“蜜罐”配置实验.docVIP

实验23 “蜜罐”配置实验 1．实验目的 通过安装和配置“蜜罐”，了解“蜜罐”的原理，及其配置使用方法。 2．实验原理 2.1 “蜜罐”技术的起源 入侵检测系统能够对网络和系统的活动情况进行监视,及时发现并报告异常现象。但是,入侵检测系统在使用中存在着难以检测新类型黑客攻击方法,可能漏报和误报的问题。蜜罐使这些问题有望得到进一步的解决，通过观察和记录黑客在蜜罐上的活动,人们可以了解黑客的动向、黑客使用的攻击方法等有用信息。如果将蜜罐采集的信息与IDS 采集的信息联系起来,则有可能减少IDS 的漏报和误报,并能用于进一步改进IDS 的设计,增强IDS 的检测能力。 “蜜罐”的思想最早是由Clifford Stoll 于1988 年5 月提出。该作者在跟踪黑客的过程中，利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵,这就是蜜罐的基本构想，但他并没有提供一个专门让黑客攻击的系统。蜜罐正式出现是 Bill Cheswick 提到采用服务仿真和漏洞仿真技术来吸引黑客。服务仿真技术是蜜罐作为应用层程序打开一些常用服务端口监听,仿效实际服务器软件的行为响应黑客请求。例如,提示访问者输入用户名和口令,从而吸引黑客进行登录尝试。所谓漏洞仿真是指返回黑客的响应信息会使黑客认为该服务器上存在某种漏洞,从而引诱黑客继续攻击。 2.2 蜜罐技术的优点 Honeypot是一个相对新的安全技术，其价值就在被检测、攻击，以致攻击者的行为能够被发现、分析和研究。它的概念很简单：Honeypot没有任何产品性目的，没有授权任何人对它访问，所以任何对Honeypot的访问都有可能是检测、扫描甚至是攻击。 Honeypot的检测价值在于它的工作方式。正如前文所提到的，由于Honeypot没有任何产品性功能，没有任何授权的合法访问，所以在任何时间来自任何地方对Honeypot的任何访问都有可能是非法的可疑行为。Honeypot 的工作方式同NIDS 等其他的传统检测技术正好相反，NIDS不能解决的问题，Honeypot却能轻易解决。 Honeypot和NIDS相比较： (1) 数据量小： Honeypot仅仅收集那些对它进行访问的数据。在同样的条件下，NIDS可能会记录成千上万的报警信息，而Honeypot却只有几百条。这就使得Honeypot收集信息更容易，分析起来也更为方便。 (2) 减少误报率： Honeypot 能显著减少误报率。任何对Honeypot 的访问都是未授权的、非法的，这样Honeypot 检测攻击就非常有效，从而大大减少了错误的报警信息，甚至可以避免。这样网络安全人员就可以集中精力采取其他的安全措施。 (3) 捕获漏报 Honeypot可以很容易地鉴别捕获针对它的新的攻击行为。由于针对Honeypot的任何操作都不是正常的，这样就使得任何新的以前没有见过的攻击很容易暴露。 (4) 资源最小化 Honeypot所需要的资源很少，即使工作在一个大型网络环境中也是如此。一个简单的Pentium主机就可以模拟具有多个IP地址的C类网络。 (5) 解密 无论攻击者对连接是否加密都没有关系，Honeypot都可以捕获他们的行为。 2.3 Honeyd介绍 Honeyd是一个很小巧的用于创建虚拟的网络上的主机的后台程序，这些虚拟主机可以配置使得它们提供任意的服务，利用个性处理可以使得这些主机显示为在某个特定版本的操作系统上运行。 Honeyd是GNU General Public License下发布的开源软件，目前也有一些商业公司在使用这个软件。其最初面向的是类Linux操作系统，可以运行在BSD系统，Solaris，GNU/Linux等操作系统上，由Niels Provos开发和维护。这里主要介绍面向类linux系统的Honeyd程序。 Honeyd能让一台主机在一个模拟的局域网环境中配有多个地址（曾测试过的最多可以达到65536个），外界的主机可以对虚似的主机进行ping、traceroute等网络操作，虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟，也可以为真实主机的服务提供代理。 Honeyd可以通过提供威胁检测与评估机制来提高计算机系统的安全性，也可以通过将真实系统隐藏在虚拟系统中来阻止外来的攻击者。因为Honeyd只能进行网络级的模拟，不能提供真实的交互环境，能获取的有价值的攻击者的信息比较有限，所以Honeyd所模拟的蜜罐系统常常是作为真实应用的网络中转移攻击者目标的设施，或者是与其他高交互的蜜罐系统一起部署，组成功能强大但花费又相对较少的网络攻击信息收集系统。 3．实验环境 硬件：局域网内联网的两台主机，其中一台为Linux操作系统主机用作安装“蜜罐”。另一台为windows主机，对蜜罐进行扫描。 软件：libdne