前言:之前一直就有听说过蜜罐、蜜罐的,不知道是什么技术。今天在公司看到一份资料算是基本弄清楚了,和大家分享一下!
何为蜜罐(Honeypot)
蜜罐(Honeypot)”这一概念最初出现在1990 年出版的一本小《TheCuckoo’sEgg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。“蜜网项目组”(The Honeynet Project)的创始LanceSpitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活
动进行监视、检测和分析
蜜罐的发展历程
蜜罐技术的发展历程可以分为以下三个阶段
1、从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。
2、从1998 年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,如Fred Cohen 所开发的DTK(欺骗工具包)、Niels Provos 开发的Honeyd 等,同时也出现了像KFSensor、Specter等一些商业蜜罐产品。
3、从2000 年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐
蜜罐的类型
实系统蜜罐
实系统蜜罐是最真实的蜜罐,它运行着真实的系统,并且带着真实可入侵的漏洞,属于最危险的漏洞,但是它记录下的入侵信息往往是最真实的。 这种蜜罐安装的系统一般都是最初的,没有任何SP补丁,或者打了低版本SP补丁,根据管理员需要,也可能补上了一些漏洞,只要值得研究的漏洞还存在即可。然后把蜜罐连接上网络,根据目前的网络扫描频繁度来看,这样的蜜罐很快就能吸引到目标并接受攻击,系统运行着的记录程序会记下入侵者的一举一动,但同时它也是最危险的,因为入侵者每一个入侵都会引起系统真实的反应,例如被溢出、渗透、夺取权限等。
伪系统蜜罐
什么叫伪系统呢?不要误解成“假的系统”,它也是建立在真实系统基础上的,但是它最大的特点就是“平台与漏洞非对称性”。
这种蜜罐的好处在于,它可以最大程度防止被入侵者破坏,也能模拟不存在的
漏洞,甚至可以让一些Windows蠕虫攻击Linux——只要你模拟出符合条件的
Windows特征!但是它也存在坏处,因为一个聪明的入侵者只要经过几个回合就会识
破伪装,另者,编写脚本不是很简便的事情,除非那个管理员很有耐心或者十分悠闲。
蜜罐技术的关键
核心机制是蜜罐技术达成对攻击方进行诱骗与检测的必须组件
1)欺骗环境构建机制: 构造出对攻击方具有诱骗性的安全资源,吸引攻击方对其进行探测、攻击与利用,这里所谓的“安全资源”可以理解为存在受攻击面的一切资源
2) 威胁数据捕获机制: 对诱捕到的安全威胁进行日志记录,尽可能全面地获取各种类型的安全威胁原始数据
3) 威胁数据分析机制: 在捕获的安全威胁原始数据的基础上,分析追溯安全威胁
的类型与根源,并对安全威胁姿势进行感知
辅助机制
对蜜罐技术其他扩展需求的归纳,主要包括:
蜜罐的构成
逻辑模块
数据控制:数据控制技术是控制攻击者出入蜜网主机的活动,使其不会以蜜网主
机为跳板攻击和危害互联网上其它的主机。
数据捕获:数据捕获技术包括网络流量数据捕获以及主机上系统行为的捕获。网
络流量数据的捕获结合网络入侵检测系统,配置相关敏感信息的检测规则,触发入侵
检测规则时立即记录网络流量
数据分析:数据分析技术基于数据捕获技术之上,把收集到的网络数据、主机行为数据保存于数据库当中。分析技术需要信息安全网络攻防研究基础、数据库设计基础。
功能模块
主机监控:进程监控、文件监控、注册表监控、网络监控等,监控黑客入侵蜜罐系统后的一切操作,了解黑客入侵的目的。
入侵检测:蜜罐系统的入侵检测模块可以准确的检测出黑客入侵蜜罐的攻击手段,对黑客的入侵过程进行详细的记录。
攻击分析:分析主机监控以及入侵检测两个模块获得的数据
Kippo蜜罐实战
Kippo是一个可交互的SSH蜜罐,旨在记录暴力攻击行为,最重要的是可以记录
攻击者的shell交互行为,如果你需要了解有关Kippo更多信息,请访问它的官方网站
http://code.google.com/p/kippo
总结:
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力
