返回zhuhaiqiang的回答
在信息网络当中有着各种各样的技术,蜜罐技术作为入侵检测技术的一个重要发展方向,它是一种主动防御技术,是专门为吸引并诱骗某些想要非法闯入他人[计算机]系统而设计的。今天,我们就从蜜罐技术的分类、优缺点以及基本配置这几个方面重点来介绍一下蜜罐技术。
1.概念
蜜罐是[网络管理]员经过周密布置而设下的“黑闸子”,看似漏洞百出却又尽在掌握之中,它收集的入侵数据是非有价值,因此给予它的定义就是:蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。
蜜罐系统最主要的功能是对系统中所有的操作和行为进行监视和记录。通过对系统进行伪装,使得攻击者在进入到蜜罐系统后并不会知晓其行为己经处于系统的监视之中,然后根据所有攻击行为分析攻击的方法和攻击企图。
2.蜜罐的分类
蜜罐技术可以根据不同的标准来进行分类,具体的情况如下。
(1)按照其部署目的分为产品型蜜罐和研究型蜜罐两类。
产品型蜜罐的目的在于为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署,而且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTraq等一系列的商业产品。
研究型蜜罐则是专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,对黑客攻击进行追踪和分析,能够捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作。
(2)按照其交互度的等级划分为低交互蜜罐、中交互度蜜罐和高交互蜜罐。交互度反应了黑客在蜜罐上进行攻击活动的自由度。
低交互蜜罐一般仅仅模拟[操作系统]和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动为有限,因此通过低交互蜜罐能够收集的信息也比较有限,同时由于低交互蜜罐通常是模拟的虚拟蜜罐,或多或少存在着一些容易被黑客所识别的指纹Fingerprinting)信息。产品型蜜罐一般属于低交互蜜罐。
中交互蜜罐提供了更多的交互信息,但还是没有提供一个真实的操作系统。通过这种较高程度的交互,更复杂些的攻击手段就可以被记录和分析。中交互蜜罐是对真正的操作系统的各种行为的模拟,在这个模拟行为的系统中,用户可以进行各种随心所欲的配置,让蜜罐看起来和一个真正的操作系统没有区别。
高交互蜜罐则完全提供真实的操作系统和网络服务,没有任何的模拟,从黑客角度上看,高交互蜜罐完全是其垂涎已久的“活靶子”,因此在高交互蜜罐中,我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时,自然地加大了部署和维护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐,也有部分蜜罐产品,如ManTrap,属于高交互蜜罐。
(3)按照蜜罐主机所采用的技术分为牺牲型蜜罐、外观型蜜罐和测量型蜜罐。
牺牲型蜜罐就是一台简单的为某种特定攻击设计的计算机。牺牲型蜜罐实际上是放置在易受攻击地点,假扮为攻击的受害者。它为攻击者提供了极好的攻击目标。不过提取攻击数据比较费时,并且它本身也会被攻击者利用来攻击其他的机器。
外观型蜜罐技术仅仅对网络服务进行仿真而不会导致机器真正被攻击,因此蜜罐的安全不会受到威胁。外观型蜜罐是一种呈现目标主机的虚假映像的系统,通常作为目标服务或应用的仿真软件进行各项工作。当外观型蜜罐受到侦昕或攻击时,它会迅速收集有关入侵者的信息。
测量型蜜罐建立在牺牲型蜜罐和外观型蜜罐的基础之上。测量型蜜罐为攻击者提供了高度可信的系统,非常容易访剖但是很难绕过,同时,高级的测量型蜜罐还可防止攻击者将系统作为进一步攻击的跳板。
3.蜜罐的优缺点
(1)优点
蜜罐的优点有:
①使用简单:相对于其他安全措施,蜜罐最大的优点就是简单。蜜罐中并不涉及到任何特殊的计算,不需要保存特征[数据库],也没有需要进行配置的规则库。
②资源占用少:蜜罐需要做的仅仅是捕获进入系统的所有数据,对那些尝试与自己建立连接的行为进仔记录和晌应,所以不会出现资源耗尽的情况。
③数据价值高:蜜罐收集的数据很多,但是它们收集的数据通常都带有非常有价值的信息。安全防护中最大的问题之一是从成千上万的网络数据中寻找自己所需要的数据。
(2)缺点
①数据收集面狭窄:如果没有人攻击蜜罐,它们就变得毫无用处。如果攻击者辨别出用户的系统为蜜罐,它就会避免与该系统进行交互并在蜜罐没有发觉的情况下潜入用户所在的组织。
②给使用者带来风险:蜜罐可能为用户的阿络环境带来风险,蜜罐一旦被攻陷,就可以用于攻击、潜入或危害其他的系统或组织。
4.蜜罐的基本配置
在受防火墙保护的网络中,蜜罐通常放置在防火墙的外部或放置在防护程度较低的服务网络中。这样做的目的是让攻击者可以轻松地获得蜜罐提供的所有服务。这样才能达到诱骗入侵者的目的,从而可以记录入侵者的行为。
蜜罐有四种不同的配置方式:
(1)诱骗服务。是指在特定E 服务端口上进行侦昕,并像其他应用程序那样对各种网络请求进行应答的应用程序。诱骗服务是蜜罐的基本配置。
(2)弱化系统。弱化系统是一个配置有己知攻击弱点的操作系统,比如,系统安装有己知的易受远程攻击的RPC、Sadmind 和mountd等。这种配置的特点是,恶意攻击者更容易进入系统,系统可以收集有关攻击的数据。
(3)强化系统。强化系统是对弱化系统配置的改进。强化系统并不配置一个看似有效的系统,蜜罐管理员为基本操作系统提供所有自己知道的安全补丁,使系统的每个服务变得足够安全。
(4)用户模式[服务器]。用户模式服务器是一个用户进程,它运行在主机上,并模拟成一个功能健全的操作系统,类似用户通常使用的操作系统。例如可以同时运行文字处理器、电子数据表和电子邮件等应用程序。