防黑阻击-入侵检测之蜜罐蜜网.pdfVIP

——PDF下载中心 防黑阻击 入侵检测之蜜罐与蜜网 入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。主要包括蜜罐(Honeypot)和 蜜网(Honeynet)两种。它是用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分 析，并找到有效的对付方法。为了吸引攻击者，网络管理员通常还在 Honeypot 上故意留下一 些安全后门，或者放置一些攻击者希望得到的敏感信息，当然这些信息都是虚假。当入侵者 正为攻入目标系统而沾沾自喜时，殊不知自己在目标系统中的所做所为，包括输入的字符， 执行的操作等都已经被 Honeypot 所纪录。 蜜罐技术 Honeypot 是一个资源，它的价值在于它会受到探测，攻击或攻陷。蜜罐并不修正任何问题， 它们仅提供额外的、有价值的信息。所以说 Honeypot 并非是一种安全的解决方案，这是因为 它并不会“修理”任何错误。它只是一种工具，如何使用这个工具取决于用户想做什么。 Honeypot 可以对其他系统和应用进行仿真，创建一个监禁环境将攻击者困在其中。无论用户 如何建立和使用 Honeypot，只有 Honeypot 受到攻击，它的作用才能发挥出来。所以为了方 便攻击，最好是将Honeypot设置成域名服务器WEB或电子邮件转发服务等流行应用中的一种。 蜜罐的部署 蜜罐并不需要一个特定的支撑环境，它可以放置在一个标准服务器能够放置的任何地方。当 然，根据所需要的服务，某些位置可能比其他位置更好一些。如图(1)显示了通常放置的三个 位置：1.在防火墙前面；2.DMZ 中；3.在防火墙后面。 Page 1 of 3 ——PDF下载中心 如果把蜜罐放在防火墙的前面，不会增加内部网络的任何安全风险，可以消除在防火墙后面 出现一台失陷主机的可能性（因为蜜罐主机很容易被攻陷）。但是同时也不能吸引和产生不 可预期的通信量，如端口扫描或网络攻击所导致的通信流，无法定位内部的攻击信息，也捕 获不到内部攻击者。 如果把蜜罐放在防火墙的后面，那么有可能给内部网络引入新的安全威胁，特别是如果蜜罐 和内部网络之间没有额外的防火墙保护。正如前面所说，蜜罐通常都提供大量的伪装服务， 因此不可避免地必须修改防火墙的规则，对进出内部网络的通信流量和蜜罐的通信加以区别 和对待。否则一旦蜜罐失陷，那么整个网络内部将完全暴露在攻击者面前。 较好的解决方案是让蜜罐运行在自己的 DMZ 内，同时保证 DMZ 内的其他服务器是安全的，只 提供所必需要的服务，而蜜罐通常会伪装尽可能多的服务。DMZ 同其他网络连接都用防火墙 隔离，防火墙则可以根据需要同 Internet 连接。这种布局可以很好的解决对蜜罐的严格控制 与灵活的运行环境矛盾，从而实现最高安全。 蜜网技术 Honeynet 是一种特殊的 Honeypot，Honeypot 物理上通常是一台运行单个操作系统或者借助 于虚拟化软件运行多个虚拟操作系统的“牢笼”主机。单机蜜罐系统最大的缺陷在欲数据流 将直接进入网络，管理者难以控制蜜罐主机外出流量，入侵者容易利用蜜灌主机作为跳板来 攻击其他机器。解决这个问题方法是把蜜罐主机放置在防火墙的后面，所有进出网络的数据 都会通过这里，并可以控制和捕获这些数据，这种网络诱骗环境称为蜜网(honeynet)。 蜜网的组成 蜜网作为蜜罐技术中的高级工具，一般是由防火墙，路由器，入侵检测系统以及一台或多台 蜜罐主机组成的网络系统，也可以使用虚拟化软件来构件虚拟蜜网。相对于单机蜜罐，蜜网 实现，管理起来更加复杂，但是这种多样化的系统能够更多地揭示入侵者的攻击特性，极大 地提高蜜灌系统的检测，分析，响应和恢复受侵害系统的能力。 防火墙的作用是限制和纪录网络数据流，入侵检测系统通常用于观察潜在的攻击和译码，并 在系统中存储网络数据流。蜜网中装有多个操作系统和应用程序供黑客探测和攻击。特定的 攻击者会瞄准特定的系统或漏洞，我们通过部署不同的操作系统和应用程序，可更准确地了 解黑客的攻击趋势和特征。另外，所