1.引言
隨著人類社會生活對Internet需求的日益增長,網(wǎng)絡(luò)安全逐漸成為Internet及各項網(wǎng)絡(luò)服務(wù)和應(yīng)用進一步發(fā)展的關(guān)鍵問題,特別是1993年以后Internet開始商用化,通過Internet進行的各種電子商務(wù)業(yè)務(wù)日益增多,加之Internet/Intranet技術(shù)日趨成熟,很多組織和企業(yè)都建立了自己的內(nèi)部網(wǎng)絡(luò)并將之與Internet聯(lián)通。上述上電子商務(wù)應(yīng)用和企業(yè)網(wǎng)絡(luò)中的商業(yè)秘密均成為攻擊者的目標(biāo)。據(jù)美國商業(yè)雜志《信息周刊》公布的一項調(diào)查報告稱,黑客攻擊和病毒等安全問題在2000年造成了上萬億美元的經(jīng)濟損失,在全球范圍內(nèi)每數(shù)秒鐘就發(fā)生一起網(wǎng)絡(luò)攻擊事件。2003年夏天,對于運行著Microsoft Windows的成千上萬臺主機來說簡直就是場噩夢!也給廣大網(wǎng)民留下了悲傷的回憶,這一些都歸結(jié)于沖擊波蠕蟲的全世界范圍的傳播。
2.蜜罐技術(shù)的發(fā)展背景
網(wǎng)絡(luò)與信息安全技術(shù)的核心問題是對計算機系統(tǒng)和網(wǎng)絡(luò)進行有效的防護。網(wǎng)絡(luò)安全防護涉及面很廣,從技術(shù)層面上講主要包括防火墻技術(shù)、入侵檢測技術(shù),病毒防護技術(shù),數(shù)據(jù)加密和認證技術(shù)等。在這些安全技術(shù)中,大多數(shù)技術(shù)都是在攻擊者對網(wǎng)絡(luò)進行攻擊時對系統(tǒng)進行被動的防護。而蜜罐技術(shù)可以采取主動的方式。顧名思義,就是用特有的特征吸引攻擊者,同時對攻擊者的各種攻擊行為進行分析并找到有效的對付辦法。(在這里,可能要聲明一下,剛才也說了,“用特有的特征去吸引攻擊者”,也許有人會認為你去吸引攻擊者,這是不是一種自找麻煩呢,但是,我想,如果攻擊者不對你進行攻擊的話,你又怎么能吸引他呢?換一種說話,也許就叫誘敵深入了)。
3. 蜜罐的概念
在這里,我們首先就提出蜜罐的概念。美國 L.Spizner是一個著名的蜜罐技術(shù)專家。他曾對蜜罐做了這樣的一個定義:蜜罐是一種資源,它的價值是被攻擊或攻陷。這就意味著蜜罐是用來被探測、被攻擊甚至最后被攻陷的,蜜罐不會修補任何東西,這樣就為使用者提供了額外的、有價值的信息。蜜罐不會直接提高計算機網(wǎng)絡(luò)安全,但是它卻是其他安全策略所不可替代的一種主動防御技術(shù)
具體的來講,蜜罐系統(tǒng)最為重要的功能是對系統(tǒng)中所有操作和行為進行監(jiān)視和記錄,可以網(wǎng)絡(luò)安全專家通過精心的偽裝,使得攻擊者在進入到目標(biāo)系統(tǒng)后仍不知道自己所有的行為已經(jīng)處于系統(tǒng)的監(jiān)視下。為了吸引攻擊者,通常在蜜罐系統(tǒng)上留下一些安全后門以吸引攻擊者上鉤,或者放置一些網(wǎng)絡(luò)攻擊者希望得到的敏感信息,當(dāng)然這些信息都是虛假的信息。另外一些蜜罐系統(tǒng)對攻擊者的聊天內(nèi)容進行記錄,管理員通過研究和分析這些記錄,可以得到攻擊者采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息,還能對攻擊者的活動范圍以及下一個攻擊目標(biāo)進行了解。同時在某種程度上,這些信息將會成為對攻擊者進行起訴的證據(jù)。不過,它僅僅是一個對其他系統(tǒng)和應(yīng)用的仿真,可以創(chuàng)建一個監(jiān)禁環(huán)境將攻擊者困在其中,還可以是一個標(biāo)準(zhǔn)的產(chǎn)品系統(tǒng)。無論使用者如何建立和使用蜜罐,只有它受到攻擊,它的作用才能發(fā)揮出來。
4.蜜罐的具體分類和體現(xiàn)的安全價值
自從計算機首次互連以來,研究人員和安全專家就一直使用著各種各樣的蜜罐工具,根據(jù)不同的標(biāo)準(zhǔn)可以對蜜罐技術(shù)進行不同的分類,前面已經(jīng)提到,使用蜜罐技術(shù)是基于安全價值上的考慮。但是,可以肯定的就是,蜜罐技術(shù)并不會替代其他安全工具,列如防火墻、系統(tǒng)偵聽等。這里我也就安全方面的價值來對蜜罐技術(shù)進行探討。
★ 根據(jù)設(shè)計的最終目的不同我們可以將蜜罐分為產(chǎn)品型蜜罐和研究型蜜罐兩類。
① 產(chǎn)品型蜜罐一般運用于商業(yè)組織的網(wǎng)絡(luò)中。它的目的是減輕受組織將受到的攻擊的威脅,蜜罐加強了受保護組織的安全措施。他們所做的工作就是檢測并且對付惡意的攻擊者。
⑴這類蜜罐在防護中所做的貢獻很少,蜜罐不會將那些試圖攻擊的入侵者拒之門外,因為蜜罐設(shè)計的初衷就是妥協(xié),所以它不會將入侵者拒絕在系統(tǒng)之外,實際上,蜜罐是希望有人闖入系統(tǒng),從而進行各項記錄和分析工作。
⑵雖然蜜罐的防護功能很弱,但是它卻具有很強的檢測功能,對于許多組織而言,想要從大量的系統(tǒng)日志中檢測出可疑的行為是非常困難的。雖然,有入侵檢測系統(tǒng)(IDS)的存在,但是,IDS發(fā)生的誤報和漏報,讓系統(tǒng)管理員疲于處理各種警告和誤報。而蜜罐的作用體現(xiàn)在誤報率遠遠低于大部分IDS工具,也務(wù)須當(dāng)心特征數(shù)據(jù)庫的更新和檢測引擎的修改。因為蜜罐沒有任何有效行為,從原理上來講,任何連接到蜜罐的連接都應(yīng)該是偵聽、掃描或者攻擊的一種,這樣就可以極大的減低誤報率和漏報率,從而簡化檢測的過程。從某種意義上來講,蜜罐已經(jīng)成為一個越來越復(fù)雜的安全檢測工具了。
⑶如果組織內(nèi)的系統(tǒng)已經(jīng)被入侵的話,那些發(fā)生事故的系統(tǒng)不能進行脫機工作,這樣的話,將導(dǎo)致系統(tǒng)所提供的所有產(chǎn)品服務(wù)都將被停止,同時,系統(tǒng)管理員也不能進行合適的鑒定和分析,而蜜罐可以對入侵進行響應(yīng),它提供了一個具有低數(shù)據(jù)污染的系統(tǒng)和犧牲系統(tǒng)可以隨時進行脫機工作。此時,系統(tǒng)管理員將可以對脫機的系統(tǒng)進行分析,并且把分析的結(jié)果和經(jīng)驗運用于以后的系統(tǒng)中。
② 研究型蜜罐專門以研究和獲取攻擊信息為目的而設(shè)計。這類蜜罐并沒有增強特定組織的安全性,恰恰相反,蜜罐要做的是讓研究組織面隊各類網(wǎng)絡(luò)威脅,并尋找能夠?qū)Ω哆@些威脅更好的方式,它們所要進行的工作就是收集惡意攻擊者的信息。它一般運用于軍隊,安全研究組織。
★ 根據(jù)蜜罐與攻擊者之間進行的交互,可以分為3類:低交互蜜罐,中交互蜜罐和高交互蜜罐,同時這也體現(xiàn)了蜜罐發(fā)展的3個過程。
① 低交互蜜罐最大的特點是模擬。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產(chǎn)品系統(tǒng),而是對各種系統(tǒng)及其提供的服務(wù)的模擬。由于它的服務(wù)都是模擬的行為,所以蜜罐可以獲得的信息非常有限,只能對攻擊者進行簡單的應(yīng)答,它是最安全的蜜罐類型。
② 中交互是對真正的操作系統(tǒng)的各種行為的模擬,它提供了更多的交互信息,同時也可以從攻擊者的行為中獲得更多的信息。在這個模擬行為的系統(tǒng)中,蜜罐可以看起來和一個真正的操作系統(tǒng)沒有區(qū)別。它們是真正系統(tǒng)還要誘人的攻擊目標(biāo)。
③高交互蜜罐具有一個真實的操作系統(tǒng),它的優(yōu)點體現(xiàn)在對攻擊者提供真實的系統(tǒng),當(dāng)攻擊者獲得ROOT權(quán)限后,受系統(tǒng),數(shù)據(jù)真實性的迷惑,他的更多活動和行為將被記錄下來。缺點是被入侵的可能性很高,如果整個高蜜罐被入侵,那么它就會成為攻擊者下一步攻擊的跳板。目前在國內(nèi)外的主要蜜罐產(chǎn)品有DTK,空系統(tǒng),BOF,SPECTER,HOME-MADE蜜罐,HONEYD,SMOKEDETECTOR,BIGEYE,LABREA TARPIT,NETFACADE,KFSENSOR,TINY蜜罐,MANTRAP,HONEYNET十四種。
5.蜜罐的配置模式
① 誘騙服務(wù)(deception service)
誘騙服務(wù)是指在特定的IP服務(wù)端口幀聽并像應(yīng)用服務(wù)程序那樣對各種網(wǎng)絡(luò)請求進行應(yīng)答的應(yīng)用程序。DTK就是這樣的一個服務(wù)性產(chǎn)品。DTK吸引攻擊者的詭計就是可執(zhí)行性,但是它與攻擊者進行交互的方式是模仿那些具有可攻擊弱點的系統(tǒng)進行的,所以可以產(chǎn)生的應(yīng)答非常有限。在這個過程中對所有的行為進行記錄,同時提供較為合理的應(yīng)答,并給闖入系統(tǒng)的攻擊者帶來系統(tǒng)并不安全的錯覺。例如,當(dāng)我們將誘騙服務(wù)配置為FTP服務(wù)的模式。當(dāng)攻擊者連接到TCP/21端口的時候,就會收到一個由蜜罐發(fā)出的FTP的標(biāo)識。如果攻擊者認為誘騙服務(wù)就是他要攻擊的FTP,他就會采用攻擊FTP服務(wù)的方式進入系統(tǒng)。這樣,系統(tǒng)管理員便可以記錄攻擊的細節(jié)。
② 弱化系統(tǒng)(weakened system)
只要在外部因特網(wǎng)上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。這樣的特點是攻擊者更加容易進入系統(tǒng),系統(tǒng)可以收集有效的攻擊數(shù)據(jù)。因為黑客可能會設(shè)陷阱,以獲取計算機的日志和審查功能,需要運行其他額外記錄系統(tǒng),實現(xiàn)對日志記錄的異地存儲和備份。它的缺點是“高維護低收益”。因為,獲取已知的攻擊行為是毫無意義的。
③ 強化系統(tǒng)(hardened system)
強化系統(tǒng)同弱化系統(tǒng)一樣,提供一個真實的環(huán)境。不過此時的系統(tǒng)已經(jīng)武裝成看似足夠安全的。當(dāng)攻擊者闖入時,蜜罐就開始收集信息,它能在最短的時間內(nèi)收集最多有效數(shù)據(jù)。用這種蜜罐需要系統(tǒng)管理員具有更高的專業(yè)技術(shù)。如果攻擊者具有更高的技術(shù),那么,他很可能取代管理員對系統(tǒng)的控制,從而對其它系統(tǒng)進行攻擊。
④用戶模式服務(wù)器(user mode server)
用戶模式服務(wù)器實際上是一個用戶進程,它運行在主機上,并且模擬成一個真實的服務(wù)器。在真實主機中,每個應(yīng)用程序都當(dāng)作一個具有獨立IP地址的操作系統(tǒng)和服務(wù)的特定是實例。而用戶模式服務(wù)器這樣一個進程就嵌套在主機操作系統(tǒng)的應(yīng)用程序空間中,當(dāng)INTERNET用戶向用戶模式服務(wù)器的IP地址發(fā)送請求,主機將接受請求并且轉(zhuǎn)發(fā)到用戶模式服務(wù)器上。(我們用這樣一個圖形來表示一下他們之間的關(guān)系):這種模式的成功與否取決于攻擊者的進入程度和受騙程度。它的優(yōu)點體現(xiàn)在系統(tǒng)管理員對用戶主機有絕對的控制權(quán)。即使蜜罐被攻陷,由于用戶模式服務(wù)器是一個用戶進程,那么Administrator只要關(guān)閉該進程就可以了。另外就是可以將FIREWALL,IDS集中于同一臺服務(wù)器上。當(dāng)然,其局限性是不適用于所有的操作系統(tǒng)。
6.蜜罐的信息收集
當(dāng)我們察覺到攻擊者已經(jīng)進入蜜罐的時候,接下來的任務(wù)就是數(shù)據(jù)的收集了。數(shù)據(jù)收集是設(shè)置蜜罐的另一項技術(shù)挑戰(zhàn)。蜜罐監(jiān)控者只要記錄下進出系統(tǒng)的每個數(shù)據(jù)包,就能夠?qū)诳偷乃魉鶠橐磺宥C酃薇旧砩厦娴娜罩疚募彩呛芎玫臄?shù)據(jù)來源。但日志文件很容易被攻擊者刪除,所以通常的辦法就是讓蜜罐向在同一網(wǎng)絡(luò)上但防御機制較完善的遠程系統(tǒng)日志服務(wù)器發(fā)送日志備份。(務(wù)必同時監(jiān)控日志服務(wù)器。如果攻擊者用新手法闖入了服務(wù)器,那么蜜罐無疑會證明其價值。)
近年來,由于黑帽子群體越來越多地使用加密技術(shù),數(shù)據(jù)收集任務(wù)的難度大大增強。如今,他們接受了眾多計算機安全專業(yè)人士的建議,改而采用SSH等密碼協(xié)議,確保網(wǎng)絡(luò)監(jiān)控對自己的通訊無能為力。蜜網(wǎng)對付密碼的計算就是修改目標(biāo)計算機的操作系統(tǒng),以便所有敲入的字符、傳輸?shù)奈募捌渌畔⒍加涗浀搅硪粋€監(jiān)控系統(tǒng)的日志里面。因為攻擊者可能會發(fā)現(xiàn)這類日志,蜜網(wǎng)計劃采用了一種隱蔽技術(shù)。譬如說,把敲入字符隱藏到NetBIOS廣播數(shù)據(jù)包里面。
7.蜜罐的實際例子
下面我們以Redhat linux 9.0為平臺,做一個簡單的蜜罐陷阱的配置。
我們知道,黑客一旦獲得root口令,就會以root身份登錄,這一登錄過程就是黑客入侵的必經(jīng)之路。其二,黑客也可能先以普通用戶身份登錄,然后用su命令轉(zhuǎn)換成root身份,這又是一條必經(jīng)之路。
我們討論如何在以下情況下設(shè)置陷阱:
(1)當(dāng)黑客以root身份登錄時;
(2)當(dāng)黑客用su命令轉(zhuǎn)換成root身份時;
(3)當(dāng)黑客以root身份成功登錄后一段時間內(nèi);
第一種情況的陷阱設(shè)置
一般情況下,只要用戶輸入的用戶名和口令正確,就能順利進入系統(tǒng)。如果我們在進入系統(tǒng)時設(shè)置了陷阱,并使黑客對此防不勝防,就會大大提高入侵的難度系數(shù)。例如,當(dāng)黑客已獲取正確的root口令,并以root身份登錄時,我們在此設(shè)置一個迷魂陣,提示它,你輸入的口令錯誤,并讓它重輸用戶名和口令。而其實,這些提示都是虛假的,只要在某處輸入一個密碼就可通過。黑客因此就掉入這個陷阱,不斷地輸入root用戶名和口令,卻不斷地得到口令錯誤的提示,從而使它懷疑所獲口令的正確性,放棄入侵的企圖。
給超級用戶也就是root用戶設(shè)置陷阱,并不會給系統(tǒng)帶來太多的麻煩,因為,擁有root口令的人數(shù)不會太多,為了系統(tǒng)的安全,稍微增加一點復(fù)雜性也是值得的。這種陷阱的設(shè)置時很方便的,我們只要在root用戶的.profile中加一段程序就可以了。我們完全可以在這段程序中觸發(fā)其他入侵檢測與預(yù)警控制程序。陷阱程序如下:
|
第二種情況的陷阱設(shè)置
在很多情況下,黑客會通過su命令轉(zhuǎn)換成root身份,因此,必須在此設(shè)置陷阱。當(dāng)黑客使用su命令,并輸入正確的root口令時,也應(yīng)該報錯,以此來迷惑它,使它誤認為口令錯誤,從而放棄入侵企圖。這種陷阱的設(shè)置也很簡單,你可以在系統(tǒng)的/etc/profile文件中設(shè)置一個alias,把su命令重新定義成轉(zhuǎn)到普通用戶的情況就可以了,例如alias su=”su user1”。這樣,當(dāng)使用su時,系統(tǒng)判斷的是user1的口令,而不是root的口令,當(dāng)然不能匹配。即使輸入su root也是錯誤的,也就是說,從此屏蔽了轉(zhuǎn)向root用戶的可能性。
第三種情況的陷阱設(shè)置
如果前兩種設(shè)置都失效了,黑客已經(jīng)成功登錄,就必須啟用登錄成功的陷阱。一旦root用戶登錄,就可以啟動一個計時器,正常的root登錄就能停止計時,而非法入侵者因不知道何處有計時器,就無法停止計時,等到一個規(guī)定的時間到,就意味著有黑客入侵,需要觸發(fā)必要的控制程序,如關(guān)機處理等,以免造成損害,等待系統(tǒng)管理員進行善后處理。陷阱程序如下:
|
將該程序放入root .bashrc中后臺執(zhí)行:
|
該程序不能用Ctrl-C終止,系統(tǒng)管理員可用jobs命令檢查到,然后用kill %n將它停止。
從上述三種陷阱的設(shè)置,我們可以看到一個一般的規(guī)律:改變正常的運行狀態(tài),設(shè)置虛假信息,使入侵者落入陷阱,從而觸發(fā)入侵檢測與預(yù)警控制程序。
8.關(guān)鍵技術(shù)設(shè)計
自蜜罐概念誕生之日起,相關(guān)技術(shù)一直在長足的發(fā)展。到今天為止,蜜罐技術(shù)應(yīng)用的最高度應(yīng)該說是Honeynet技術(shù)的實現(xiàn)。
9.總結(jié)
任何事物的存在都會有利弊,蜜罐技術(shù)的發(fā)展也是伴隨著各種不同的觀點而不斷的成長的。蜜罐技術(shù)是通過誘導(dǎo)讓黑客們誤入歧途,消耗他們的精力,為我們加強防范贏得時間。通過蜜網(wǎng)讓我們在受攻擊的同時知道誰在使壞,目標(biāo)是什么。同時也檢驗我們的安全策略是否正確,防線是否牢固,蜜罐的引入使我們與黑客之間同處于相互斗智的平臺counter-intelligence,而不是處處遭到黑槍的被動地位。我們的網(wǎng)絡(luò)并不安全,IDS,F(xiàn)IREWALL,Encryption技術(shù)都有其缺陷性,我們期待它們與蜜罐的完美結(jié)合,那將是對網(wǎng)絡(luò)安全的最好禮物。我們完全相信,蜜罐技術(shù)必將在網(wǎng)絡(luò)安全中發(fā)揮出極其重要的作用,一場世界上聲勢浩大的蜜罐技術(shù)行動必將到來。
