! 曼 任何其他硬件设备。 ( 3 ) 使用简单k f s e n s o r 所使用的概念非常简单。如果想对它进行配置并 进行操作，仅需很基本的训练和很低的费用。 ( 4 ) 实时检测一旦发现攻击，就迅速进行分析并发出告警，从而在攻击 进行的过程中做出快迅反应。 ( 5 ) 深入的安全眭k f s e n s o r 也可以完成其他安全产品的工作，比如防火 墙、防病毒和基于网络的i d s 系统，从而提供了多层次的安全防护。 3 m a n t r a p m a n t r a p n ”是由r e c o u r s e 公司开发的是一种商业蜜罐，除了可以模拟服务之 外，m a n t r a p 还可以自已创建4 种子系统，通常称为“ a i l ”( 监狱) 。这些“j a i l ， 是在逻辑上离散的并且与主操作系统分离的操作系统。 安全系统管理员可以像修改任何普通操作系统那样对这些“i a r 进行修改， 包括根据自已的需要安装各种应用软件，比如o f f i c e 、o r a c l e 或a p a c h e 等。这 些特性使蜜罐变得非常灵活，可以完成的工作更加多种多样。攻击者可以与整 个j a i l 系统进行交互，还可以对各种各样的应用程序进行攻击。当然所有这些 行为也都可以被捕获并记录下来。使用者不仅可以检测端口扫描和远程登录攻 击，还可以捕获r o o t k i t 、应用层攻击、i r c 聊天对话和其他各种攻击。 然而，可以了解的信息越多，风险也就越大。蜜罐一旦被入侵，攻击者就 可以运用该操作系统的所有功能对其他人进行攻击。所以必须小心谨慎地使用 这种蜜罐，将安全风险的出现降至最低。尽管如此，这种蜜罐依然不是具有最 高交互性的蜜罐。m a n t r a p 可以作为产品型蜜罐用于对入侵进行检测和响应，也 可以作为研究型蜜罐对各种威胁进行研究。 m a n t r a p 可以保持对攻击者行为的审计追踪，并保存日志文件和记录入侵者 的行为，通过分析这些信息，用户就可以对入侵者做出简单的结论，包括入侵 者的熟练程度和入侵的意图等等，在响应攻击者的同时做出有效的资源配罨。 很遗憾，目前只有适用于s o l a r i s 操作系统的m a n t r a p 。 1 5 3 其他蜜罐 还有一些其他的蜜罐产品，如： 1 s m o k e d e t e c t o r s m o k e d e t e c t o r “”是种商用的蜜罐产品。s m o k e d e t e c t o r 可以从试图闯入 蜜罐系统的攻击行为中捕获重要的信息并将这些信息发送给蜜罐的系统管理 员。在这些被捕获的信息中包括攻击日期、攻击时间、模仿主机的i p 地址、与 哈尔滨理工大学工学硕士学位论文 s m o k e d e t e e t o r 进行通信的攻击者所在的i p 地址以及代表“警惕程度”的数字， 系统管理员用这个数字来辨别攻击的严重性。 s m o k e d e t e c t o r 可以模仿的系统包括l i n u x 、s o l a r i s 、h p u x 、a i x 、f r e e b s d 、 a s 4 0 0 、w i n d o w sn t 和w i n d o w s 2 0 0 0 。s r n o k e d e t e c t o r 可以在一个物理主机上 模拟多达1 9 种普通的服务器操作系统，可以迷惑并拖延试图获得关键信息的攻 击者。 2 n e t f a c a d e n e t f a e a d e “”是一种商业性蜜罐，由v e r i z o n 公司开发，可以完成如下功能： ( 1 ) 可以模仿由虚拟主机构成的c 类i p 网络； ( 2 ) 以指定网络地址空间或运用已经存在的网络将模拟主机与真正的 主机“交织”起来； ( 3 ) 操作系统指纹i p 数据包作出适当的应答： ( 4 ) 动态攻击识别和附加的申报功能； ( 5 ) 可以鉴别未知的攻击并作为i d s 和防火墙的输入。 3 b i g e y e ( 大眼睛) b i g e y e ”是一种免费的软件，它是一种网络应用程序的备份程序，具有嗅探、 汜录连接日志和协议( h t t p 、f t p 等) 模拟等功能。 4 自制蜜罐( h o m e m a d eh o n e y p o t s ) 自制蜜罐也是一种比较常见的蜜罐，也是低交互的。它的设计目的是捕获 特定的行为，比如蠕虫攻击或扫描行为。这种密罐既可以作为产品型蜜罐也可 以作为研究型蜜罐，取决于使用者的使用目的。 以下是自制蜜罐的一些实例： ( 1 ) p o r tl i s t e n e r ( 端口侦听者) ，用p e r l 语言编写，由j o h a n n e sb u l l r i c h 开发，用于捕获w 3 2 l e a v e s 蠕虫。 ( 2 ) w i n d o w si n e t d ，用于模仿w i n d o w sn t 和w i n d o w s2 0 0 0 。 ( 3 ) s e n dm a i l s ，用于鉴别发送垃圾邮件的攻击者。 ( 4 ) l a b r e a t a r p i t ，一种多用途蜜罐，不仅允许用户捕获蠕虫行为，还可 以捕获那些潜在的缓慢或非完整蠕虫攻击。 1 5 4 蜜罐的对比 每种产品都有自已的优缺点，没有哪种蜜罐明显优于任何其他产品，怎样 选择完全取决于我们的工作重点和实际需要。下表1 - 1 对几个产品从不同方面 进行了简单的对比和总结。 m a n t r a ps p e c t e r b o fd t kh o n e , d 自制蜜罐 交互程度高低低 由 低低高 可扩展性 开放源码n ，a 自由获取 日志文件 n ，a 信息上报 n a 配置复杂性低低 由由 n 止气 图形用户界面 n a 表卜l 鳖罐对比表 t a b e1 1h o n e y p o tc o m p a r is o i lt a b l e 1 6 本章小结 这一章介绍了蜜罐的起源、发展，给出了蜜罐的定义和分类，分析了蜜罐 的安全价值，论述了相对于其他安全工具蜜罐所特有的优势和弱点。并对现有 的蜜罐产品进行了介绍和比对。 第2 章蜜罐技术分析 在这一章里，我们对现有的蜜罐技术和相关理论做详细的介绍、分析和论 证，讨论蜜罐的设计与实现。 2 1 蜜罐在网络中的位置 蜜罐本身作为一个标准服务器对周围网络环境并没有什么特别需要。理论 上，蜜罐可以布置在网络的任何位置。但是不同的位置、作用和功能也是不尽 相同。 蜜罐根据需要，可以用于互联网也可以用于内部网络。如果用于内部或私 有网络，一般可以放置在任何一个公共数据流经的节点。这样可以有效的探测 网络内部的攻击和威胁，当然，要尽可能把蜜罐对内部网络的影响和冲击降到 最低，防止攻击者利用蜜罐来危害网络。 如果用于互联网的连接，蜜罐可以位于防火墙前面，也可以是后面。 圈2 - 1 蜜罐的位置 f i g u r e2 - 1p l a c e m e n to fah o n e y p o t 1 防火墙之前：把蜜罐布置在防火墙之前，见图l 一1 中蜜罐( 1 ) ，内部网 络的风险不会相应增加。蜜罐会吸引象端口扫描等大量的攻击，而这些攻击不 会被防火墙记录也不让内部i d s 系统产生警告，只会由蜜罐本身来记录。 优点是不用调整防火墙或i d s 及其它的资源的配置，不会给内部网增加新 的风险，因为位于防火墙之外，可被视为外部网络中的任何一台普通的机器。 缺点是内部攻击者不会被轻易地定位或捕捉到，尤其是防火墙限制外向交 通，因此也限制了蜜罐的对内网信息收集。 哈尔滨理二r = 大学工学硕士学位论文 2 防火墙之后：如图1 一l 中蜜罐( 2 ) ，会给内部网带来安全威胁，尤其是 如果内部网没有通过附加的防火墙来与蜜罐相隔离。有一点是很重要的，蜜罐 提供的服务，有些是互联网的输出服务，要求由防火墙把回馈转给蜜罐，不可避 免地调整防火墙规则，因此要谨慎设置，要保证这些数据可以通过防火墙进入 蜜罐而不引入更多的风险。 它的优点是既可以收集到已经通过防火墙的有害数据，还可以探奄内部攻 击者。 缺点是一旦内部蜜罐被外部攻击者攻陷就会危害整个内网。 当然还有一种方法，就是把蜜罐置于隔离区( d m z “) 内，如图卜1 中蜜罐( 3 ) 。 隔离区只有需要的服务才被允许通过防火墙，因此风险相对较低。只要d m z 内 的其它系统能够安全地和蜜罐隔离，这似乎是好的解决方法。当然这样也就增 加了隔离区的负担，具体实施也比较困难。 2 2 蜜罐的系统平台选择 下面讨论配置蜜罐的一些与操作系统相关的问题，在实现一个蜜罐系统之 前我们必须决定是否使用虚拟技术，这将直接影响到我们对相应操作系统平台 的选择。 2 2 1 虚拟蜜罐系统 当我们考虑蜜罐应该基于什么样的操作系统的时候，苗冼我们必须区分纯 蜜罐系统和虚拟蜜罐系统的概念。 纯蜜罐系统是指把一个操作系统安装到一台计算机上，配置好各种资源后 把它接入互联网，我们的工作只是在背后静静地观察黑客在蜜罐计算机上的所 作所为，并作出适当的控制。而虚拟蜜罐系统是指在已有的操作