蜜罐系统搭建与测试分析课案.doc

蜜罐系统搭建与测试分析 互联网作为世界交互的接口，是各国互联网管理的必由之路。速度快、多变化、无边界、多维度的网络传播，不仅加速了全球化的进程，也减少差异阻隔，尤其在全球经济一体化发展的背景下，互联网已成为各国政治、文化和经济融合与博弈的重要场域。但是，与此同时互联网安全面临着巨大的考验。 导致互联网目前如此糟糕的安全状况的原因有很多，一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷，同时，大部分的网络使用者还未真正拥有安全意识，也还很少进行安全加强工作，如及时打补丁、安装防火墙和其他安全工具等，从而导致了目前的互联网具有巨大的安全隐患。另一方面，随着网络攻击技术的发展，特别是分布式拒绝服务攻击、跳板（Step-stone）攻击及互联网蠕虫的盛行，互联网上的每一台主机都已经成为攻击的目标。此外，黑客社团也不像互联网早期那么纯洁，不再仅仅为了兴趣和炫耀能力而出动，而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧，他们可以很方便地从互联网上找到所需的必威体育精装版攻击脚本和工具（如 PacketStorm 网站）。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用，功能也越来越强，能够造成的破坏也越来越大。 特别值得注意的一个趋势是多种攻击脚本和工具的融合，如大量的内核后门工具包（Rootkit），及能够集成多种攻击脚本并提供易用接口的攻击框架的出现。 当网络被攻陷破坏后，我们甚至还不知道对手是谁，他们使用了哪些工具、 以何种方式达成攻击目标，以及为什么进行攻击更是一无所知。作为安全防护工作者，无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员，都需要首先对黑客社团有深入的了解，包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。只有在充分了解对手的前提下，我们才能更有效地维护互联网安全。而蜜罐和蜜网技术为捕获黑客的攻击行为，并深入分析黑客提供了基础。 蜜罐的概念 “蜜网项目组”（The Honeynet Project）的创始人Lance Spitzner给出了对蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。 最初出现在1990 年出版的一本小说《The Cuckoo’s Egg》中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。“蜜网项目组”（The Honeynet Project）的创始人Lance Spitzner给出了对蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。 蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的必威体育精装版的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。 设置蜜罐，只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。因为黑客可能会设陷阱，以获取计算机的日志和审查功能，你就要在计算机和因特网连接之间安置一套网络监控系统，以便悄悄记录下进出计算机的所有流量。然后只要，等待攻击者自投罗网。 数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包，就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很容易被攻击者删除，所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。（务必同时监控日志服务器。如果攻击者用新手法闯入了服务器，那么蜜罐无疑会证明其价值。） 蜜罐技术的发展 从九十年代初蜜罐概念的提出直到 1998 年左右，“蜜罐”还仅仅限于一种思想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。 从 1998 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工具， 如 Fred Cohen 所开发的 DTK （欺骗工具包）、Niels Provos 开发的 Honeyd 等，同时也出现了像 KFSensor、Specter 等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务， 并对黑客的