蜜罐与蜜网技术介绍-zhao PPT课件

1 蜜罐与蜜网技术介绍 2 内容 蜜罐技术的提出蜜罐技术蜜罐概念实例工具 DTK honeyd蜜网技术蜜网概念 蜜网项目组实例工具 GenII蜜网蜜罐 蜜网技术的应用新概念和新方向 3 蜜罐技术的提出 要解决什么问题 4 互联网安全状况 安全基础薄弱操作系统 软件存在大量漏洞安全意识弱 安全加强rarelydone任何主机都是攻击目标 DDoS 跳板攻击需要大量傀儡主机蠕虫 病毒的泛滥并不再仅仅为了炫耀 5 Holdyourfriendsclose butyourenemiescloser MichaelCorleone TheGodfather PartII 6 互联网安全状况 2 攻击者不需要太多技术攻击工具的不断完善更多的目标 Linux Windows更容易使用 工具整合Metasploit 30 Exploits更强力攻击脚本和工具可以很容易得到和使用0 dayexploits packetstorm团队协作 7 网络攻防的不对称博弈 工作量不对称攻击方 夜深人静 攻其弱点防守方 24 7 365 全面防护信息不对称攻击方 通过网络扫描 探测 踩点对攻击目标全面了解防守方 对攻击方一无所知后果不对称攻击方 任务失败 极少受到损失防守方 安全策略被破坏 利益受损 8 蜜罐技术的提出 扭转工作量不对称增加攻击代价 假目标扭转信息不对称 了解你的敌人 他们是谁 他们使用什么工具 如何操作 为什么攻击你 扭转后果不对称防守方不受影响损失计算机取证 对攻击方的威慑 9 蜜罐技术 什么是蜜罐 蜜罐的发展历史FredCohen DTKHoneyd 10 蜜罐的概念 Honeypot 首次出现在CliffStoll的小说 TheCuckoo sEgg 1990 蜜网项目组给出如下定义 Asecurityresourcewho svalueliesinbeingprobed attackedorcompromised 没有业务上的用途 因此所有流入 流出蜜罐的流量都预示着扫描 攻击及攻陷用以监视 检测和分析攻击 11 蜜罐与没有防护的PC的区别 蜜罐是网络管理员经过周密布置而设下的 黑匣子 看似漏洞百出却尽在掌握之中 它收集的入侵数据十分有价值 没有防护的计算机是送给入侵者的礼物 即使被入侵也不一定查得到痕迹 因此 蜜罐的定义是 蜜罐是一个安全资源 它的价值在于被探测 攻击和损害 12 蜜罐的要求 设计蜜罐的初衷就是让黑客入侵 借此收集证据 同时隐藏真实的服务器地址 因此我们要求一台合格的蜜罐拥有这些功能 发现攻击 产生警告 强大的记录能力 欺骗 协助调查 另外一个功能由管理员去完成 那就是在必要时候根据蜜罐收集的证据来起诉入侵者 13 蜜罐技术的发展历史 被攻陷的真实主机 1990 AnEveningwithBerferd虚拟蜜罐工具 1997 模拟网络服务 虚拟系统FredCohen DTK被监控的真实系统 2000 更多的数据捕获 分析 控制工具在一个蜜网的框架中蜜网项目组 GenII蜜网 14 蜜罐的分类 部署目标产品型研究型交互性 攻击者在蜜罐中活动的交互性级别低交互型高交互型 15 产品型蜜罐 部署目标 保护单位网络防御检测帮助对攻击的响应需要网管尽可能少的工作商业产品KFSensor Specter ManTrap 16 研究型蜜罐 部署目标 对黑客攻击进行捕获和分析这些 坏家伙 在干什么了解攻击方法捕获他们的键击记录捕获他们的攻击工具监控他们的会话需要大量时间和精力投入 实例 GenII蜜网 Honeyd 17 低交互型蜜罐 模拟服务和操作系统只能捕获少量信息容易部署 减少风险实例 Specter KFSensor andHoneyd 18 高交互型蜜罐 提供真实的操作系统和服务 而不是模拟可以捕获更丰富的信息部署复杂 高安全风险实例 ManTrap GenII蜜网 19 蜜罐技术优势 高保真 高质量的小数据集很小的误报率很小的漏报率捕获新的攻击及战术并不是资源密集型简单 20 蜜罐技术弱势 劳力 技术密集型局限的视图不能直接防护信息系统带来的安全风险 21 安全风险 发现蜜罐黑客知道要避免进入哪些系统向蜜罐反馈虚假 伪造的信息消除蜜罐的指纹蜜罐 反蜜罐技术 博弈问题 利用蜜罐攻击第三方期望黑客获得蜜罐的root权限黑客会将其用作危害第三方的跳板引入多层次的数据控制机制人为分析和干预 22 蜜罐工具实例 DTKDeceptionToolkit 1997 byFredCohenFredCohen AFrameworkforDeception HoneydAvirtualhoneypotframeworkHoneyd1 0 Jan22 2005 byNielsProvos GoogleInc 23 DTK 用户 普通互联网用户目标在几分钟内部署一系列的陷阱显著提高攻击代价 同时降低防御代价欺骗自动攻击程序 使其无效 24 从物理蜜罐到DTK 25 从物理蜜罐到DTK 26 DTK如何工作 模拟有漏洞的网络服务基于状态机变迁脚本 StateInputNexStatExitln fileoutput filename0START011ESMTPSendmail8 1 2 8 1 3 0ERROR011500Commandunrecognized pleasesay Helo 0help011214 Nohelpavailable 27 效果及局限 效果增大了攻击代价 增加攻击成功所需技术门槛让低水平的攻击者一头雾水通过日志可以了解攻击企图局限根据攻击者输入给出对应输出的方法过于简单所能够提供的欺骗手段有限 28 Honeyd 可以模拟任意TCP UDP网络服务IIS Telnet pop3 支持同时模拟多个IP地址主机经过测试 最多同时支持65535个IP地址支持ICMP对ping和traceroute做出响应通过代理和重定向支持对实际主机 网络服务的整合addwindowstcpport23proxy 162 105 204 15923 UI用户界面 v1 0 29 Honeyd监控未使用IP地址 30 Honeyd设计上的考虑 接收网络流量模拟蜜罐系统仅模拟网络协议栈层次 而不涉及操作系统各个层面可以模拟任意的网络拓扑Honeyd宿主主机的安全性限制对手只能在网络层面与蜜罐进行交互保证对手不会获得整个系统的访问权限捕获网络连接和攻击企图日志功能 31 接收网络流量 Honeyd模拟的蜜罐系统接收相应网络流量三种方式为Honeyd模拟的虚拟主机建立路由ARP代理支持网络隧道模式 GRE 32 Honeyd体系框架 配置数据库存储网络协议栈的个性化特征中央数据包分发器将输入的数据包分发到相应的协议处理器协议处理器个性化引擎可选路由构件 33 FTP服务模拟 case incmd nocaseinQUIT echo e 221Goodbye r exit0 SYST echo e 215UNIXType L8 r HELP echo e 214 Thefollowingcommandsarerecognized sunimplemented r echo e USERPORTSTORMSAM RNTONLSTMKDCDUP r echo e PASSPASVAPPEMRSQ ABORSITEXMKDXCUP r echo e ACCT TYPEMLFL MRCP DELESYSTRMDSTOU r echo e SMNT STRUMAIL ALLOCWDSTATXRMDSIZE r echo e REIN MODEMSND RESTXCWDHELPPWDMDTM r echo e QUITRETRMSOM RNFRLISTNOOPXPWD r echo e 214Directcommentstoftp domain r USER 34 个性化引擎 为什么需要个性化引擎 不同的操作系统有不同的网络协议栈行为攻击者通常会运行指纹识别工具 如Xprobe和Nmap获得目标系统的进一步信息个性化引擎使得虚拟蜜罐看起来像真实的目标每个由Honeyd产生的包都通过个性化引擎引入操作系统特定的指纹 让Nmap Xprobe进行识别使用Nmap指纹库作为TCP UDP连接的参考使用Xprobe指纹库作为ICMP包的参考 35 路由拓扑结构 Honeyd支持创建任意的网络拓扑结构对路由树的模拟配置一个路由进入点可配置链路时延和丢包率模拟任意的路由路径扩展将物理主机融合入模拟的网络拓扑通过GRE隧道模式支持分布式部署 36 路由拓扑定义实例 routeentry10 0 0 1route10 0 0 1addnet10 1 0 0 16latency55msloss0 1route10 0 0 1addnet10 2 0 0 16latency55msloss0 1route10 1 0 1link10 1 0 0 16route10 2 0 1link10 2 0 0 16createrouteronesetrouteonepersonality Cisco7206router IOS11 1 17 setrouteronedefaulttcpactionresetsetrouteronedefaultudpactionresetbind10 0 0 1routeronebind10 1 0 1routeronebind10 2 0 1routerone 37 日志功能 Honeyd支持对网络活动的多种日志方式Honeyd对任何协议创建网络连接日志 报告试图发起的 或完整的网络连接在网络协议模拟实现中可以通过stderr进行相关信息收集Honeyd也可以与NIDS结合使用 捕获更多更全面的攻击信息 38 Feb1223 06 33Connectiontoclosedport udp 210 35 128 1 1978 172 16 85 101 1978 Feb1223 23 40Connectionrequest tcp 66 136 92 78 3269 172 16 85 102 25 Feb1223 23 40Connectionestablished tcp 66 136 92 78 3269 172 16 85 102 25 shscripts smtp shFeb1223 24 14Connectiondroppedwithreset tcp 66 136 92 78 3269 172 16 85 102 25 Feb1223 34 53Killingattemptedconnection tcp 216 237 78 227 3297 172 16 85 102 80 Feb1223 39 14Connection udp 10 5 5 71 1026 172 16 85 101 137 Feb1223 39 14Connectionestablished udp 10 5 5 71 1026 172 16 85 101 137 WedFeb1223 23 40UTC2003 SMTPstartedfromPortEHLOMAILFrom RCPTTo Honeyd的日志记录 39 蜜网技术 什么是蜜网 蜜网项目组GenII蜜网技术 40 什么是蜜网 实质上是一种研究型 高交互型的蜜罐技术对攻击者活动进行收集一个体系框架包括一个或多个蜜罐高可控的蜜罐网络 41 虚拟蜜网 在一台机器上部署蜜网的解决方案VMware UserModeLinux优势减少部署成本更容易管理风险攻击虚拟系统软件 获得整个蜜网的控制权指纹 42 蜜网的需求 数据控制降低风险 使得蜜网不会被用以危害第三方数据捕获检测并捕获所有攻击者的活动数据分析分析攻击者做了什么 43 蜜网项目组 非赢利性研究机构目标Tolearnthetools tactics andmotivesoftheblackhatcommunityandsharetheselessonslearned历史1999 非正式的邮件列表June2000 演变为蜜网项目组Jan 2002 发起蜜网研究联盟Dec 2002 10个活跃的联盟成员蜜网项目组成员限制最多30人每个公司或组织同时最多2人创始人及主席LanceSpitzner SunMicrosystems 44 蜜网项目组规划 PhaseI 1999 2001GenI蜜网技术 概念验证PhaseII 2001 2003GenII蜜网技术 成熟的蜜网技术方案PhaseIII 2003 2004HoneyWall Eeyore 可引导的CDROM 集成数据控制和数据捕获工具PhaseIV 2004 2005对分布式的蜜网捕获的数据进行收集和关联的集中式系统 kangaPhaseV 2005 DataAnalysisFramework WalleyeNewHoneyWallCDROM Roo 2005年5月1日发布 45 GenII蜜网技术 GenII蜜网框架 46 没有数据控制 47 数据控制 48 iptables处理流程 49 snort inline iptables AFORWARD i LAN IFACE mstate stateRELATED ESTABLISHED jQUEUE 50 Snortlogging 01 08 10 06 09 729583 111 10 1 spp stream4 STEALTHACTIVITY XMASscan detection TCP 10 10 10 3 46271 10 10 10 10 1 51 iptablesconnectionlogging Jan809 52 43honeywalluser warnklogd INBOUNDICMP IN br0OUT br0PHYSIN eth0PHYSOUT eth1SRC 10 10 10 3DST 10 10 10 10LEN 84TOS 0 x00PREC 0 x00TTL 64 52 snort inlinelogging 03 23 21 21 05 915340 1 0 0 DroppingTelnetconnection Priority 0 TCP 10 10 10 10 39528 192 168 1 20 2303 23 21 21 24 054533 1 0 0 ModifyingHTTPGETcommand Priority 0 TCP 10 10 10 10 38533 192 168 1 20 80 53 Sebek KeystrokeLogging SebekisdevelopedbyEdBalas IndianaUniversity 54 LookingatKeystrokes 55 GenII蜜网技术 数据捕获 IPTables eth0 Snort inline IPTables eth1 SnortforSniff SebekClient HoneyWall Honeypot SebekClient Honeypot Swatch SystemActivityReport SebekSvr eth2 Administrator Blindtoblack hats 56 GenII蜜网技术 数据控制 IPTables eth0 Snort inline IPTables eth1 SnortforSniff SebekClient HoneyWall Honeypot SebekClient Honeypot Swatch SebekSvr eth2 Administrator Blindtoblack hats 57 蜜网研究联盟近期的一些发现 KnowYourEnemy TrendAnalysisTrend LifeexpectancyincreasingforunpatchedorvulnerableLinuxdeployments KnowYourEnemy AProfileProfile AutomatedCreditCardFraudKnowyourEnemy TrackingBotnetsUsinghoneynetstolearnmoreaboutBots 58 蜜罐 蜜网技术的应用 蜜罐V S 蠕虫CaptureSpammersHoneycomb 59 蜜罐V S 蠕虫 SnipeBlasterWorm Oudot 60 Usinghoneydtocapturespammers SpampreventionSpammersabusetwoInternetservicesproxyserversandopenmailrelays TounderstandhowspammersoperateweusetheHoneydframeworktoinstrumentnetworkswithopenproxyserversandopenmailrelays UseofHoneyd sGREtunnelingcapabilitiesandtunnelseveralC classnetworkstoacentralHoneydhost UsingtheHoneydframework itispossibletoinstrumentnetworkstoautomaticallycapturespamandsubmitittocollaborativefilteringsystems 61 Honeycomb Honeycomb 利用蜜罐技术自动分析入侵检测特征2004SIGCOMMPaperUniversityofCambridgeComputerLaboratory UK 62 Honeycomb体系框架 63 Honeycomb特征自动生成算法 64 水平 垂直模式检测 65 Honeycomb实验结果 66 新概念和新方向 Activatehoneypotshoneyfarmhoneytokenhoneyapphoneyclient 67 主动式蜜罐技术 动态蜜罐即插即用的解决方案自动调整被动指纹识别技术了解所处的网络环境动态配置虚拟蜜罐 68 Honeyfarm基本思想 69 重定向机制 对高价值目标映射蜜罐系统动态蜜罐技术不需创建新的目标 而使用已存在的目标将恶意的 未经授权的活动重定向到蜜罐监视和捕获攻击者在蜜罐中的活动计算机取证技术 70 什么时候重定向 非预期的流量 HotZoning非业务 Non production 目标端口非业务源端口Timeofday已知攻击 Bait n SwitchSnort的修改版本 内联网关将检测到的活动重定向到蜜罐中基于主机的监控监控主机上的未授权活动 或恶