网络安全与实训-5.5蜜罐系统-杨文虎

蜜罐系统

课程内容

蜜罐系统的概念

蜜罐系统分类部署蜜罐系统1、2、3、蜜罐系统的概念·安全基础薄弱

操作系统/软件存在大量漏洞

安全意识弱，安全措施少·任何主机都是攻击目标DDoS、跳板攻击需要大量傀儡主机

蠕虫、病毒的泛滥

网络攻击不再仅仅为了炫耀·攻击者不需要太多技术

攻击工具不断完善攻击脚本和工具可以很容易得到和使用

团队协作互联网安全现状

蜜罐系统概念

蜜罐提出“蜜罐”这一概念最初出现在1990年出版的一本小说《TheCuckoo‘sEgg》（《杜鹃蛋》）中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。"蜜网项目组"（TheHoneynetProject）的创始人给出了对蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。

蜜罐的概念

蜜罐通常伪装成看似有利用价值的网络、数据、电脑系统，并故意设置BUG用来吸引攻击者，蜜罐在拖延黑客攻击真正目标上也有一定作用。初期比较常见的用法就是杀毒软件厂商，他们会利用这些蜜罐来收集病毒样本。随着蜜罐技术的发展，衍生出了蜜场-将网络中可疑的流量重定向到蜜场中；蜜网将低交互和高交互蜜罐结合起来。但是无论蜜罐技术怎样的发展，最终的目的依旧是迷惑攻击者、拖延攻击者，进而保护真实的服务器。

设计蜜罐的初衷是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此要求一台合格的蜜罐拥有着发现攻击、产生警告、强大的记录能力、欺骗和协调调查的功能。另外一个功能由管理员去完成，那就是在必要的时候根据蜜罐收集的证据起诉入侵者。所以蜜罐是什么？蜜罐的概念第一阶段第二阶段第三阶段蜜罐技术的发展概况蜜罐技术的发展主要有以下3个阶段：从20世纪90年代初蜜罐概念的提出直到1998年。在这一阶段，蜜罐只是一些真正被黑客所攻击的主机和系统。从1998年开始，安全人员开发出一些专门用于欺骗黑客的开源工具，在这一阶段的蜜罐被称为虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，达到欺骗黑客的目的。这种虚拟系统是在一台真实的物理机器上运行一些仿真软件，模拟出多台虚拟机，构建多个蜜罐。从实际运行的效果看，这种虚拟系统不但逼真，而且成本低，资源利用率也较高，即使黑客攻击成功，也不会影响宿主的安全。由于虚拟蜜罐交互程度低，容易被黑客识别出来，从2000年后，研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐。在这一阶段，主要是通过建立为提供Internet服务的服务器镜像系统，使黑客感到真实，也就更具有欺骗性。另外，这种蜜罐融入了更强大的数据捕获、数据分析和数据控制工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到蜜网中的黑客，并对他们的攻击行为进行分析。

蜜罐的分类

蜜罐系统部署目的产品型蜜罐研究型蜜罐交互等级低交互蜜罐高交互蜜罐

蜜罐的分类

产品型蜜罐

为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署，而且不需要管理员投入大量的工作。研究型蜜罐低交互蜜罐高交互蜜罐

蜜罐的分类

产品型蜜罐

专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行追踪和分析，能够捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法，研究型蜜罐低交互蜜罐高交互蜜罐

蜜罐的分类

产品型蜜罐

又称伪系统蜜罐。用于模拟服务和操作系统，利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”。这种蜜罐容易部署，减少风险，但只能捕获少量的信息。研究型蜜罐低交互蜜罐高交互蜜罐

蜜罐的分类

产品型蜜罐

又称实系统蜜罐。它是最真实的蜜罐，往往运行着真实的系统并且带有真实可入侵漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的，可以捕获更丰富的信息，但部署复杂、风险较大。研究型蜜罐一般都属于高交互蜜罐。研究型蜜罐低交互蜜罐高交互蜜罐

蜜罐的部署蜜罐技术的实现

蜜罐是一种被监听、被攻击或已经被入侵的资源，也就是说，无论如何对蜜罐进行配置，所要做的就是使得这个系统处于被监听、被攻击的状态。这就要求在计算机和Internet之间安装一个网络监控系统，以便记录进出计算机的所有流量。

当然，设置蜜罐并不是说没有风险，这是因为大部分遭到攻击的系统会被黑客用来攻击其他系统，这就是所谓的下游责任（DownstreamLiability），所以在采用蜜罐的同时应尽量减少或排除对互联网上其他系统造成的风险。

蜜罐的实现蜜罐在系统中的一种配置方法如下图所示。从下图中可以看出其在整个安全防护体系中的地位。蜜罐不会直接提高计算机网络安全，但它却是其他安全策略所不能替代的一种主动防范技术。蜜罐的部署虚拟蜜罐工具pentbox的使用

蜜罐系统

蜜罐（Honeypot）本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐（Honeypot）以及蜜罐延伸技术，当前十分流行，它已不是一种新的技术，可以说是一大进