[硕士论文精品]q 蜜罐honeyd的扩展设计与实现

摘要HONEYD是一款用于创建网络上虚拟主机的蜜罐后台程序，通过配置可以为它虚拟的主机提供任意的服务。经过HONEYD的个性引擎处理，可以显示在这些虚拟主机上运行的特定版本的操作系统。为了增强HONEYD的仿真能力，过去的方案是利用HONEYD提供的插件接口，编写脚本程序为其模拟网络服务，但是由于各种操作系统指纹不同，会使脚本的编写比较繁杂。本文借鉴了亚琛工业大学THOMASAPEL提出的收集服务器指纹信息用于蜜罐服务模拟的思想，采用了一种扩展HONEYD的新方法，可以不必再通过编写脚本的方式模拟服务，而是主动获取指纹信息，让HONEYD去读取这些信息并返回给攻击者。该方式使HONEYD仿真能力更强，是一种扩展HONEYD的新方式经过测试，该系统生成的特征数据库解析后，其生成的模拟器能欺骗常见的指纹识别工具，HONEYD能在日志文件中记录模拟服务的攻击信息。关键词蜜罐HONEYD指纹入侵检测扩展HTTP/INFO3DOUCOM/网络推广ABSTRACTHONEYDISADAEMONTHATCREATESVIRTUALHOSTSONANETWORKTHCHOSTSCANBECONFIGUREDTORUNARBITRARYSERVIC圮8THEIRPERSONALITYCALLBECONFIGUREDSOTHATTHEVIRTUALHOSTSAPPEARESTOBERUNNINGCERTAINVERSIONSOFOPERATINGSYSTEMSTOENHANCETHESIMULATIONABILITYOFHONEYD,OLDWAYISUSINGTHEPHIGININTERFACEPROVIDEDBYHONEYD，WRITINGSCRIPTPROCEDURESTOEMULATENETWORKSERVICES，BUTBECAUSEDIFFERENCESOPERATINGSYSTEMSHAVEDIFFERENTFINGERPRINTS，THESCRIPTWRITINGISCOMPARATIVELYCOMPLICATEDTLLISTHESISUSEDTHEIDEAPRESENTEDBYAPDTHOMASFROMTHERVRMAACHENUNIVERSITYTHATISGENERATINGFINGERPRINTSOFNETWORKSANREF葛ANDTHEIRUSEINHONEYPOTS，ADOPTEDANEWMETHODTOEXTENDHONEYD，BYWHICHWE啪NOLONGERSIMULATESERVICESWITHSCRIPTPROCEDURESR,OBTAINESTHEFINGERPRINTINFORMATIONOFERVERFORWARDLY,THENHONEYDREADESTHESEMESSAGESANDRETUMESTOTHEATTACKERSTHISWAYIMPROVESTHEAPTITUDEOFHONEYDITISANEWWAYOFEXTENSIONAFTERTESTINGWIMTHEPERSONALITYDATABASEPARSING,THEEMULATORGENERATEDBYTHISSYSTEMC趾DECEIVESOMEPOPULARFINGERPRINTINGTOOLSANDHONEYDISABLETORECORDTHEATTACKINFORMATIONOFSIMULATEDSERVICESINTHELOGFILESKEYWORDHONEYPOTHONEYDIDSFINGERPRINTEXTENSION创新性声明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。申请学位论文与资料若有不实之处，本人承担一切相关责任。本人签名声硝日期兰盟2关于论文使用授权的说明本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。保密的论文在解密后遵守此规定本人签名导师签名燧日期兰丑圭1日期兰璺兰2HTTP/INFO3DOUCOM/网络推广第一章绪论第一章绪论11论文的研究背景和意义互联网的开放性、交互性和分散性满足了人们所憧憬的信息共享、开放、灵活和快速等需求，网络环境为信息共享、信息交流、信息服务创造了理想空问。但与此同时，与计算机网络相关的安全问题日益突出，人们面临着由于网络入侵而引发的一系列安全问题的困扰。导致目前互联网的众多安全状况原因有很多，一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷，同时，大部分的网络使用者还未真正拥有安全意识，如及时打补丁、安装防火墙和其他安全工具等，从而导致了目前的互联网具有巨大的安全隐患另一方面，随着网络攻击技术的发展，特别是分布式拒绝服务攻击、跳板攻击及互联网蠕虫的盛行，互联网上的每一台主机都已经成为攻击的目标。此外，攻击者也不再需要很多专业技术和技巧，他们可以很方便地从互联网上找到所需的最新攻击脚本和工具。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用，功能也越来越强，能够造成的破坏也越来越大【L一。1研究背景安全防护工作者，无论是安全研究人员、安全产品研发人员、安全管理人员还是安全响应服务人员，都需要首先对黑客社团有深入的了解，包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。只有在充分了解对手的前提下，我们才能更有效地维护互联网安全对我们来说，面临的最大问题是缺乏对入侵者的了解。我们最需要了解的是谁正在攻击、攻击的目的是什么、攻击者使用什么方法攻击、以及攻击者何时进行攻击等这些问题如果只是凭空猜测，往往得不到正确的答案，安全人员所拥有的攻击信息寥寥无几。他们希望找到一种类似笼子的系统，使之能诱敌深入。其作用设想如下这些笼子在功能上独立，为了实现真实的伪装，必须能伪装成各类主机系统的真实环境，且与真实主机执行相同的软件，形成了完全相似的环境。但为了保持诱骗性，又做一些微小的变动，使它比受保护的主机更脆弱，引诱黑客进入攻击，在黑客自以为正在偷盗主机的数据或进行破坏时，系统早已经将他的行为记录在案，并已向受保护主机报了警。因此，它有如下一些好处可针对特定的内外部已知或未知攻击提供早期预警；并且它采取诱骗设置的方法，使整个系统管理成本降低【3，4一。本课题正是在这样的背景下提出来的，为了满足网络对抗和积极防御蜜罐HONEYD的扩展设计与实现课程建设需求，对蜜罐HONEYD进行了扩展设计与实现。通过分析蜜罐HONEYD的体系架构来研究蜜罐的关键技术网络欺骗、端口重定向、数据控制及数据捕获技术，并采用一种新的思路来为HONEYD模拟目前没有提供的服务，这也是HONEYD项目组提出的下一步主要研究方向。2蜜罐的价值1传统网络安全产品与蜜罐的比较如表11所示。表11安全设备按能力分类比较嗍发现能力诱捕能力响应能力对已知入侵对未知入侵S滥用4很强IDS非规则防火墙4很强蜜罐信息分析信息分析很强防病毒安全审计交换机防范网络入侵最常用的方法是防火墙和入侵检测技术。但是，防火墙只是一种被动防御性的网络安全工具，仅仅使用防火墙是不够的。首先，入侵者可以找到防火墙的漏洞，绕过防火墙进行攻击。其次，防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝，要么都通过，而这是远远不能满足用户复杂的应用要求的。防火墙等安全设备都属于静态安全技术范畴，它们不能主动跟踪侵入者H，K叫。对于IDS，应采取主动的方式进行防御，有效的检测至少应包含两点1能快速地检测到非授权行为，才能对任何潜在可能的攻击采取应急措施；2及时地检测能够大量减少可能成功攻击的黑客行为。一旦及时地发现某个资源或者系统被接管，就可以迅速地将该资源或系统隔离并恢复到未被接管前的状态。不幸的是，IDS会产生大量的误报和漏报信息。除此之外，还存在不能及时更新规则库的问题。一旦有新的攻击出现，就要定义相应的规则，否则IDS就会漏报这种攻击，IDS和蜜罐系统性能比较如表12所示。HTTP/INFO3DOUCOM/网络推广第一章绪论表12MS与蜜罐的性能比较【10，11】性能S蜜罐许多IDS在鉴别合法的行为和可疑的任何对蜜罐的访问都是未授权的、非连接之间存在困难。法的，这样蜜罐检测攻击就非常有效，误报率从而大大减少了错误的报警信息，甚至可以避免。攻击者有可能开发出新的工具或者方蜜罐可以很容易地鉴别捕获针对它的法绕过IDS，或者这些新的攻击以前新的攻击行为。由于针对蜜罐的任何漏报率就从来没有被截获过，这样网络对新操作都不是正常的，这样就使得任何的攻击工具或者方法就没有任何免疫新的以前没有见过的攻击很容易暴力。露。IDS需要一定的硬件资源以匹配所在蜜罐只需要一台主机便可实现对一个网络的带宽网络带宽越宽，流量越网络拓扑的模拟，而且，它仅仅收集资源大，对IDS的硬件资源要求就越高那些对它进行访问的数据在同样的另外，还需要大型数据库存储收集到条件下，IDS可能会记录成千上万的的报警信息。报警信息，而蜜罐却只有几百条。加密技术使得我们网络管理人员对网无论攻击者对连接是否加密都没有关加密络上发生的一切就闭目塞听了，入侵系，蜜罐都可以捕获他们的行为。检测系统也就毫无作为了。3蜜罐是对10S的有力补充，蜜罐可以分担IDS的一部分数据流量。减轻IDS的负担。蜜罐的引入为IDS的自学习提供了可能，可以增强IDS的智能。把符合攻击特征的事件和未知事件全部引人蜜罐，由蜜罐来监测访问者的访问动作，进而判断该未知事件是否为攻击事件。如果攻击行为确立，则一方面记录攻击事件，一方面提供攻击特征给IDS，使IDS及时学习新型的攻击行为【翻。2本文的研究意义蜜罐虽然有众多的优点，同时它也有缺点，这些缺点主要体现在以下几个方面1蜜罐的视野比较狭窄它只能看见针对它的行为。如果攻击者闯入网络，攻击了多个系统，但是由于没有直接攻击蜜罐，那么蜜罐将无法发现这次攻击。如果攻击者发现了网络中的蜜罐，它就避开蜜罐系统渗入到你的网络中，而蜜罐却不知道。也就是说，蜜罐的视野也就像显微镜一样，只能观察到它的镜头下的，其余的就爱莫能助了。2运行时容易留下指纹蜜罐具备一些特定的预期特征或者行为，因而能够被攻击者识别出其真实身份。3蜜罐运行时的风险它将风险带入了网络环境中。这个风险就是一旦蜜罐被攻击了，它有可能被攻击者利用作为攻击、渗透其他系统或组织的跳板【瑚。一4蜜罐HONEYD的扩展设计与实现综合考虑蜜罐技术的以上几点缺陷以及HONEYD的特性，本文选择HONEYD作为研究和扩展的对象，更为具体的原因将会在31节中有详细的分析和解释。为了提高HONEYD的仿真能力，本文借鉴了亚琛工业大学THOMASAPEL提出的收集服务器指纹信息用于蜜罐服务模拟的思想，采用了一种改进的方法为HONEYD模拟网络服务。12论文研究内容蜜罐的思想是建立一个陷阱系统，这个系统有着一个真实的或者建立在别的系统上的操作系统，它看上去有许多漏洞，攻击者可以很轻易地获取其资源。蜜罐应该以一种与真实系统相似的方式建立，应当有许多虚假的文件、文件夹和其它信息，以便使得这个系统与真实系统看起来非常相似。HONEYD是一款用于创建虚拟网络上的主机的后台程序，这些虚拟主机可以配置使得它提供任意的服务，利用个性处理，可以使得这些主机显示为在某个特定版本的操作系统上运行本论文对蜜罐HONEYD的软件体系架构进行了详细地分析，剖析YHONEYD怎样在网络层次上虚拟蜜罐，并分析JHONEYD运行所需要的环境支持。主要研究以下几个方面的内容详细地分析了数据包在HONEYD各逻辑框架内的处理过程；解析YHONEYD的指纹匹配技术和网络虚拟技术；采用了一种扩展HONEYD的新方法，为HONEYD模拟更多的网络服务；用各种指纹识别工具测试脚本程序模拟的各种扩展服务。13国内外发展现状1主要研究机构2006年11月14日，瑞星公司病毒组通过蜜罐捕获了“尼姆亚”病毒。从蜜罐里提取病毒后，反病毒工程师们将病毒移到一台与网络隔离的电脑上，这里是病毒的“解剖台”。运行病毒之后，系统所有的图标都变成了熊猫烧香。工程师们发现，在病毒“卡通化”的外表下，隐藏着巨大的传染潜力，它的传染模式和杀伤手段与风行一时的“威金”病毒十分相像，瑞星公司随即发布病毒预警。国内外的主要研究机构及成果如表13所示。HTTP/INFO3DOUCOM/网络推广第一章绪论表13国内外主要研究机构及其主要研究成果嘲5研究机构研究内容主要成果SANS，SECURITYFOCM部署模拟某些捕获蠕虫病毒，并深入地对其进行分析WMDOWS系统国漏洞的蜜罐DISTRIBUTEDHONEYPOT部署分布式蜜将蜜罐散布在网络的正常系统和资源中，PROJECT罐利用闲置的服务端口进行欺骗，将欺骗分布到更广范围的口地址和端口空间中，增大了欺骗在整个网络中的百分比外HONEYNETPR西贼、蜜网技术使用蜜网技术专注于对网络入侵者使用的HONEYNETRESEM_CH各种工具、攻击策略及目的进行研究，并ALLIALLE且分享经验。北京大学计算机研究蜜网技术通过翻译最新的蜜网技术文档以及架设蜜所信息安全工程研究罐与蜜网技术讨论平台等工作促进国内对中心的狩猪女神项目蜜罐和蜜网技术的关注；对其中捕获的恶国意软件、黑客攻击以及僵尸网络活动等案例进行深入分析；正在进行恶意软件收内集、蜜网数据分析与可视化以及对僵尸网络活动的发现、跟踪与反制等几个方向上进行深入地研究与工具开发。2主要产品蜜罐的实现软件有免费和商业的，产品范围涉及低包含到高包含蜜罐，每种蜜罐都有它自身的特点，它们的功能复杂性和易用性有很大的不同。就包含程度、扩展性、是否开放源代码等特性对蜜罐各实现软件的比较如表14所示。6蜜罐HONEYD的扩展设计与实现表14蜜罐实现软件比较【14】性能MANTRAPSLECTERBOFDTKHONEYD包含程度高低低中等低扩展性开放源代码免费可得到，价值高低低中等中等配置文件支持告警机制支持的服务无限制137无限制无限制配置复杂度高低低中等中等控制图形界面和日志1DTK由FREDCOHEN设计的DTKDECEPTIONTOOL硒T，是第一个开放源代码蜜罐，1997年发布。DTK是用PERL脚本和C源代码集成的，能够模拟各种监听服务，主要目的是欺骗攻击者。缺点是它的脚本可被攻击者开发利用，致使黑客能够轻易访问系统。2MANTRAPMANTRAP是一个由赛门铁克公司开发的商业蜜罐系统，运行在SOLARIS26，27和28上的系统，支持INTELX86和SUNSPARC架构。MANTRAP的主要概念是称为“笼子”。一个“笼子”就是连接一个特定的网络接口卡上的主机操作系统的副本。在一台机器上MANTRAP能支持4个这样的操作环境。在MANTRAP软件内核上有一个交互界面，控制“笼子”和主机内核之间的交互。尽管MANTRAP存在于单一的主机上，但是在网络上这些“笼子”是作为四个单独的系统而出现的。这样的话，一个MANTRAP就是网络上拥有四个系统的子网，每个系统都有网络接口。3SPECTERSPECTER是NEOWORX公司的商业蜜罐系统。SPECTER提供像SMTP和FTI这样的常规INTERNET服务，给攻击者造成一个正常的假象，但事实上这是个陷阱，攻击者所连接的是一个虚假的，没有任何价值的系统，在攻击者还没有意识到这一点时，他们的一切行为都被记录下来了。当攻击者试图闯入时，SPECTER甚至通过WHOIS查询调查攻击者，获得相关指纹信息，通过TRACEROUTE发现其源地之后，进行反端口扫描。HTTP/INFO3DOUCOM/网络推广第一章绪论7仅仅模拟一般的服务和操作系统，SPECTER只是个低级别的蜜罐系统，并没有真正的系统可供攻击者交互，所以即使在攻击者完全控制了机器并以此作为平台进行新的攻击时，它的风险都是很低的。4BOFBACKOFFICERFRIENDLYBOF是由MARCUSRARMM和ANDROWLAMBETH开发，他们是开发商业IDSNFRNETWORKHIGHTRECORDER团队成员。BOFR作在WINDOWS平台，工作方式类似于SPECTER，也是个低级别的蜜罐系统，唯一不同的是BOF要简单得多。BOF所做的仅仅是模拟几个基本的INTEMET服务，在服务的TCP端口上监听，记录所有的连接企图，支持的服务有FTP、TELNET、SMTP、HTIT、POP3和IMAP。BOF还有一个选项就是能对连接某种服务的请求作出一定程度上的“虚假回应”，回应的字符串和服务相关，遗憾的是这种字符串不能配置叫】。5KFSENSORKEYFOCUSLTD开发的KFSENSOR是一款中包含型的蜜罐，提供图形界面，能够提供多种服务，模拟程度较高，KFSENSOR的一个最大优点在于其版本维护和更新很快【2，13，161。14论文组织结构这篇论文的结构如下第一章分析了网络安全的现状，以及蜜罐思想提出的背景、蜜罐技术在国内外的发展状况。第二章对目前流行的网络攻击行为进行分析，介绍了蜜罐技术的发展历程和安全价值、几款可用的蜜罐系统的特点和优缺点、蜜罐实现中的关键技术。第三章介绍了蜜罐HONEYD的软件体系架构，HONEYD对数据包的处理过程，及运行所需要的环境。第四章介绍THONEYD脚本程序的实现，该程序由一个SCANNER子系统和一个HONEYDPLUGIN子系统构成。SCANNER子系统向真实的服务器发送命令并提取返回数据包的特征，分析状态转换过程并构建特征数据库，HONEYDPLUGIN子系统接收攻击者的命令，并从特征数据库中取出相应的状态向攻击者作回应，并完成状态管理、命令队列和响应队列管理等功能。这章详细介绍了这两个子系统中各个模块的具体设计与实现。第五章介绍了用指纹识别工具测试模拟服务的结果。第六章对本文工作进行总结，并提出了下一步的工作方向。8蜜罐HONCYD的扩展设计与实现第二章蜜罐技术21攻击行为分析随着网络技术不断普及，入侵者的网络背景知识、技术能力也随之提升。攻击者不单是从已公开的系统漏洞下手，由原始程序代码分析取得目标的方法也渐渐增加，攻击工具的出现使得攻击的技术门槛降低，从而在完全不了解一个系统的情形下，都可以破解这套系统。常见的攻击方式主要有以下几种。1刺探与扫描刺探是对系统尝试取得服务，如尝试登入系统或使用服务。采用工具对系统大量进行刺探的工作称为扫描。无论是刺探或扫描，都可能是攻击的前期警讯。21监听监听工作因为网络的特性使然，并不是困难的工作，如以太网络本身就以广播方式传递讯息、口协议中的路由器都能取得使用者传送的资料。目前多数公司内部，仍以不够安全的方式提供服务，如POP3这个广泛使用的收信协议，使用者帐号、密码、邮件等资料，全都可以使用监听方式取得。3拒绝服务攻击拒绝服务攻击的目的在于使系统瘫痪，并可能取得伪装系统的身份。拒绝服务通常利用系统提供的特定服务的设计缺陷，消耗掉大量服务能力，若系统设计不良，也可能造成系统崩溃。而分布式的拒绝服务，则进一步利用其它遭侵入的系统同时要求大量的服务。拒绝服务攻击发生时，系统通常并不会遭到破解，但该服务会丧失有效性。4恶意程序系统存在漏洞时，可能遭到恶意攻击。这类攻击可能会使系统执行到特定的程序，引发更严重的破坏，如邮件病毒、蠕虫等F17“1。22蜜罐概述在网络安全领域，防火墙、入侵检测系统等传统的网络安全技术，依然发挥着重要的作用。而蜜罐作为一种新兴的网络安全技术，逐渐受到重视。蜜罐的设计方式必须与实际的系统一样，包括一系列能够以假乱真的文件及其他信息，一旦攻击者侵入蜜罐，会认为自己控制了一个重要的系统，刺激他充分施展“才华”。此时蜜罐就象监视器一样记录攻击者的所有行动，通过收集入侵信息，记录其活HTTP/INFO3DOUCOM/网络推广第二章蜜罐技术9动，来分析入侵者的水平、目的、所用工具、入侵手段等，并完成蜜罐响应，并给随后可能对入侵者的法律制裁提供证据【18，1911蜜罐的概念尽管一些组织很多年前就开始在蜜罐技术领域进行研究和实践，但是直到1990年才有一些文章针对这类问题进行专门探讨。在C瑚白FDSTOLL所著的1KCUCKOOSE髂一书中，提出了蜜罐的雏形。另一篇由BILLCHESWICK所写的名为“ANEVENING1L，ITLLBERFERDINWHICHACRACKERISLURED,ENDURED，ANDSTUDIED的论文更多从技术角度对蜜罐的概念进行了探讨。“蜜网项目组”的创始人LANOESPITZNER对蜜罐是这样定义的蜜罐是一种资源，它的价值是被攻击或者攻陷。这就意味着蜜罐用来被探测、被攻击的构建蜜罐的目的有两个一是在不被攻击者察觉的情况下监视他们的活动，收集与攻击者有关的信息；二是牵制入侵者，想方设法让他们将时间和资源都耗费在攻击蜜罐上，使他们远离实际的工作网络291。2发展过程蜜罐技术的发展历程如表21所示。表21蜜罐技术发展过程【211时期特点主要产品关键技术九十年代初蜜罐概念蜜罐还仅仅限于一种实质上是一些真正被由网络管理人员应提出1998年思想黑客所攻击的主机和用，通过欺骗黑客达系统到追踪的目的从1998年2000年开发了很多能模拟虚FREDCOHEN所开发的网络欺骗、端口重定拟。操作系统和网络DTK，NIELSPROVOS向、数据捕获、数据服务、并对黑客的攻开发的HONEYD等，分析与控制。击行为做出回应，从同时也出现了像KF而欺骗黑客的虚拟蜜SENSOR、SPECTER等一罐工具些商业蜜罐产品。从2000年之后安全研究人员更倾向HONEYNET、RXONEYFAR融入了更强大的数据于使用真实的主机、M、蜜网网关捕获、数据分析和数操作系统和应用程序据控制的工具，并且搭建蜜罐将蜜罐纳入到一个完整的蜜网体系中。3蜜罐的分类1按部署目的分类蜜罐按照其部署目的可区分为欺骗型蜜罐、威慑型蜜罐、检测型蜜罐和研究10蜜罐HONEYD的扩展设计与实现型四类【6LO,21，这四类蜜罐的特点如表22所示。表22按部署目的分类蜜罐分类类构造目的特点标准别欺纯粹的以欺骗性目的，通过伪骗装成攻击目标，从而转移攻击可以增强防御方的力量，使用户有更多的手段应型者的注意力，并通过报警等各对这些高阶的攻击。蜜种附加机制对攻击的发生进罐行响应。威慑对攻击者产生心理上的威吓无法应对自动化攻击，且能够作用的攻击群体要部型更小一些，非常高阶的攻击者往往较少受到其影署蜜及迷惑作用。响目罐的检有助于发现整个网络中易受攻击的部分，可以为测修补系统缺陷和限制攻击行为提供时间缓冲如型侧重于检测和发现攻击行为。蜜果接受到内部网络的连接，有可能发现已经被攻罐破的系统。研可以让使用者获悉很多未知的安全隐患和攻击方究用于提供一个非常强大的用法，这可以做为一种预警机制来提前发现将要造型于了解攻击者和安全威胁的蜜机制。成破坏的攻击行为。也可以为阻止攻击行为做出罐贡献，只不过这种作用要间接一些。2按包含标准分类如果按蜜罐最重要特性指标一包含标准来划分包含标准指衡量入侵者能与操作系统交互的程度，蜜罐可划分为三类低包含、中包含和高包含蜜罐，这三类蜜罐的优缺点比较如表23所示22,23。HTTP/INFO3DOUCOM/网络推广第二章蜜罐技术表23各包含标准优缺点概览指标低包含中包含高包含提供某些冒充的服务冒充守护进程更加成主要特点熟，需要构建者有更深构建复杂性增加仅仅监听某类端口。厚的安全知识真实的操作系统危险程度低中高信息收集连接请求所有希望被探测维护时间少少多3按实现方法分类蜜罐还可以按照其实现方法分成物理蜜罐与虚拟蜜罐，这两类蜜罐的特点如表24所示【6，2“。表24按实现方法分类蜜罐分类标准类别主要特点物理蜜罐真实的网络上存在的主机，运行着真实的操作系统，实现方法提供真实的服务，拥有自己的M地址。由一台机器模拟的，这台机器会响应发送到虚拟蜜罐虚拟蜜罐的网络数据流，提供模拟的网络服务等。23蜜罐关键技术蜜罐的主要技术有网络欺骗、端口重定向、报警、数据控制和数据捕获等。相关产品使用的关键技术如表25所示。12蜜罐HONEYD的扩展设计与实现表25蜜罐主要产品使用关键技术咖赢濂之璺MANTRAPSPECTERBOFDTKHONEYD模拟服务端口模拟系统漏洞和应用服务印空间欺骗，流量仿真网络动态配置组织信息欺骗网络服务蜜罐主机端口重定向技术攻击报警和数据控制数据的捕获技术，231网络欺骗技术为了使蜜罐对入侵者更有吸引力，就要采用各种欺骗手段来诱骗攻击者。例如在欺骗主机上模拟一些网络攻击者最“喜欢”的端口和漏洞。网络流量仿真也是常用来迷惑并吸引攻击者的方法。采用实时方式或重现方式复制真正的网络流量，或者从远程产生伪造流量，诱骗入侵者。目前蜜罐主要的网络欺骗技术有如下几种【25,261。1模拟服务端口侦听非工作的服务端口是诱骗黑客攻击的常用欺骗手段。当黑客通过端口扫描检测到系统打开了非工作的服务端口，他们很可能主动向这些端口发起连接，并试图利用已知系统或应用服务的漏洞来发送攻击代码。而蜜罐系统通过端口响应来收集所需要的信息。但是由于简单的模拟非工作服务端口最多只能与黑客建立连接，而不能进行下一步的信息交互，所以获取的信息是相当有限的。2模拟系统漏洞和应用服务模拟系统漏洞和应用服务为攻击者提供的交互能力比端口模拟高得多。它们可以预期一些活动，并且旨在给出一些端口无法给出的响应。譬如，可能有一种蠕虫病毒正在扫描特定的漏洞，在这种情况下，可以构建一个模拟MICROSOFTIISWEB服务器的蜜罐，并包括一些额外的功能或者行为。无论何时对该蜜罐建立HTTP连接，它都会以一个IISWEB服务器的身份加以响应，从而为攻击者提供一个与实HTTP/INFO3DOUCOM/网络推广第二章蜜罐技术13际的IISW曲服务器进行交互的机会，这种级别的交互比端口模拟所收集到的信息要丰富得多3M空间欺骗III空间欺骗利用计算机的多宿主能力在一块网卡上分配多个口地址，来增加入侵者的搜索空间，从而显著增加他们的工作量。这项技术和虚拟机技术结合可建立一个大的虚拟网段，且花费极低。目前一些蜜罐系统采用APR地址欺骗技术，探测现有网络环境中不存在的坤地址，并发送APR数据包假冒不存在的主机，从而达到口欺骗的效果。4流量仿真入侵者侵入系统后，动作通常是小心谨慎的。他们可能会使用一些工具分析系统的网络流量，如果发现系统网络流量较小，系统的真实性势必会受到怀疑。流量仿真是利用各种技术产生欺骗的网络流量，使流量分析不能检测到欺骗。现在主要的方法有两种1采用实时或重现的方式复制真正的网络流量，使欺骗系统与真实的系统十分相似。2从远程伪造流量，使入侵者可以发现和利用。5网络动态配置真实网络系统的状态一般会随时间改变，如果欺骗是静态的，那么在入侵者的长期监视下欺骗就容易暴露。因此需要动态地配置我们的系统，以使其状态象真实的网络系统那样随时问而改变，从而更接近真实的系统，增加蜜罐的欺骗性。6组织信息欺骗如果某个组织提供有关个人和系统信息的访问，那么欺骗也必须以某种方式反映出这些信息。例如，如果某组织的DNS服务器包含了个人系统拥有者及其位置的详细信息，那么你就需要在欺骗的DNS列表中加入伪造拥有者及其位置的信息，否则欺骗很容易被发现。7网络服务网络服务往往与特定的系统漏洞联系在一起，网络服务往往是攻击者侵入系统的入口，网络服务可以吸引黑客的注意，同时也使蜜罐更接近一个真实的系统。8蜜罐主机蜜罐主机类似于蜜罐的“罐”，它负责与入侵者交互，是捕捉入侵者活动的主要场所。蜜罐主机可以是模拟的或真实的各种操作系统。与一般的系统不同之处在于，该系统处于严密地监视和控制之下。入侵者与系统的每一次交互都在不被他们察觉的情况下被日志记录。使用虚拟机技术主要有两个优点1在单机上运行多个拥有各自网络界面的客户操作系统可以模拟一个网络。兰蜜罐HONEYD的扩展设计与实现2在客户操作系统被入侵者破坏后，我们的宿主操作系统不会受影响，这样就可以保护宿主操作系统的安全，增强蜜罐系统的健壮性田，孤291。232端口重定向技术为了能吸引黑客上钩，较好的方法是构建一个复制的模拟网作为蜜网。然后利用防火墙的端口映射或重定向技术，将它重定向到一个蜜网的LP地址中。在不被黑客察觉的情况下监视他们的行动，得到黑客所使用的工具、采用的方式、通信方法、组织机构和入侵动机等信息，同时牵制他们将精力都耗费在蜜网上。端口重定向技术就是在工作系统中模拟一个非工作服务。例如我们正常使用WEB服务，而用TCH僦和M重定向到蜜罐系统中，而实际上这两个服务是没有开启的，而攻击者扫描时则发现这两个端口是开放的，实际上这两个端口是蜜罐虚拟出来的，对服务器不会产生任何危害性【鲫】。233攻击报警和数据控制必须保证一旦蜜罐被攻陷，黑客不会利用蜜罐攻击其它系统并造成危害。这其中的难点是如何在控制住数据流量的同时又不引起黑客的怀疑。例如，在黑客突破蜜罐后，他们最需要的就是网络连接，以便从网络上下载攻击工具包、打开IRC连接等等，我们必须允许他们做大部分的“合法”事情。但是对攻击其他系统的“需求”，比如发起拒绝服务攻击、对外部扫描以及使用漏洞攻击他人的行为，则一概禁止。对于高包含性的蜜罐，则必须采取外部数据控制的措施，如IDS或带宽限制。通常采取的方法是1使用多层次控制，避免单点失效的风险。2进行人工实时监控，一旦入侵者的活动超越了受控制的范围而产生威胁时，马上终止所有连接。蜜罐系统本身就可以模拟成一个操作系统，我们可以把其设定为易攻破的一台主机，也就是开放一些端口和弱口令之类的，并设定出相应的回应程序，如TELNET密码暴力破解、添加新用户、权限提升、删除添加文件。还可以给入侵者一个网络连接使其可以迸行网络传输，并可以作为跳板【31；32,331。234数据的捕获技术数据捕获主要是指防火墙日志、IDS日志和蜜罐主机的系统日志，即“三重捕获”。手段高明的入侵者攻入系统后，通常会试图更改甚至销毁目标主机上易于暴露入侵行为的各种记录。蜜罐的“三重捕获”措施就是在确保不被入侵者发现HTTP/INFO3DOUCOM/网络推广第二章蜜罐技术诱骗的前提下，尽可能多地捕获攻击行为信息，包括黑客所有的按键记录、CPU的使用率或者进程列表、使用过的各种协议数据包内容等，同时要注意充分保证捕获信息的完整和安全。防火墙在网络层记录所有出入蜜罐的连接，并且及时向系统管理员发出警告信息。IDS在数据链路层对蜜罐中的网络数据流进行监控、分析和抓取，以便将来能够重现攻击行为，同时在发现可疑举动时报警。蜜罐主机除了使用操作系统自身提供的日志功能外，还可以利用第三方软件加强日志功能，并且传输到安全级别更高的远程日志服务器上备份。在攻击者入侵的同时，蜜罐系统将记录攻击者的输入输出信息，键盘记录信息，屏幕信息，以及攻击者曾使用过的工具，并分析攻击者所要进行的下一步工作捕获的数据不能放在蜜罐主机上，因为有可能被攻击者发现，察觉到这是一个“陷阱”而提早退出LM”】。16蜜罐HONEYD的扩展设计与实现第三章蜜罐HONCYD31HONCYD简介考虑到11节提出的蜜罐的缺陷，再结合网络攻击技术的发展，蜜罐的研究者们提出了一些蜜罐发展的思路，可以总结为以下三方面1希望能更好地解决信息收集和蜜罐自身的安全问题。无论产品型蜜罐还是研究型蜜罐，都需要在提高和攻击者交互能力的同时具有足够的安全保障。对于产品型蜜罐，它要具有足够的吸引攻击者的能力，同时其安全更应该得到保证，这样才不至于在网络中成为隐患；对于研究型蜜罐，如果能保证信息不被安全方面的原因阻止，就不必经常性地去重复设置蜜罐系统。解决这种问题的一个途径是蜜罐的设计尽量采用后台进程来模拟，但是同时又要提高蜜罐和攻击者的交互能力，在交互过程中让攻击者尽量感觉交互的真实性。2要在蜜罐和攻击者的交互过程中，加入一些去除系统指纹的技术。3随着攻击的发展，攻击越来越倾向于分布化，使用的工具越来越自动化。那种只需要按下“确定”就可以什么都不管的攻击软件越来越多，致使不需要很高的专业技能就能实现在网络上进行攻击。为此，蜜罐的布置不再局限于单个布置，而是有组织、大面积分散布置，并形成了蜜网的概念。选择研究HONEYD是因为HONEYD的设计体现了这些趋势。HONCYD是遵循GNUGENERALPUBLICLICENSE的开源软件，目前也有一些商业公司在使用这个软件。其最初面向的是类LINUX操作系统，可以运行在BSD、SOLARIS、ONULINUX等操作系统上，由NIELSPROVOS开发和维护。最新版本是2006年12月19日发布的HONCYD15B。应用于WINDOWS系统的HONEYD程序也已经出现，其开发者为MIKEDAVIS，最新版本为WINDOWSPORTSFORHONEYD05136。HONCYD能在网络层次上大量虚拟蜜罐的软件，它具有下列属性1HONEYD是作为后台进程来运行，它产生的蜜罐是由后台进程所模拟。所以运行HONCYD的主机能有效地控制系统的安全。2HONVYD与攻击者进行交互时，通过插件的形式载入相应的脚本来运行，以增加与攻击者的交互程度和欺骗攻击者的能力，从而能更好地获取攻击信息。3HONVYD具有相应的指纹匹配机制，能欺骗攻击者的指纹工具。4HONEYD能在网络层虚拟大量的蜜罐，这些蜜罐之间，可以是松散的集合，也可以组成严密的网络体系，从而构成一个虚拟的蜜罐网络37,3S。此外，HONEYD还有如下的一些优势HTTP/INFO3DOUCOM/网络推广第三章蜜罐HONEYD171HONEYD最早是在LINUX下开发的一款软件，延续了LINUX精神，HONCYD免费开放源代码，能相互修改。2由于程序的模块化设计，HONEYD设计了很多功能的插件接口，人们可以方便地进行修改。3可以模拟的主机系统类型有500种之多，比如WMDOWS、LINUX、FRCEBSD、CISCOROUTER7200、ZYXELROUTER等。4HONEYD占用的系统资源非常少【391。32HONEYD软件体系结构HONEYD体系由几个组件构成，这些组件是配置数据库、中央包分配模块、协议处理模块、个性引擎和可选路由构件。如图31所示。图31HONEYD软件框架结构【删系统接受到的数据由中央包分配模块进行处理，首先中央包发配模块进行处理会检查P包的长度，修改包的校验和。HONEYD响应的是最主要的3种互联网协议ICMP、TCP和UDP，其他协议包在被记入日志后会被悄悄丢弃。其他请求的处理主要依赖于个性引擎的配置。在处理数据包之前，中央包分配模块会查询配置数据库，以查找到一个符合目标地址的蜜罐配置。如果没有特定的配置存在，系统会采用默认配置模板。给定配置后，数据包和相应的配置会被转交给相应的协议处理模块处理。除了可以建立本地服务连接外，HONEYD还支持网络连接的重定向。这种重定向可以是静态的，也可以根据四个参数源地址与源端口、目标地址与目标端口判断。重定向使得我们可以将一个到虚拟蜜罐上的服务连接请求转发到一台真实服务器上运行的服务进程。坚蜜罐HONEYD的扩展设计与实现在发送数据到外部网络之前，数据包会经个性引擎处理。个性引擎会修改数据包的内容，使得数据包看上去和从指定配置操作系统的网络栈发出的一样【4142】1配置数据库配置数据库实际上是一个二进制的配置文件，包含了蜜罐系统所要模拟的系统、服务与网络拓扑结构以及其它行为特性等。HONEYD通过读取该配置文件来实施蜜罐系统。2中央包分配模块数据包分配器是负责将数据包分配给相应的协议处理器部件。当获取到一个数据包时，数据包分配器首先计算该数据包的长度并进行验证，然后读取配置数据库，查找与数据包目的地址相对应的配置。如果配置存在，则根据数据包传输层的协议类型把该数据包分配给特定的协议处理器，否则就使用一个缺省的配置。3协议处理模块协议处理器是模拟特定服务的部件，包括以下几个部分。1ICMP协议管理支持ICMP请求。通常在默认的模式下面，所有的蜜罐配置都响应ECHO请求和目的地址不可达信息。通过对配置数据库中配置的修改，也可以改变ICMP响应的行为。2对于TCP和UDP包，HONEYD可以建立到任意服务的连接。这些服务是外部的应用程序，可以通过标准输入输出来接收和输出数据。不同于为每个连接创建一个新进程，HONCYD支持子系统和内部服务，子系统是一个运行在某个虚拟蜜罐名称空间下的应用程序，子系统的特定应用是在相应的虚拟蜜罐实例化的时候创建的。一个子系统可以绑定端口、接收连接和创建网络连接。子系统是作为外部进程运行的，而内部服务则是一个HONCYD内部运行的PYTHON的脚本。内部服务要求的资源比子系统更少，但只能接收连接，不能创建连接3H。HONEYD包含一个简单的TCP状态机。三次握手的建立和FIN或RST的拆卸能被很好地支持，但是拥塞窗口管理的支持还不是很完全。UDP数据包被直接的送到应用中去。当HONEYD框架接收到一个属于关闭端口的UDP数据包后，如果个性化配置中没有设置禁止的话它将发送一个目的端口不可达信息的ICMP报文。4个性引擎对HONEYD来说，在被指纹识别的时候不要暴露出来是非常重要的。为了使得虚拟蜜罐在被探测的时候显得像真实主机一样，HONEYD模拟给定操作系统的网络栈行为，我们称之为虚拟蜜罐的“个性”。不同的虚拟蜜罐可以被赋予不同的“个性”。“个性引擎”个性化虚拟蜜罐的网络栈行为的方法就是在每个发送出去的数据包的协议头中进行适当的修改，使得数据包符合指纹识别软件预期的操作系统的特征。HONEYD利用NMAP指纹库作为TCP和UDP连接个性化的参考，利用XPROBEHTTP/INFO3DOUCOM/网络推广第三章蜜罐HONEYD19指纹库作为ICMP连接个性化的参考5可选路由构件HONEYD通过路由部件实现虚拟网络拓扑结构。目前，HONEYD只支持有根树网络拓扑结构。在这种网络结构中，树根是数据包进入虚拟网络的关节点，中间节点代表一个虚拟路由器，每一条边则是一个可选路由，具有等待时间和包丢失等特性，而叶子节点则代表一个网络。当HONEYD接收到一个数据包时。就从根结点开始传输数据包。直到找到拥有目的口地址的网络。而在传输的过程中，路由部件会计算包丢失和等待时间以决定是否丢弃该数据包，且对包传输中的每一次路由转换，路由部件都对数据包中的11M值做减1操作当TTL值减为0时，路由部件会发送一个ICMP超时数据包。6记录日志HONEYD软件框架支持多种记录网络活动日志的方法，HONEYD可以记录并报告所有协议的尝试连接和完成连接的日志，也可以配置成以人工可读的方式来存储蜜罐系统所接受到所有数据包。同时，服务程序也可以通过标准错误输出向HONEYD报告它们收集到的网络信息43，441。33HONEYD数据收集过程331HONEYD主机的数据收集过程HONEYD应答目标地址属于模拟蜜罐范围之内的数据包。要让HONEYD能够接收到发送给虚拟蜜罐的数据包，必须要正确的配置网络有几种方法可以实现网络的配置，如为指向HONEYD主机的虚拟M建立特殊的路由、使用代理ARI。HONEYD主机收集网络数据的过程如图32所示。日”匿窭”一目鼢器镱撇O苗苗嚣4管器谢图32HCYD数据收集过程1这里我们假设10001为网络路由器的口，10002是HONEYD主机的口，垫蜜罐HONEYD的扩展设计与实现100011100014是HONEYD虚拟蜜罐的口地址。最简单的情形是，虚拟蜜罐的口位于局域网范围之内。当攻击者通过互联网发送一个数据包给虚拟蜜罐WMDOWSNT40时，路由器会接收数据包并试图发送该数据包。路由器会查询路由表来决定将发送到虚拟蜜罐的包传递到哪里。数据包有以下3种处理方式1当没有路由指向LO0013时，路由器会丢弃该数据包。2路由器A将数据包转发到另一个路由器。3100013位于路由器所在的局域网范围之内，路由器可以直接将数据包传送给100013。为了将到虚拟蜜罐的数据流引向HONEYD主机，我们可以使用下面两种方法1将到虚拟蜜罐的路由入口设置为指向HONEYD主机，这样一来，路由器转发到虚拟蜜罐的数据包将会直接发送到HONEYD主机。2如果我们没有配置特殊的路由，路由器会使用ARP指令来查询虚拟蜜罐的MAC地址。但由于没有响应的虚拟主机，ARP查询会得不到应答，路由器在重试几次后就会将数据包丢弃。此时，我们可以通过配置使得HONEYD主机利用自己的MAC地址去响应针对虚拟蜜罐口的ARP查询，这种方法称之为代理ARP，代理ARP允许路由器将发送到虚拟蜜罐送到HONEYD主机的MAC地址【35，361。332HONEYD对数据包的收发过程HONEYD数据包分配器接收到数据包后，它首先检查口数据包的长度，并且核查校验和删。在分配器处理一个数据包之前，分配器将再次查询配置数据库中是否有配置符合端口口地址的蜜罐。如果没有详细的配置存在，就使用默认的处理模式进行处理。如果存在这样的详细配置，数据包和相应的配置将被转入协议管理器。HONEYD数据处理流程如图33所示。HTTP/INFO3DOUCOM/网络推广第三章蜜罐HONEYD21图33HONEYD数据处理1TCP数据包处理过程对于TCP数据包，协议管理器和服务处理单元能够建立特定服务的连接。服务其实就是标准的接受数据和发送数据的外部应用。服务的行为完全依赖于外部应用。当一个连接请求到达时，HONEYD框架检查数据包是否己经建立连接的。这样，任何的新数据都送到存在的应用中去。但是，一旦数据包含一个连接请求，这就要创建新的进程来处理每个连接。TCP数据处理流程如图34所示。22蜜罐HONEYD的扩展设计与实现图34TCP数据包处理2UDP处理过程当HONEYD接收到一个属于关闭端口的UDP数据包后，它将发送一个目的端口不可达信息的ICMP报文。UDP数据处理流程如图35所示。图35UDP数据包处理3ICMP处理过程ICMP协议处理支持ICMP请求。通常在默认的模式下面，所有的蜜罐配置都HTTP/INFO3DOUCOM/网络推广第三章蜜罐HONEYD响应回射请求端口的地址不可达信息通过对配置数据库中配置的修改，也可以改变ICMP响应的行为。在发送ICMP不可达报文时，HONEYD允许敌人用NMAP工具去发现虚拟的网络拓扑。并且，虚拟的网络拓扑具有很好的伪装性。在一个数据包发送到网络上之前，它还要经过特征引擎处理。特征引擎改变包的内容，使它能够符合源操作系统的网络协议栈。34主要