第14章蜜罐技术.ppt

第14章蜜罐技术 网络攻防技术 本章主要内容 蜜罐技术提出与发展历程蜜罐技术概念及分类蜜罐技术原理蜜罐技术实例 网络攻防技术 互联网安全状况 安全基础薄弱操作系统 软件存在大量漏洞安全意识弱 缺乏安全技术能力任何主机都是攻击目标 DDoS 跳板攻击需要大量僵尸主机蠕虫 病毒的泛滥并不再仅仅为了炫耀 Spamming Phishing攻击者不需要太多技术攻击工具的不断完善 Metasploit 40 Exploits攻击脚本和工具可以很容易得到和使用 0 dayexploits packetstorm 网络攻防技术 网络攻防的非对称博弈 工作量不对称攻击方 夜深人静 攻其弱点防守方 24 7 全面防护信息不对称攻击方 通过网络扫描 探测 踩点对攻击目标全面了解防守方 对攻击方一无所知后果不对称攻击方 任务失败 极少受到损失防守方 安全策略被破坏 利益受损攻击方掌握主动权 网络攻防技术 传统安全防护机制的不足 被动安全防护机制加密 VPN防火墙 配置问题 针对开放业务端口的攻击 内部攻击入侵检测系统IDS 已知攻击特征库 高误报率反病毒软件 病毒特征库在线升级 延迟 主动 安全防护机制漏洞扫描与补丁分发工具 扫描脚本 补丁延迟入侵防御系统IPS 已知攻击特征库 傻瓜式 网络攻防技术 蜜罐技术的提出 防御方尝试改变攻防博弈不对称性而提出的一种主动防护技术对攻击者的欺骗技术 增加攻击代价 减少对实际系统的安全威胁了解攻击者所使用的攻击工具和攻击方法追踪攻击源 攻击行为审计取证蜜罐技术的提出Honeypot 首次出现在CliffStoll的小说 TheCuckoo sEgg 1990 著名计算机安全专家FredCohen 网络攻防技术 蜜罐技术发展历程 蜜罐技术1998年后 出现DTK Honeyd等大量开源蜜罐工具同期出现一些商业产品 但并未得到市场普及蜜网技术1999年由蜜网项目组 TheHoneynetProject 提出并实现目前已发展到第三代蜜网技术蜜场技术2003年由LanceSpitzner首次提出Honeypotfarms思想目前仍未有实际的工具 产品和应用 网络攻防技术 蜜罐技术概念 定义 honeypot Asecurityresourcewho svalueliesinbeingprobed attackedorcompromised LanceSpitzner TheHoneynetProject的创始人 蜜罐是一类安全资源 其价值就在于被探测 被攻击及被攻陷 网络攻防技术 蜜罐技术分类 系统功能 产品型蜜罐 研究型蜜罐 交互程度 低交互蜜罐 高交互蜜罐 网络攻防技术 产品型蜜罐 目标 有效防护业务网络间接性防护 通过诱骗增大攻击者代价 混淆关键业务资源 了解并规避安全威胁直接性防护 蜜场技术较具代表性的产品型蜜罐包括DTK honeyd等开源工具和KFSensor ManTrap等一系列的商业产品 网络攻防技术 研究型蜜罐 目标 研究对手 了解自身面临的安全威胁知己知彼 百战不殆蜜网技术 KnowYourEnemy Enemy 目前更多意义上属 于研究型蜜罐技术具有代表性的工具是 蜜网项目组 所推出的第二代蜜网技术 网络攻防技术 低交互式蜜罐技术 交互性 攻击者在蜜罐中活动的交互性级别低交互式蜜罐技术具有与攻击源主动交互的能力模拟网络服务响应 模拟漏洞容易部署 容易控制攻击低交互式 交互级别由于模拟能力而受限 数据获取能力和伪装性较弱 一般仅能捕获已知攻击例 Honeyd商业产品 KFSensorKFSensor Specter HoneyPointHoneyPoint 网络攻防技术 高交互式蜜罐技术 高交互式蜜罐技术使用真实的操作系统 网络服务与攻击源进行交互高度的交互等级 对未知漏洞 安全威胁具有天然的可适性 数据获取能力 伪装性均较强弱势 资源需求较大 可扩展性较弱 部署安全风险较高虚拟机蜜罐VS 物理蜜罐虚拟机 VirtualMachine 仿真器 Emulator 技术节省硬件资源 容易部署和控制 容易恢复 安全风险降低高交互式蜜罐工具Honeynet 蜜网项目组 TheHoneynetProject 网络攻防技术 蜜罐技术优缺点 优点收集到的数据很大可能就是由于黑客攻击造成的 不依赖于任何复杂的检测技术等 因此减少了漏报率和误报率 能够收集到新的攻击工具和攻击方法 不需要强大的资源支持 缺点需要较多的时间和精力投入 只能对针对蜜罐的攻击行为进行监视和分析 其视图较为有限 不能直接防护有漏洞的信息系统 会带来一定的安全风险 网络攻防技术 蜜罐技术原理 蜜罐技术原理 蜜罐公理 无任何业务用途 没有任何的正常活动 任何活动都是恶意的攻击诱骗 安全威胁预警绕过攻击检测问题 区分正常业务和攻击行为防火墙 定义安全策略保证正常业务入侵检测系统 根据已知攻击特征进行检测反病毒软件 根据已知病毒特征码 网络攻防技术 蜜罐技术 如何实施诱骗 欺骗环境 Pot 的构建 黑洞VS 模拟VS 真实零交互式蜜罐 黑洞 没有任何响应低交互式蜜罐 虚拟蜜罐 模拟网络拓扑 协议栈 服务 Honeyd Nepenthes 模拟 OS Sandbox 高交互式蜜罐物理蜜罐 完全真实的硬件 OS 应用 服务虚拟机蜜罐 模拟的硬件 VMWare 真实的OS 应用 服务 网络攻防技术 蜜罐技术 如何实施诱骗 部署陷阱 诱骗攻击者 Honey 安全漏洞 针对扫描式攻击散播陷阱信息 引诱攻击者 GoogleHackingHoneypot HoneyEmail 重定向技术 Honeyfarm 主动出击 利用爬虫技术 客户端蜜罐 HoneyClawer恶意网站监测 网络攻防技术 蜜罐技术 诱骗之后 欺骗环境的核心功能需求数据控制数据捕获数据分析欺骗环境的配置管理 网络攻防技术 蜜罐技术实例 Honeyd Honeyd是一种针对UNIX系统设计 开源 低交互的Honeypot 用于对可疑活动的检测 捕获和预警 网络攻防技术 Honeyd 支持同时模拟多个IP地址主机经过测试 最多同时支持65535个IP地址支持模拟任意的网络拓扑结构通过服务模拟脚本可以模拟任意TCP UDP网络服务IIS Telnet pop3 支持ICMP对ping和traceroutes做出响应通过代理机制支持对真实主机 网络服务的整合 网络攻防技术 Honeyd与其虚拟的系统之间的关系 网络攻防技术 Honeyd体系结构 网络攻防技术 Honeyd体系结构 路由模块 中央数据包分发器将输入的数据包分发到相应的协议处理器 协议处理器Service模拟脚本 个性化引擎 配置数据库存储网络协议栈的个性化特征 网络攻防技术 Honeyd功能 接收网络流量模拟蜜罐系统仅模拟网络协议栈层次 而不涉及操作系统各个层面可以模拟任意的网络拓扑Honeyd宿主主机的安全性限制只能在网络层面与蜜罐进行交互捕获网络连接和攻击企图日志功能 网络攻防技术 路由拓扑实现 Honeyd支持创建任意的网络拓扑结构对路由树的模拟配置一个路由进入点可配置链路时延和丢包率模拟任意的路由路径扩展将物理主机融合入模拟的网络拓扑通过GREGRE隧道模式支持分布式部署 网络攻防技术 个性化引擎 不同的操作系统有不同的网络协议栈行为攻击者通常会运行指纹识别工具 如Xprobe和Nmap获得目标系统的进一步信息个性化引擎使得虚拟蜜罐看起来像真实的目标 为什么需要个性化引擎 网络攻防技术 个性化引擎 每个由Honeyd产生的包都通过个性化引擎引入操作系统特定的指纹 让Nmap Xprobe进行识别使用Nmap指纹库作为TCP UDP连接的参考使用Xprobe指纹库作为ICMP包的参考 网络攻防技术 日志功能 Honeyd的日志功能Honeyd对任何协议创建网络连接日志 报告试图发起的 或完整的网络连接在网络协议模拟实现中可以进行相关信息收集 网络攻防技术 蜜罐网络Honeynet 蜜网技术实质上是一种研究型 高交互型的蜜罐技术一个体系框架包括一个或多个蜜罐多层次的数据控制机制 高度可控全面的数据捕获机制辅助研究人员对攻击数据进行深入分析 网络攻防技术 虚拟蜜网 在一台机器上部署蜜网的解决方案VMware UserModeLinux优势减少部署成本更容易管理劣势虚拟机的指纹 虚拟硬件的配置信息 网络攻防技术 蜜网项目组 非赢利性研究机构目标Tolearnthetools tactics andmotivesoftheblackhatcommunityandsharetheselessonslearned历史1999 非正式的邮件列表June2000 演变为蜜网项目组Jan 2002 发起蜜网研究联盟Dec 2002 10个活跃的联盟成员创始人及主席LanceSpitzner SunMicrosystems 网络攻防技术 蜜网技术的发展历程 I 1999 2001GenI蜜网技术 概念验证II 2001 2003GenII蜜网技术 初步成熟的蜜网技术方案III 2003 2004HoneyWall Eeyore 可引导的CDROM 集成数据控制和数据捕获工具IV 2004 2005对分布式的蜜网捕获的数据进行收集和关联的集中式系统 kangaV 2005 Gen3蜜网技术数据捕获机制的改进 argus sebek3 0 xDataAnalysisFramework WalleyeNewHoneyWallCDROM RooEdBalas IndianaUniversity 网络攻防技术 蜜网的体系结构 网络攻防技术 蜜网技术核心需求 数据控制机制防止蜜网被黑客 恶意软件利用攻击第三方数据捕获机制获取黑客攻击 恶意软件活动的行为数据网络行为数据 网络连接 网络流系统行为数据 进程 命令 打开文件 发起连接数据分析机制理解捕获的黑客攻击 恶意软件活动的行为 网络攻防技术 GenI蜜网 第一代蜜网技术是一个简单地使用防火墙 入侵检测系统和日志 报警服务器构建的受控环境 使用路由器转发会消耗数据包的TTL值 路由跳数 因此对攻击者来是可见的 容易被攻击者所察觉 网络攻防技术 GenI蜜网体系结构 网络攻防技术 GenII蜜网 GenII