摘要:蜜罐技术提供一种更有效的发现入侵行为的手段,通过设置低交互蜜罐定量发现入侵行为或恶意代码,使用高交互蜜罐可以更全面跟踪入侵行为,发现“零日攻击”。本文主要阐述了蜜罐的作用及分类、涉及的法律问题,探讨了蜜罐技术在计算机网络安全中的应用。
关键词:网络安全;蜜罐技术;漏洞;实系统蜜罐
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 06-0082-01
我们对于已知的计算机网络安全威胁往往容易防范,而对于未知的安全漏洞及威胁,往往难以抵御。大家熟悉的防火墙和入侵检测系统都是根据人定义的规则、模式阻止非授权访问或入侵网络资源的行为,其前提即已知非法访问规则和入侵模式,否则容易产生误判。如何在不确定攻击者手段和方法的前提下发现攻击、发现自身系统已知(但未修补)未知(未意识到)的漏洞和弱点呢?蜜罐技术提供了一种有效的手段。
蜜罐技术可以看成是一种诱导技术,目的是发现恶意攻击和入侵。通过设置一个“希望被探测、攻击甚至攻陷”系统,模拟正常计算机系统或网络环境,引诱攻击者入侵蜜罐系统,从而发现甚至定位入侵者,发现攻击模式、手段和方法,进而发现配置系统的缺陷和漏洞,以便完善安全配置管理,消除安全隐患。
一、蜜罐的类型
蜜罐可以运行任何的操作系统和任意数量的服务,蜜罐上配置的服务决定了攻击者可用的损害和探测系统的媒介。根据蜜罐实现机制的不同,以及配置蜜罐环境的不同,蜜罐可以分为高交互蜜罐和代交互蜜罐两种。
(一)高交互蜜罐
一个高交互蜜罐是一个常规的计算机系统,如使用一台标准计算机、路由器等,即高交互蜜罐实际上是一个配置了真实操作系统和服务的系统,为攻击者提供一个可以交互的真实系统。而这一系统在网络中没有常规任务,也没有固定的活动用户,因此,系统上只运行正常守护进程或服务,不应该有任何不正常的进程,也不产生任何网络流量。这一假设是检测攻击的基础:每个与高交互蜜罐的交互都是可疑的,因为它不提供任何服务,不应主动访问网络也不应被访问,可以指向一个可能的恶意行为。因此,所有出入蜜罐的网络流量、系统的活动都被记录下来,以备日后分析。
高交互蜜罐可以完全被攻陷,它们运行真实的操作系统,可能带有所有已知和未知的安全漏洞,攻击者与真实的系统和真实的服务交互,使得我们能够捕获大量的威胁信息。当攻击者获得对蜜罐的非授权访问时,我们可以捕捉他们对漏洞的利用,监视他们的按键,找到他们的工具,搞清他们的动机。因此,即使攻击者使用了我们尚不知道的未知漏洞,通过分析其入侵过程和行为,可以发现其使用的方法和手段,即所谓发现“零日攻击”。
(二)低交互蜜罐
低交互蜜罐则是使用特定软件工具模拟操作系统、网络堆栈或某些特殊应用程序的一部分功能,例如具有网络堆栈、提供TCP连接、提供HTTP模拟服务等。低交互蜜罐允许攻击者与目标系统有限交互,允许管理员了解关于攻击的主要的定量信息。例如,一个模拟的HTTP服务器可以只响应对某个特定文件的请求,只实现整个HTTP规范的一个子集。低交互蜜罐提供的交互程度应该是“刚好够用”欺骗攻击者或自动化工具——如一个寻找特定文件而危害服务器的蠕虫。
低交互蜜罐的优点是简单、易安装、易维护,通常只需要安装和配置一个工具软件即可,典型的低交互蜜罐工具软件如Tiny Honypot、Honeyd、Nepentbes等,以及用于Web欺骗的Google入侵蜜罐GHH、PHP.HoP等,它们都可以用于收集恶意代码,收集的数据可以是正在传播的网络蠕虫,或者是垃圾邮件发送者对开放式网络中继的扫描等信息。
二、蜜罐技术的应用
既然蜜罐不是随随便便做来玩的,管理员自然就不会做个蜜罐然后让它赋闲在家,那么蜜罐做来到底怎么用呢?
(一)迷惑入侵者,保护服务器
一般的客户/服务器模式里,浏览者是直接与网站服务器连接的,换句话说,整个网站服务器都暴露在入侵者面前,如果服务器安全措施不够,那么整个网站数据都有可能被入侵者轻易毁灭。但是如果在客户/服务器模式里嵌入蜜罐,让蜜罐作为服务器角色,真正的网站服务器作为一个内部网络在蜜罐上做网络端口映射,这样可以把网站的安全系数提高,入侵者即使渗透了位于外部的“服务器”,他也得不到任何有价值的资料,因为他入侵的是蜜罐而已。虽然入侵者可以在蜜罐的基础上跳进内部网络,但那要比直接攻下一台外部服务器复杂得多,许多水平不足的入侵者只能望而却步。蜜罐也许会被破坏,可是不要忘记了,蜜罐本来就是被破坏的角色。
在这种用途上,蜜罐不能再设计得漏洞百出了。蜜罐既然成了内部服务器的保护层,就必须要求它自身足够坚固,否则,整个网站都要拱手送人了。
(二)抵御入侵者,加固服务器
入侵与防范一直都是热点问题,而在其间插入一个蜜罐环节将会使防范变得有趣,这台蜜罐被设置得与内部网络服务器一样,当一个入侵者费尽力气入侵了这台蜜罐的时候,管理员已经收集到足够的攻击数据来加固真实的服务器。
采用这个策略去布置蜜罐,需要管理员配合监视,否则入侵者攻破了第一台,就有第二台接着承受攻击了……
(三)诱捕网络罪犯
当管理员发现一个普通的客户/服务器模式网站服务器已经牺牲成肉鸡的时候,如果技术能力允许,管理员会迅速修复服务器。既然入侵者已经确信自己把该服务器做成了肉鸡,他下次必然还会来查看战果,一些企业的管理员会设置一个蜜罐模拟出已经被入侵的状态,做起了姜太公。同样,一些企业为了查找恶意入侵者,也会故意设置一些有不明显漏洞的蜜罐,让入侵者在不起疑心的情况下乖乖被记录下一切行动证据,通过与电信局的配合,可以轻易揪出IP源头的那双黑手。
总之,安全问题始终是“魔高一尺,道高一丈”,在攻击者与安全管理专家之间的博弈中,时而蓝军占上风,时而红军占上风。因此,我们要更好地利用蜜罐技术做好计算机网络安全工作。
参考文献:
[1]张浩军.信息安全技术基础[M].北京:中国水利水电出版社,2011
[2]陈克非.信息安全技术导论[M].北京:电子工业出版社,2007
[3]弗莱格.信息安全原理与应用[M].李毅超.北京:电子工业出版社,2009
[4]斯廷森.密码学原理与实践[M].冯登国.北京:电子工业出版社,2009