1.引言

隨著人類社會生活對Internet需求的日益增長，網絡安全逐漸成為Internet及各項網絡服務和應用進一步發展的關鍵問題，特別是1993年以后Internet開始商用化，通過Internet進行的各種電子商務業務日益增多，加之Internet/Intranet技術日趨成熟，很多組織和企業都建立了自己的內部網絡并將之與Internet聯通。上述上電子商務應用和企業網絡中的商業秘密均成為攻擊者的目標。據美國商業雜志《信息周刊》公布的一項調查報告稱，黑客攻擊和病毒等安全問題在2000年造成了上萬億美元的經濟損失，在全球范圍內每數秒鐘就發生一起網絡攻擊事件。2003年夏天，對于運行著Microsoft Windows的成千上萬臺主機來說簡直就是場噩夢！也給廣大網民留下了悲傷的回憶，這一些都歸結于沖擊波蠕蟲的全世界范圍的傳播。

2.蜜罐技術的發展背景

網絡與信息安全技術的核心問題是對計算機系統和網絡進行有效的防護。網絡安全防護涉及面很廣，從技術層面上講主要包括防火墻技術、入侵檢測技術,病毒防護技術,數據加密和認證技術等。在這些安全技術中，大多數技術都是在攻擊者對網絡進行攻擊時對系統進行被動的防護。而蜜罐技術可以采取主動的方式。顧名思義，就是用特有的特征吸引攻擊者，同時對攻擊者的各種攻擊行為進行分析并找到有效的對付辦法。（在這里，可能要聲明一下，剛才也說了，“用特有的特征去吸引攻擊者”，也許有人會認為你去吸引攻擊者，這是不是一種自找麻煩呢，但是，我想，如果攻擊者不對你進行攻擊的話，你又怎么能吸引他呢？換一種說話，也許就叫誘敵深入了）。

3. 蜜罐的概念

在這里，我們首先就提出蜜罐的概念。美國 L．Spizner是一個著名的蜜罐技術專家。他曾對蜜罐做了這樣的一個定義：蜜罐是一種資源，它的價值是被攻擊或攻陷。這就意味著蜜罐是用來被探測、被攻擊甚至最后被攻陷的，蜜罐不會修補任何東西，這樣就為使用者提供了額外的、有價值的信息。蜜罐不會直接提高計算機網絡安全，但是它卻是其他安全策略所不可替代的一種主動防御技術

具體的來講，蜜罐系統最為重要的功能是對系統中所有操作和行為進行監視和記錄，可以網絡安全專家通過精心的偽裝，使得攻擊者在進入到目標系統后仍不知道自己所有的行為已經處于系統的監視下。為了吸引攻擊者，通常在蜜罐系統上留下一些安全后門以吸引攻擊者上鉤，或者放置一些網絡攻擊者希望得到的敏感信息，當然這些信息都是虛假的信息。另外一些蜜罐系統對攻擊者的聊天內容進行記錄，管理員通過研究和分析這些記錄，可以得到攻擊者采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息，還能對攻擊者的活動范圍以及下一個攻擊目標進行了解。同時在某種程度上，這些信息將會成為對攻擊者進行起訴的證據。不過，它僅僅是一個對其他系統和應用的仿真，可以創建一個監禁環境將攻擊者困在其中，還可以是一個標準的產品系統。無論使用者如何建立和使用蜜罐，只有它受到攻擊，它的作用才能發揮出來。

4.蜜罐的具體分類和體現的安全價值

自從計算機首次互連以來，研究人員和安全專家就一直使用著各種各樣的蜜罐工具，根據不同的標準可以對蜜罐技術進行不同的分類，前面已經提到，使用蜜罐技術是基于安全價值上的考慮。但是，可以肯定的就是，蜜罐技術并不會替代其他安全工具，列如防火墻、系統偵聽等。這里我也就安全方面的價值來對蜜罐技術進行探討。

★ 根據設計的最終目的不同我們可以將蜜罐分為產品型蜜罐和研究型蜜罐兩類。

① 產品型蜜罐一般運用于商業組織的網絡中。它的目的是減輕受組織將受到的攻擊的威脅，蜜罐加強了受保護組織的安全措施。他們所做的工作就是檢測并且對付惡意的攻擊者。

⑴這類蜜罐在防護中所做的貢獻很少，蜜罐不會將那些試圖攻擊的入侵者拒之門外，因為蜜罐設計的初衷就是妥協，所以它不會將入侵者拒絕在系統之外，實際上，蜜罐是希望有人闖入系統，從而進行各項記錄和分析工作。

⑵雖然蜜罐的防護功能很弱，但是它卻具有很強的檢測功能，對于許多組織而言，想要從大量的系統日志中檢測出可疑的行為是非常困難的。雖然，有入侵檢測系統（IDS）的存在，但是，IDS發生的誤報和漏報，讓系統管理員疲于處理各種警告和誤報。而蜜罐的作用體現在誤報率遠遠低于大部分IDS工具，也務須當心特征數據庫的更新和檢測引擎的修改。因為蜜罐沒有任何有效行為，從原理上來講，任何連接到蜜罐的連接都應該是偵聽、掃描或者攻擊的一種，這樣就可以極大的減低誤報率和漏報率，從而簡化檢測的過程。從某種意義上來講，蜜罐已經成為一個越來越復雜的安全檢測工具了。

⑶如果組織內的系統已經被入侵的話，那些發生事故的系統不能進行脫機工作，這樣的話，將導致系統所提供的所有產品服務都將被停止，同時，系統管理員也不能進行合適的鑒定和分析，而蜜罐可以對入侵進行響應，它提供了一個具有低數據污染的系統和犧牲系統可以隨時進行脫機工作。此時，系統管理員將可以對脫機的系統進行分析，并且把分析的結果和經驗運用于以后的系統中。

② 研究型蜜罐專門以研究和獲取攻擊信息為目的而設計。這類蜜罐并沒有增強特定組織的安全性，恰恰相反，蜜罐要做的是讓研究組織面隊各類網絡威脅，并尋找能夠對付這些威脅更好的方式，它們所要進行的工作就是收集惡意攻擊者的信息。它一般運用于軍隊，安全研究組織。

★ 根據蜜罐與攻擊者之間進行的交互，可以分為3類：低交互蜜罐，中交互蜜罐和高交互蜜罐，同時這也體現了蜜罐發展的3個過程。

① 低交互蜜罐最大的特點是模擬。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產品系統，而是對各種系統及其提供的服務的模擬。由于它的服務都是模擬的行為，所以蜜罐可以獲得的信息非常有限，只能對攻擊者進行簡單的應答，它是最安全的蜜罐類型。

② 中交互是對真正的操作系統的各種行為的模擬，它提供了更多的交互信息，同時也可以從攻擊者的行為中獲得更多的信息。在這個模擬行為的系統中，蜜罐可以看起來和一個真正的操作系統沒有區別。它們是真正系統還要誘人的攻擊目標。

③高交互蜜罐具有一個真實的操作系統，它的優點體現在對攻擊者提供真實的系統，當攻擊者獲得ROOT權限后，受系統，數據真實性的迷惑，他的更多活動和行為將被記錄下來。缺點是被入侵的可能性很高，如果整個高蜜罐被入侵，那么它就會成為攻擊者下一步攻擊的跳板。目前在國內外的主要蜜罐產品有DTK，空系統，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREA TARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四種。

5.蜜罐的配置模式

① 誘騙服務（deception service）

誘騙服務是指在特定的IP服務端口幀聽并像應用服務程序那樣對各種網絡請求進行應答的應用程序。DTK就是這樣的一個服務性產品。DTK吸引攻擊者的詭計就是可執行性，但是它與攻擊者進行交互的方式是模仿那些具有可攻擊弱點的系統進行的，所以可以產生的應答非常有限。在這個過程中對所有的行為進行記錄，同時提供較為合理的應答，并給闖入系統的攻擊者帶來系統并不安全的錯覺。例如，當我們將誘騙服務配置為FTP服務的模式。當攻擊者連接到TCP/21端口的時候，就會收到一個由蜜罐發出的FTP的標識。如果攻擊者認為誘騙服務就是他要攻擊的FTP，他就會采用攻擊FTP服務的方式進入系統。這樣，系統管理員便可以記錄攻擊的細節。

② 弱化系統（weakened system）

只要在外部因特網上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。這樣的特點是攻擊者更加容易進入系統，系統可以收集有效的攻擊數據。因為黑客可能會設陷阱，以獲取計算機的日志和審查功能，需要運行其他額外記錄系統，實現對日志記錄的異地存儲和備份。它的缺點是“高維護低收益”。因為，獲取已知的攻擊行為是毫無意義的。

③ 強化系統（hardened system）

強化系統同弱化系統一樣，提供一個真實的環境。不過此時的系統已經武裝成看似足夠安全的。當攻擊者闖入時，蜜罐就開始收集信息，它能在最短的時間內收集最多有效數據。用這種蜜罐需要系統管理員具有更高的專業技術。如果攻擊者具有更高的技術，那么，他很可能取代管理員對系統的控制，從而對其它系統進行攻擊。

④用戶模式服務器（user mode server）

用戶模式服務器實際上是一個用戶進程，它運行在主機上，并且模擬成一個真實的服務器。在真實主機中，每個應用程序都當作一個具有獨立IP地址的操作系統和服務的特定是實例。而用戶模式服務器這樣一個進程就嵌套在主機操作系統的應用程序空間中，當INTERNET用戶向用戶模式服務器的IP地址發送請求，主機將接受請求并且轉發到用戶模式服務器上。（我們用這樣一個圖形來表示一下他們之間的關系）：這種模式的成功與否取決于攻擊者的進入程度和受騙程度。它的優點體現在系統管理員對用戶主機有絕對的控制權。即使蜜罐被攻陷，由于用戶模式服務器是一個用戶進程，那么Administrator只要關閉該進程就可以了。另外就是可以將FIREWALL,IDS集中于同一臺服務器上。當然，其局限性是不適用于所有的操作系統。

6.蜜罐的信息收集

當我們察覺到攻擊者已經進入蜜罐的時候，接下來的任務就是數據的收集了。數據收集是設置蜜罐的另一項技術挑戰。蜜罐監控者只要記錄下進出系統的每個數據包，就能夠對黑客的所作所為一清二楚。蜜罐本身上面的日志文件也是很好的數據來源。但日志文件很容易被攻擊者刪除，所以通常的辦法就是讓蜜罐向在同一網絡上但防御機制較完善的遠程系統日志服務器發送日志備份。（務必同時監控日志服務器。如果攻擊者用新手法闖入了服務器，那么蜜罐無疑會證明其價值。）

近年來，由于黑帽子群體越來越多地使用加密技術，數據收集任務的難度大大增強。如今，他們接受了眾多計算機安全專業人士的建議，改而采用SSH等密碼協議，確保網絡監控對自己的通訊無能為力。蜜網對付密碼的計算就是修改目標計算機的操作系統，以便所有敲入的字符、傳輸的文件及其它信息都記錄到另一個監控系統的日志里面。因為攻擊者可能會發現這類日志，蜜網計劃采用了一種隱蔽技術。譬如說，把敲入字符隱藏到NetBIOS廣播數據包里面。

7.蜜罐的實際例子

下面我們以Redhat linux 9.0為平臺，做一個簡單的蜜罐陷阱的配置。

我們知道，黑客一旦獲得root口令，就會以root身份登錄，這一登錄過程就是黑客入侵的必經之路。其二，黑客也可能先以普通用戶身份登錄，然后用su命令轉換成root身份，這又是一條必經之路。

我們討論如何在以下情況下設置陷阱：

(1)當黑客以root身份登錄時；

(2)當黑客用su命令轉換成root身份時；

(3)當黑客以root身份成功登錄后一段時間內；

第一種情況的陷阱設置

一般情況下，只要用戶輸入的用戶名和口令正確，就能順利進入系統。如果我們在進入系統時設置了陷阱，并使黑客對此防不勝防，就會大大提高入侵的難度系數。例如，當黑客已獲取正確的root口令，并以root身份登錄時，我們在此設置一個迷魂陣，提示它，你輸入的口令錯誤，并讓它重輸用戶名和口令。而其實，這些提示都是虛假的，只要在某處輸入一個密碼就可通過。黑客因此就掉入這個陷阱，不斷地輸入root用戶名和口令，卻不斷地得到口令錯誤的提示，從而使它懷疑所獲口令的正確性，放棄入侵的企圖。

給超級用戶也就是root用戶設置陷阱，并不會給系統帶來太多的麻煩，因為，擁有root口令的人數不會太多，為了系統的安全，稍微增加一點復雜性也是值得的。這種陷阱的設置時很方便的，我們只要在root用戶的.profile中加一段程序就可以了。我們完全可以在這段程序中觸發其他入侵檢測與預警控制程序。陷阱程序如下：

# root .profile
Clear
Echo “You had input an error password , please input again !”
Echo
Echo –n “Login:”
Read p
If ( “$p” = “123456”) then
Clear
Else
Exit

第二種情況的陷阱設置

在很多情況下，黑客會通過su命令轉換成root身份，因此，必須在此設置陷阱。當黑客使用su命令，并輸入正確的root口令時，也應該報錯，以此來迷惑它，使它誤認為口令錯誤，從而放棄入侵企圖。這種陷阱的設置也很簡單，你可以在系統的/etc/profile文件中設置一個alias，把su命令重新定義成轉到普通用戶的情況就可以了，例如alias su=”su user1”。這樣，當使用su時，系統判斷的是user1的口令，而不是root的口令，當然不能匹配。即使輸入su root也是錯誤的，也就是說，從此屏蔽了轉向root用戶的可能性。

第三種情況的陷阱設置

如果前兩種設置都失效了，黑客已經成功登錄，就必須啟用登錄成功的陷阱。一旦root用戶登錄，就可以啟動一個計時器，正常的root登錄就能停止計時，而非法入侵者因不知道何處有計時器，就無法停止計時，等到一個規定的時間到，就意味著有黑客入侵，需要觸發必要的控制程序，如關機處理等，以免造成損害，等待系統管理員進行善后處理。陷阱程序如下：

# .testfile
times=0
while [ $times –le 30 ] do
sleep 1
times=$[times + 1]
done
halt /* 30秒時間到，觸發入侵檢測與預警控制 */

# root . bashrc
….
Sh .testfile&

該程序不能用Ctrl-C終止，系統管理員可用jobs命令檢查到，然后用kill %n將它停止。

從上述三種陷阱的設置，我們可以看到一個一般的規律：改變正常的運行狀態，設置虛假信息，使入侵者落入陷阱，從而觸發入侵檢測與預警控制程序。

8.關鍵技術設計

自蜜罐概念誕生之日起，相關技術一直在長足的發展。到今天為止，蜜罐技術應用的最高度應該說是Honeynet技術的實現。

9.總結

任何事物的存在都會有利弊，蜜罐技術的發展也是伴隨著各種不同的觀點而不斷的成長的。蜜罐技術是通過誘導讓黑客們誤入歧途，消耗他們的精力，為我們加強防范贏得時間。通過蜜網讓我們在受攻擊的同時知道誰在使壞，目標是什么。同時也檢驗我們的安全策略是否正確，防線是否牢固，蜜罐的引入使我們與黑客之間同處于相互斗智的平臺counter-intelligence,而不是處處遭到黑槍的被動地位。我們的網絡并不安全，IDS，FIREWALL，Encryption技術都有其缺陷性，我們期待它們與蜜罐的完美結合，那將是對網絡安全的最好禮物。我們完全相信，蜜罐技術必將在網絡安全中發揮出極其重要的作用，一場世界上聲勢浩大的蜜罐技術行動必將到來。