scanf 发表于 2010-2-10 23:31:35

蜜罐&蜜网

本文将通过solairs10操作系统与windowns操作系统来完成一次蜜罐的架设过程,使用到两种工具分别为Honeypot和VMware。
前置说明,本文可能比较的理论化,将设计到蜜罐,蜜网,资源,成本,黑客等方面技术!
第一部分:
什么是蜜罐:蜜罐( Honeypot) 是一种专门设计成被扫描、攻击和入侵的网络资源. 它的目的就是建立一个诱骗环境吸引攻击者和入侵者,观察并且以日志的形式记录其在里面的活动,并且使攻击者在蜜罐中耗费精力和技术,从而保护了真正有价值的正常的系统和资源. 具体来说蜜罐就是一个包含漏洞的系统,它可以模拟一个或多个易受攻击的主机,可以包含一些不威胁系统安全的数据以引诱攻击者. 由于蜜罐没有其他的任务,所以所有连接的尝试都被视为是可疑的。黑客一旦进入蜜罐系统,只需要从记录他的日志,我们就能准确的分析出黑客攻击过程思路等!当然这里需要管理员有极强的安全意识与安全技术。或者说,管理员必须熟悉黑客常规攻击套路!
什么是蜜网:蜜网是在蜜罐技术上逐步发展起来的一个新的概念, 又称为诱捕网络。蜜网技术实质上还是一类研究型的高交互蜜罐技术, 所谓的高交互意味着蜜网中用真实的操作系统、应用程序以及服务来跟攻击者进行交互而不是像Honeyd那样仅提供模拟的系统和服务。与传统蜜罐技术的差异在于, 蜜网构成了一个黑客诱捕网络体系架构, 在这个架构中, 可以包含一个或多个蜜罐, 同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。一个典型的蜜网通常有防火墙、入侵检测系统( IDS) 和多个蜜罐主机组成。防火墙和IDS对所有进出蜜网的数据进行捕获和控制, 然后对所捕获的信息加以分析, 以便获取关于攻击者的一些情报。在蜜网内部, 可以放置任何类型的系统在充当蜜罐, 如Solaris、Linux、Windows NT、Cisco交换机等。这样, 就为攻击者创造了一个感觉更真实的网络环境。同时通过对各个系统配置不同的服务, 例如DNS、Web、ftp、www服务器或者Solaris FTP服务器, 就可以了解攻击者使用的各种工具和战术。
第二部分:
成本,对于蜜网来说在中小企业,学院等不适合架设他,有500台LAN计算机网络,我们至少需要架设蜜网至少需要5台以上的计算机!其次我们还需要购入相当数量的交换机等,营造出真是的网络环境!而使用蜜罐技术我们一般只需要3到5台计算机就可以很好的搭建一个蜜罐服务!其中有一台架设在网关上一级别,其他放置在内网,可以确保当黑客攻入内网把损失减小到最低,也为防止内网中有恶意用户扫描攻击内网其他计算机。
构建蜜网我们还需要用到入侵检测系统,硬件防火墙,这里中国科学院西安网络中心的老师已经生产出这方面的产品,且有很好的性能以及技术高度!所以按照成本划分蜜网很难普及,更何况制约它发展的最重大因素是从业人员的专业素质!
第三部分:黑客技术,这里不涉及到攻击技术,本文只阐述入侵技术.黑客入侵的技术手段有很多中,通过FTP WWW服务器入侵提权是目前黑客最常用的入侵手段之一,那么让我们来看看黑客是怎么样工作的。首先我们必须了解一点的是,网络集群中最容易受到攻击的是www服务器,由于www服务器不会对任何人的请求,包括非法请求,比如脚本入侵中的sql注入远程包含文件,密码破解,数据下载等!黑客很容易就能通过这样的手段首先取得一个叫webshell的后门程序。然后黑客会使用mysql,3389,PCANYWHERE,弱口令等手段提升他们的webshell!最后获得root权限。然后使用嗅探,扫描等技术逐步扩大战果!
第四部分:Honeypot技术研究

这是一个典型的蜜网系统。那么我们来看看蜜罐是怎么工作的!我们现把拓扑图划分为两个部分来理解,左边为蜜罐系统,右边为正常的网络系统。首先黑客要对web服务器进行入侵,可能会扫描这个服务器的IP,从这个拓扑图我们可以认为这个服务器没有一个公网的IP,所以黑客是无法获取服务器的任何信息的。这个时候黑客会采取两中攻击思路,第一种对于WWW服务器现在所开放的服务器作为着手点,通过页面技术等获取服务器权限,这个时候右边的正常网络就已经不在安全了。另一种黑客入侵手段就是通过办公电脑来入侵!这个有朋友会问办公电脑属于防火墙保护状态,是无法获取信息,也就谈不上入侵。你想的很对,但黑客运用社会工程学,对办公电脑种植反弹木马,通过木马让办公电脑反向链接黑客的计算机。(这里我想说明的是,这样也很容易暴露黑客的位置,当然有经验的黑客会通过多级跳板来控制办公电脑!)(社会工程学参考资料《社会工程学三部曲》——lizaib)一旦黑客控制了内网中的任何一台办公电脑,首先对内网的交换机进行洪水攻击让交换机成为接线器,对内网进行嗅探抓取服务器的3389帐户密码,MYSQL密码,或者telnet登录信息!(安全建议,防御嗅探技术还不完善,由于嗅探攻击属于静态攻击,所以很难捕获!对管理员的从业素质以及安全意识,经验有这很高的要求!)当然黑客如果不想过早的被发现,他完全可以选择不去洪水攻击。(毕竟洪水攻击很容易被察觉。)通过对网络内部进行扫描可以获取很多信息.(这里我想说的是,目前的黑客技术在这几年的不断进步发展,目前已经不需要对交换机进行攻击,就可以在网络中进行嗅探)
这里我们的蜜罐就没有任何的作用了,那么花费大量的人力物力去构建的蜜罐系统也只是个摆设!那么我们是否有一种思维方式可以让蜜罐能做到无论黑客通过那种入侵方式都可以被截获?有,目前我的思路有三种。思路一:对所有网络用户不信任,通过对防火墙的设置,无论是外网用户还是内网用户所发送接受的数据包我们都转发给蜜罐系统,再由蜜罐系统
过滤掉有害的信息留到蜜罐中,返回给黑客假的信息,让黑客从正常的网络进入蜜罐系统。
思路二:在正常内网中,构建一个小型的蜜罐系统,当捕获到内网中的恶意数据包,蜜罐自动工作,伪造数据,引诱黑客进入蜜罐!思路三:购入入侵检测系统驻扎到正常的内网中,配合防火墙,一旦入侵检测系统发现正常内网中有恶意数据,通知防火墙断开恶意数据发送者网络!
下面我想说下这三中思路的缺点。
思路一:首先这样将耗费大量的贷款资源,对于小型的内网可以这样部署。同时由于数据的重定向,写包等问题,可能会导致丢包。
思路二:在正常内网中构建小型的蜜罐系统,但不足的地方,由于小型的蜜罐无法很好的伪装,黑客很容易发现蜜罐系统。那么有没有一种办法可以让小型蜜罐系统伪装的尽可能完美?目前我有这样的一直思路,通过正常内网的小型蜜罐,现把黑客捕获住,再通过小型的蜜罐系统诱惑黑客进入左边拓扑图的蜜罐系统。但这样的思路我又发现有漏洞,因为我们必须,在左边母蜜罐系统和右边子蜜罐系统有一个网络链接,在上图中防火墙的设置是不允许两个网络进行访问的。所以我们必须开启互访规则,那么这样将直接导致黑客不仅可以侵入正常网络,甚至连蜜罐系统都将遭到毁灭!那么我们真的没办法了。所谓道高一尺魔高一丈,我们可以通过划分VLAN直接让子蜜罐与母蜜罐连接起来。保证网络安全!其实也没有必要真的要母蜜罐与子蜜罐连接!可以通过VMware制作多台计算机的网络环境!对与这方面的阐述我们后面来慢慢去探索!
思路三:这个思路需要划分大量的物力,一般企业很难承受!
好了思路我们现在有了,那么我们现在还需要要了解Honeypot的一些系统
Honeypot翻译过来就是蜜罐,同样在linux、windows、solairs、unix下都有这样的一个软件!
那么Honeypot系统究竟有那些?其实这个问题其实问的不是特别的好,因为Honeypot没有一个特性的规定,所有的一切都需要你自己去设定,当然它已经把大部分的规则都创建好了!
这里参考了华北科技学院管理系李跃贞副教授的《对于“蜜罐”技术的网络信息安全研究》
这张图我用一句话总结了:“来自任何网络的数据包通过数据链路层由分析模块与规则库进行比对,不匹配放行,匹配转入处理。”
让我们来仔细分析以下这样图的含义。
数据捕捉模块:是Honeypot系统最基本的功能框架,一般常见的我们使用wincap。Wincap是给予BSD系统内核设计,信息的简单过滤具体有IP 地址过滤、数据包类型过滤和端口几个类型。采用BPF 信息过滤机制,可以大大提高了捕获效率!这里面就设计到嵌入式系统的多线程捕获技术!
协议模块:通过对网络中截获的数据包的实时解码,了解网络中运行的协议、服务、数据包的源地址和目标地址,获取黑客的攻击手段,思路,甚至用到的工具!
分析模块:这是Honeypot系统最为核心的地方,它是对解码后的数据包分析检测的主要模块,并提供措施对系统,网络等进行保护!在分析模块中又包含了三个要点。
1:翻译规则:提取规则库的实现设置好的规则文件,并放入内存文件中
2:分析规则:对数据内容进行分析,对恶意数据记录到事件日志中,提示报警系统
3:报警系统:当侦测到黑客攻击通知管理员,或者通知防火墙阶段恶意数据发送者的网络!
第五部分:蜜墙系统研究
蜜墙系统通常有两大模块组成,数据控制与数据捕捉。不知道大家有没有想过这样的一个问题,黑客是否可以通过蜜罐来入侵正常网络?如果你完全阻绝正常网络与蜜墙的网络通讯,的确可以也就不用考虑这样的问题,但实时上并没有你想的这样天真,在理论上通过一个防火墙出网的计算机是可以相互通讯的!只要控制你的防火墙一切都不在那么复杂了!还有我上文提到蜜罐技术中的第二中思路也更黑客留下机会!所以我们必须要小心谨慎!
(1)数据控制:就是限制攻击者的活动,降低引入蜜网后带来的风险。加入说我们给限制黑客很多动作,那么我们获取黑客的资料就越少,在网络取证中就会遭遇尴尬的地步。我们也就无法了解黑客是如何进入我们的网络,也就更不要谈及安全修补措施。那么我们就给黑客大量的权限,不对他进行限制。那么正如我上文所说的一样,黑客完全可以跳跃蜜网系统继续攻击整个网络!所以这也是我们必须注意的问题,怎么样才能平衡起来。
(2)数据捕获就是监控和记录所有攻击者在蜜网内部的活动。这其中的难点就是要在黑客无法侦测到这个进程的同时搜集尽可能多的数据。数据捕获同数据控制一样都需要是多层次的。多层次的捕获机制不但可以将攻击者的活动步骤拼接起来, 同时也防止了单个机制的失效。在网络和主机上捕获到越多层次的信息,那我们学到的东西也就可以越多。数据捕获面临的一个挑战是: 大部分的攻击者的活动是加密的通道上进行的( IPSec, SSH, SSL, 等等) , 数据捕获机制必须将加密也纳入考虑范围。同时, 和数据控制一样, 蜜网必须尽量减小攻击者侦查到捕获机制的能力。这一点可以有几种方法实现, 首先, 尽量少对蜜罐进行修改, 对蜜罐进行的修改越多, 就越有可能被侦查到。其次, 将捕获的数据保存在远程的非蜜罐机器上, 这些数据如果保存在蜜罐中不但很容易被攻击者发现, 甚至可能被修改或删除。

后续继续对蜜罐系统进行研究,比如蜜罐抗蠕虫病毒攻击等!并在最后实验在solairs10和windows下构造蜜罐系统!



我自己也发了才看{:9_295:}
页: [1]
查看完整版本: 蜜罐&蜜网