实验14 蜜罐捕获Word格式文档下载.docx
《实验14 蜜罐捕获Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《实验14 蜜罐捕获Word格式文档下载.docx(13页珍藏版)》请在冰豆网上搜索。
只有在充分了解对手的前提下,安全技术人员和网络管理员才能更有效地维护互联网安全。
而蜜罐和蜜网技术为捕获黑客的攻击行为,并深入分析黑客提供了基础。
16.1.2工作原理
1.蜜罐
蜜罐(Honeypot)是一种在互联网上运行的计算机系统,它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。
蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。
由于蜜罐并没有向外界提供真正有价值的服务,因此所有连接的尝试都将视为是可疑的。
蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。
这样,最初的攻击目标得到了保护,而真正有价值的内容没有受到侵犯。
此外,蜜罐也可以为追踪攻击者提供有力的线索,为起诉攻击者搜集有力的证据。
简单地说,蜜罐就是诱捕攻击者的一个陷阱。
“蜜罐”(honeypot)这一概念最初出现在1990年出版的一本小说《TheCuckoo’sEgg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。
“蜜网项目组”(TheHoneynetProject)的创始人LanceSpitzner给出了对蜜罐的权威定义:
蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。
这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷,而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。
在一般情况下,蜜罐(honeypot)模拟某些常见的漏洞,模拟其它操作系统的特征或者在某个系统上做了一些设置,使其成为一台“牢笼”主机,来诱骗入侵者,目的是增加黑客攻击系统所花的开销,使攻击者劳而无功,从而降低黑客攻击系统的兴趣,减少重要系统被攻击的危险。
从1998年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,如FredCohen所开发的DTK(欺骗工具包)、NielsProvos开发的Honeyd等,同时也出现了像KFSensor、Specter等一些商业蜜罐产品。
这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。
虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。
但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题,从2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。
蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类,产品型蜜罐的目的在于为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。
一般产品型蜜罐较容易部署,而且不需要管理员投入大量的工作。
较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTraq等一系列的商业产品。
研究型蜜罐则是专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,对黑客攻击进行追踪和分析,能够捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。
研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作,具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术。
蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐,交互度反应了黑客在蜜罐上进行攻击活动的自由度。
低交互蜜罐一般仅仅模拟操作系统和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动较为有限,因此通过低交互蜜罐能够收集的信息也比较有限,同时由于低交互蜜罐通常是模拟的虚拟蜜罐,或多或少存在着一些容易被黑客所识别的指纹(Fingerprinting)信息。
产品型蜜罐一般属于低交互蜜罐。
高交互蜜罐则完全提供真实的操作系统和网络服务,没有任何的模拟,从黑客角度上看,高交互蜜罐完全是其垂涎已久的“活靶子”,因此在高交互蜜罐中,我们能够获得许多黑客攻击的信息。
高交互蜜罐在提升黑客活动自由度的同时,自然地加大了部署和维护的复杂度及风险的扩大。
研究型蜜罐一般都属于高交互蜜罐,也有部分蜜罐产品,如ManTrap,属于高交互蜜罐。
蜜罐技术的优点:
(1)收集数据的保真度,由于蜜罐不提供任何实际的作用,因此其收集到的数据很少,同时收集到的数据很大可能就是由于黑客攻击造成的,蜜罐不依赖于任何复杂的检测技术等,因此减少了漏报率和误报率。
(2)使用蜜罐技术能够收集到新的攻击工具和攻击方法,而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。
(3)蜜罐技术不需要强大的资源支持,可以使用一些低成本的设备构建蜜罐,不需要大量的资金投入。
(4)相对入侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。
蜜罐技术的缺陷:
(1)需要较多的时间和精力投入。
(2)蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限,不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。
(3)蜜罐技术不能直接防护有漏洞的信息系统。
(4)部署蜜罐会带来一定的安全风险。
部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为跳板从而对第三方发起攻击。
一旦黑客识别出蜜罐后,他将可能通知黑客社团,从而避开蜜罐,甚至他会向蜜罐提供错误和虚假的数据,从而误导安全防护和研究人员。
防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹,并使得蜜罐与真实的漏洞主机毫无差异。
蜜罐隐藏技术和黑客对蜜罐的识别技术(Anti-Honeypot)之间相当于一个博弈问题,总是在相互竞争中共同发展。
另外,蜜罐技术的初衷即是让黑客攻破蜜罐并获得蜜罐的控制权限,并跟踪其攻破蜜罐、在蜜罐潜伏等攻击行为,但技术人员必须防止黑客利用蜜罐作为跳板对第三方网络发起攻击。
为了确保黑客活动不对外构成威胁,必须引入多个层次的数据控制措施,必要的时候需要研究人员的人工干预。
2.蜜网
蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又可成为诱捕网络。
其主要目的是收集黑客的攻击信息,但与传统蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,我们可以包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。
“蜜网项目组”是一个非赢利性的研究组织,其目标为学习黑客社团所使用的工具、战术和动机,并将这些学习到的信息共享给安全防护人员。
为了联合和协调各国的蜜网研究组织共同对黑客社团的攻击进行追踪和学习,2002年1月成立了“蜜网研究联盟”(HoneynetResearchAlliance),到2002年12月为止,该联盟已经拥有了10个来自不同国家的研究组织。
联盟目前的执行委员会主席为来自Sun公司的LanceSpitzner。
“蜜网项目组”目前的规划分为四个阶段:
第一个阶段即1999年-2001年,主要针对蜜网技术进行一些原理证明性(ProofofConcept)的实验,提出了第一代蜜网架构;
第二阶段从2001年到2003年,对蜜网技术进行发展,并提出了第二代蜜网架构,开发了其中的关键工具-HoneyWall和Sebek;
第三阶段从2003年到2004年,其任务着重于将所有相关的数据控制和数据捕获工具集成到一张自启动的光盘中,使得比较容易地部署第二代蜜网,并规范化所搜集到的攻击信息格式;
第四阶段从2004年到2005年,主要目标为将各个部署的蜜网项目所采集到的黑客攻击信息汇总到一个中央管理系统中,并提供容易使用的人机交互界面,使得研究人员能够比较容易地分析黑客攻击信息,并从中获得一些价值。
一个蜜网是由许多用来与攻击者进行交互的蜜罐组成的网络,其中的这些靶子(蜜网内的蜜罐)可以是你想提供的任何类型的系统,服务或是信息。
此外,虚拟蜜网通过应用虚拟操作系统软件(如VMWare和UserModeLinux等)使得我们可以在单一的主机上实现整个蜜网的体系架构。
虚拟蜜网的引入使得架设蜜网的代价大幅降低,也较容易部署和管理,但同时也带来了更大的风险,黑客有可能识别出虚拟操作系统软件的指纹,也可能攻破虚拟操作系统软件从而获得对整个虚拟蜜网的控制权。
蜜网有着三大核心需求:
(1)数据控制;
(2)数据捕获;
(3)数据分析。
通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全,以减轻蜜网架设的风险;
数据捕获技术能够检测并审计黑客攻击的所有行为数据;
而数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。
以下结合“蜜网项目组”及其推出的第二代蜜网技术方案对蜜网的核心需求进行分析。
第二代蜜网方案的整体架构如下图16-1-1所示,其中最为关键的部件为称为HoneyWall的蜜网网关,包括三个网络接口,eth0接入外网,eth1连接蜜网,而eth2作为一个秘密通道,连接到一个监控网络。
HoneyWall是一个对黑客不可见的链路层桥接设备,作为蜜网与其他网络的唯一连接点,所有流入流出蜜网的网络流量都将通过HoneyWall,并受其控制和审计,同时由于HoneyWall是一个工作在链路层的桥接设备,不会对网络数据包进行TTL递减和网络路由,也不会提供本身的MAC地址,因此对黑客而言,HoneyWall是完全不可见的,因此黑客不会识别出其所攻击的网络是一个蜜网。
HoneyWall实现了蜜网的第一大核心需求-数据控制,如下图16-1-2所示,HoneyWall对流入的网络包不进行任何限制,使得黑客能攻入蜜网,但对黑客使用蜜网对外发起的跳板攻击进行严格控制,控制的方法包括攻击包抑制和对外连接数限制两种手段。
图16-1-1蜜网方案的整体架构
图16-1-2HoneyWall的数据控制
攻击包抑制主要针对使用少量连接即能奏效的已知攻击(如权限提升攻击等),在HoneyWall中使用了snort_inline网络入侵防御系统(NIPS)作为攻击包抑制器,检测出从蜜网向外发出的含有的攻击特征的攻击数据包,发出报警信息并对攻击数据包加以抛弃或修改,使其不能对第三方网络构成危害。
而对外连接数限制则主要针对网络探测和拒绝服务攻击。
HoneyWall通过在IPTables防火墙中设置规则,当黑客发起的连接数超过预先设置的阈值,则IPTables将其记录到日志,并阻断其后继连接,从而避免蜜网中被攻陷的蜜罐作为黑客的跳板对第三方网络进行探测或拒绝服务攻击。
图16-1-3给出了HoneyWall中实现的数据控制机制(即攻击包抑制和对外连接数限制)的具体工作流程。
Swatch监视工具将snort_inline和IPTables产生的报警日志通过Email等方式通知管理员。
HoneyWall中实现的数据捕获机制的具体工作流程,黑客攻击数据包从eth0流入后,通过IPTables防火墙,根据防火墙规则,将对流入的连接活动进行记录,由于我们无需对流入的攻击进行过滤,因此可以直接跳过snort_inline,但在eth1流出的时候,由一个作为网络监听器使用的snort记录全部的网络流量,以供后继的攻击分析所使用。
在蜜网中的各个蜜罐上,通过安装Sebek的客户端,能够对黑客在蜜罐上的活动进行记录,并通过对黑客隐蔽的通道将收集到的键击记录等信息传送到位于HoneyWall的Sebek服务器。
管理员可以通过eth2隐蔽通道对HoneyWall中收集到的数据进行分析,从而学习到黑客所发动的攻击方法。
图16-1-3HoneyWall的数据控制机制的具体工作流程
3.常见的网络诱骗工具及产品
DTK。
DTK(DeceptionToolkit)是在1997年面世的首个开放源码的蜜罐技术,它组合了Perl手稿程序和C源码。
DTK旨在使运行DTK的系统在攻击者看来好像存在许多已知的缺陷。
DTK监听输入并做出似乎真的存在缺陷的反应。
在这个过程中它记录所有动作,提供合情合理的回答,使攻击者有系统不安全的错觉。
DTK的主要目的是引诱攻击者,被用来提供足以能够欺骗当前市面上的自动攻击工具的虚构服务,使其相信抵御者就是他们所伪装的那个样子。
但是,DTK并不是作为信息系统欺骗的最终目标来设计的。
它只是一个产生欺骗的简单工具,来迷惑单纯化的攻击,击败自动攻击系统,向有利于防御者的方向改变攻防工作量的平衡。
DTK实际上就是一个有穷状态机的集合,它能虚拟任何服务,并可方便地利用其中的功能直接模仿许多服务程序。
它监听输入并做出似乎真的存在缺陷的反应。
在这个过程中它记录所有动作,提供合情合理的回答,使攻击者有系统不安全的错觉。
在设计产生欺骗的状态机时可以很容易的揭示攻击者恶意攻击的程度和意图。
DTK有效的增加了攻击者的工作量。
减少“噪音”水平的攻击,使我们能够更清晰的看到更有水平的攻击,并追捕它们。
DTK欺骗是可编程的,但是它受限于要在攻击者的输入的基础上做出反应给出输出,来模仿易受攻击的系统的行为,这使得它在可以提供的deception种类的丰富程度上受到很大限制。
另外,很容易区分真的计算机环境和通过由少数状态组成的状态机所实现的有限能力,所以DTK对大多数自动攻击工具是适用的,但很容易被一个真正的攻击者区分出来。
Honeyd。
Honeyd是一个很酷很小巧的用于创建虚拟的网络上的主机的后台程序,这些虚拟主机可以配置使得它们提供任意的服务,利用个性处理可以使得这些主机显示为在某个特定版本的操作系统上运行。
Honeyd是GNUGeneralPublicLicense下发布的开源软件,目前也有一些商业公司在使用这个软件。
其最初面向的是类linux操作系统,可以运行在*BSD系统,Solaris,GNU/Linux等操作系统上,由NielsProvos开发和维护。
最新版本是2004年4月19日发布的Honeyd0.8b。
应用于Windows系统的Honeyd程序也已经出现,其开发者为MikeDavis.最新版本为windowsportsforHoneyd0.5。
Honeyd能让一台主机在一个模拟的局域网环境中配有多个地址(曾测试过的最多可以达到65536个),外界的主机可以对虚似的主机进行ping、traceroute等网络操作,虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟,也可以为真实主机的服务提供代理。
Honeyd可以通过提供威胁检测与评估机制来提高计算机系统的安全性,也可以通过将真实系统隐藏在虚拟系统中来阻止外来的攻击者。
因为Honeyd只能进行网络级的模拟,不能提供真实的交互环境,能获取的有价值的攻击者的信息比较有限,所以Honeyd所模拟的蜜罐系统常常是作为真实应用的网络中转移攻击者目标的设施,或者是与其他高交互的蜜罐系统一起部署,组成功能强大但花费又相对较少的网络攻击信息收集系统。
Honeynet。
Honeynet是一种高交互的Honeypot,它不是一个单一的产品,而是一个被设计让攻击者攻击的有机的网络架构。
它的目的是捕获黑客的行为并记录相关信息,并方便部署者对这些记录进行分析,以获取黑客的攻击方法,了解黑客的攻击工具,洞悉黑客的攻击心理,通过了解、学习黑客的攻击技术,反过来对网络做出更好的保护。
Honeynet是一种Honeypot,但它跟普通Honeypot有着很大的区别:
普通的Honeypot都是一台机器,但是Honeynet则是一个有机网络,一般来说由数台电脑组成(除了在一台电脑上通过虚拟机来模拟数台电脑的情况),并配以各种必要的软、硬件,使它看起来象是一个真实的产品系统网络,这个“产品系统”网络包括各种服务和操作系统,这里的服务可以包括Http、FTP、Mail等服务,而操作系统则可以包括Windows、Linux、BSD、Solaries等流行系统。
相对于DTK,Honeyd等低交互性的Honeypot来说的,Honeynet具有高交互性。
DTK、Honeyd等低交互性Honeypot通过模拟服务和操作系统,而不真正的装上真实的服务和操作系统来捕获黑客行动记录,而Honeynet则通过各种真实的服务和操作系统来提供“服务”以获取黑客行动记录,黑客面对的是一个完整的“产品系统”网络,而不是虚拟的网络。
在这个网络内安装有各种数据控制工具,把黑客的行为控制在允许的范围内,但又保证不让黑客知道他的行为已经受到监视和约束,但是由于这个网络采用了严密的数据控制,黑客忙了半天,用尽了他掌握的各种技术、工具,不仅没能达到攻击目标,却让部署者轻松的获取了这些信息。
一旦黑客的行为的后果超出了部署者可承受的范围之后,可以马上中断联接,由于这个网络不是一个真实的产品系统网络,即使Honeynet受到破坏,部署者最大的损失至多是重装系统而已。
其他各种安全防御措施,如IDS、防火墙,部署者要么需要在大量的日志中搜索有价值的少数信息,要么只有在系统遭到破坏后才能知道系统已经遭到黑客入侵。
而由于Honeynet在正常情况下的任何数据包都是异常数据包,所以它记录的内容相对于IDS非常少。
通过日志记录,Honeynet可以把部署者感兴趣的事件以各种方便的途径发送给部署者,可以让部署者不需要24小时全天候的守候。
16.1.3实验列表
实验序号
实验名称
实验一
伪装ftp服务器
实验二
伪装telnet服务器
【实验一】伪装ftp服务器实验
【实验分析】
实验目的:
●了解蜜罐的概念
●学会利用蜜罐软件伪装服务器
场景描述:
图16-1-4实验拓扑图
本实验可以在虚拟机上完成,实验拓扑图如图16-1-4所示,对应的IP地址与角色如表16-1-1所示。
实验思路是将蜜罐服务器伪装成FTP和Telnet服务器,引诱攻击者进行攻击。
IP地址
角色与任务
A
172.16.1.244
攻击源(恶意攻击者)
B
172.16.1.10
攻击目标,蜜罐(HoneyPot)服务器FTP、TELNET、WEB
表16-1-1对应的IP地址与角色
实验工具:
Fluxay(小榕流光)、windows2003、defnet2004.exe
【实验步骤】
1.蜜罐(HoneyPot)服务器FTP、TELNET、WEB的网络配置如下(图16-1-5):
图16-1-5蜜罐(HoneyPot)服务器的网络配置
2.攻击源(恶意攻击者)的网络配置如下(图16-1-6):
图16-1-6攻击源的网络配置
3.登录蜜罐服务器,打开defnet2004HoneyPot(图16-1-7):
图16-1-7defnet2004HoneyPot主界面
4.点击HoneyPot按钮;
5.配置一个伪装的ftp服务器。
设置port为21,用户名为king,密码为king,设置directory项,用于指定伪装的文件目录项(在C盘根目录下创建temp文件夹,里面新建一个setup.exe文件)(图16-1-8);
图16-1-8配置一个伪装的ftp服务器
6.然后点击主界面的“monitore”,开始开始监控;
7.登录攻击源机器,运行小榕软件(流光5.0)(图16-1-9);
图16-1-9登陆攻击主机,运行流光软件
8.点击“探测”—>
“高级扫描工具”;
9.在高级扫描配置中输入初始地址:
172.16.1.10,结束地址:
172.16.1.10(图16-1-10);
图16-1-10输入开始和结束地址
(10)在选择流光主机中点击开始(图16-1-11);
图16-1-11开始扫描
(11)扫描出被攻击服务器上开放的端口以及一些漏洞(图16-1-12);
图16-1-12扫描出来的漏洞
(12)当发现FTP21端口开着时,使用嗅探、破解软件可以得到用户名、密码,然后登录FTP服务器并运行setup.exe程序;
(13)返回蜜罐服务器中的defnet2004HoneyPot界面,可以查看到攻击者对服务器的操作;
可以看到攻击者172.16.1.244登录FTP服务器,使用的用户和密码以及所到的文件路径等(图16-1-13);
图16-1-13主界面捕获的攻击者的入侵操作
【实验二】伪装Telnet服务器实验
参见实验一
1.登录蜜罐服务器,打开honeyport,配置telnetServer,port为23,Banner可以自己定义TELNET服务器的名称,用户名root,密码root(图16-1-14):
图16-1-14配置伪装的telnet服务器
2.在高级设置中还可以设置更多,可以伪装驱动盘符(Dive)、卷标(Volume)、序列号(serialno),以及目录创建时间和目录名,磁盘空间余额(Freespaceinbytes)、MAC地址、网卡类型等,这样更能让虚拟的系统看起来更加真实(图16-1-15):
图16-1-15设置一些高级设置,使服务器更具真实性
3.设置完之后,点击“monitore”按钮开始监控;
4.登陆攻击源机器,使用fluxay软件进行扫描,发现开放端口后利用telnet命令尝试登录,尝试利用administor,admin,root进行登录,登录之后创建一个账号为test,密码为test168的管理员账户;
5.回到蜜罐,查看监控结果,从窗口信息中我们可以看到攻击者的所有动作(图1
升级会员 