蜜罐就像壹個情報收集系統。蜜罐似乎是蓄意攻擊的目標,引誘黑客攻擊。所以攻擊者入侵後,妳可以知道他是如何成功的,並及時了解針對妳公司服務器發起的最新攻擊和漏洞。還可以收集黑客使用的各種工具,通過竊聽黑客之間的聯系,掌握他們的社交網絡。
設置蜜罐並不難,只要在外部互聯網上有壹臺運行未打補丁的微軟Windows或紅帽Linux的電腦即可。因為黑客可能會設置陷阱來獲取電腦的日誌和審查功能,所以妳要在電腦和互聯網連接之間安裝網絡監控系統,這樣才能悄悄記錄所有進出電腦的流量。然後就坐下來等襲擊者自投羅網。
但是,設置蜜罐不代表沒有風險。這是因為大多數被入侵的系統將被黑客用來攻擊其他系統。這就是下遊負債,引出蜜網的話題。
蜜網(Honeynet)指的是另壹種技術的蜜罐,以合理的方式記錄黑客的行動,並最小化或消除對互聯網上其他系統的風險。構建在反向防火墻後的蜜罐就是壹個例子。防火墻的目的不是阻止入站連接,而是阻止蜜罐建立出站連接。但是,這種方法雖然使得蜜罐不會破壞其他系統,但是很容易被黑客發現。
數據收集是建立蜜罐的另壹個技術挑戰。蜜罐監控器只要記錄下每壹個進出系統的數據包,就能清楚地了解黑客做了什麽。蜜罐上的日誌文件本身也是壹個很好的數據源。但是日誌文件很容易被攻擊者刪除,所以通常的做法是讓蜜罐將日誌備份發送到同壹個網絡上但防禦機制完善的遠程系統日誌服務器。(壹定要同時監控日誌服務器。如果攻擊者以新的方式闖入服務器,蜜罐無疑將證明其價值。)
近年來,由於黑帽組織越來越多地使用加密技術,數據收集的難度大大增強。如今,他們接受了許多計算機安全專業人士的建議,轉而采用SSH等密碼協議,以確保網絡監控對他們的通信毫無作用。蜜網密碼的計算是修改目標計算機的操作系統,使所有鍵入的字符、傳輸的文件等信息都記錄在另壹個監控系統的日誌中。因為攻擊者可能會發現這樣的日誌,蜜網計劃采用壹種隱蔽技術。例如,隱藏NetBIOS廣播數據包中的鍵入字符。
蜜罐技術的優勢
蜜罐系統的壹個優點是大大減少了要分析的數據。對於普通網站或郵件服務器,攻擊流量通常會被合法流量淹沒。大部分進出蜜罐的數據都是攻擊流量。因此,瀏覽數據並找出攻擊者的實際行為要容易得多。
蜜網自1999上線以來,收集了大量的信息,妳可以在www.honeynet.org上找到。壹些發現包括:攻擊率在過去壹年翻了壹番;攻擊者越來越多地使用可以堵塞漏洞的自動點擊工具(如果發現新的漏洞,工具可以很容易地更新);盡管虛張聲勢,很少有黑客采用新的攻擊方法。
蜜罐主要是研究工具,但也有真正的商業應用。將蜜罐設置在與公司Web或郵件服務器相鄰的IP地址上,就可以了解其所遭受的攻擊。
當然,蜜罐和蜜網不是“開火就忘”的安全裝置。根據蜜網項目,通常需要30到40個小時才能真正理解攻擊者在短短30分鐘內造成的破壞。該系統需要仔細維護和測試。有了蜜罐,就要不斷和黑客鬥爭。可以說是妳選擇了戰場,對手選擇了較量的時機。因此,妳必須時刻保持警惕。
蜜罐領域最激動人心的發展成果之壹是虛擬蜜網的出現。虛擬計算機網絡在使用虛擬計算機系統(如VMware或用戶模式Linux)的單臺機器上運行。虛擬系統使您能夠在壹個主機系統上運行幾個虛擬計算機(通常是4到10)。虛擬蜜網大大降低了成本、機器占用的空間和管理蜜罐的難度。此外,虛擬系統通常支持“掛起”和“恢復”功能,這樣妳就可以凍結安全受到危害的電腦,分析攻擊方法,然後打開系統上的TCP/IP連接等服務。
對於壹個大型組織的首席安全官(CSO)來說,運行蜜網的壹個最好的理由就是發現裏面有惡意的人。
蜜罐技術的法律問題
沒想到,監控蜜罐也要承擔相應的法律後果,比如,可能違反反竊聽法。雖然目前沒有判例法,但熟悉這部法律的人大多認為,雙方約定的口號才是出路。換句話說,在每個蜜罐上貼壹個標語:“任何使用該系統的人都同意他的行為將被監控並向他人披露,包括執法人員。”
蜜罐技術分析
壹、從電影特技到蜜罐技術
隨著計算機技術的不斷發展,越來越多的計算機特技應用在電影領域,不需要工資的虛擬演員夜以繼日不知疲倦地工作著。這些計算機技術使導演們能夠構思出現實中不可能存在的情節環境。然而,在計算機信息安全領域,網絡管理員不得不面對黑客真槍實彈的入侵和破壞。是不是在計算機技術廣泛應用的今天,安全領域得不到任何輔助?答案是肯定的,就是在安全領域取代網絡管理員的“虛擬演員”——蜜罐技術。
蜜罐,或者說蜜罐,與電影中使用的特效相比並不神秘——所謂蜜罐,就是壹臺沒有任何安全防範措施連接網絡的電腦,但與普通電腦不同的是,它運行著各種數據記錄程序和特殊用途的“自曝程序”——蜂蜜自然是不可或缺的,用來引誘貪婪的黑熊上鉤。從入侵者的角度來看,入侵蜜罐會讓他們的心情大起大落——從壹開始偷音樂罵管理員的傻帽,到最後意識到自己被傻帽當猴子耍。
二、為什麽要用蜜罐?
在《終結者2》中,阿諾德讓約翰把自己放進熔爐,在特洛伊,阿喀琉斯被王子射殺,在戰爭電影中,機槍掃射,甚至在《黑衣人》中,外星人發射的核彈摧毀了北極!如果這壹切都是真的,我們的明星已經成了墻上的照片。拍電影會死多少人?何況我們只有壹個地球,值得為了壹部電影炸掉壹片區域?所以人們必須用電腦特技來完成這些不可能真正發生的情節。同樣,管理員為了記錄入侵,也不會讓入侵者進入服務器破壞它,於是蜜罐就出現了。
如前所述,蜜罐是壹臺有各種漏洞的計算機,管理員知道它有多少漏洞。這就像狙擊手用槍撐起的頭盔,測試敵方狙擊手的實力。蜜罐被入侵時,會記錄入侵者的壹舉壹動,以便管理員更好地分析廣大入侵者喜歡往哪個洞裏鉆,以便日後加強防禦。
另壹方面是因為防火墻的局限性和脆弱性,因為防火墻必須建立在基於已知危險的規則體系之上。如果入侵者發起新形式的攻擊,而防火墻又沒有相應的規則來應對,那麽防火墻就沒有用了,防火墻保護的系統就會被破壞。因此,技術人員需要蜜罐來記錄入侵者的行動和入侵數據,並在必要時為防火墻添加新的規則或人工防禦。
第三,深入蜜罐
既然用蜜罐可以有這麽多好處,如果每個人都在自己家裏做蜜罐,豈不是防範黑客的最好辦法?有這種想法的讀者請到此為止!蜜罐雖然可以在壹定程度上幫助管理員解決分析問題,但它不是防火墻,相反,它是壹個危險的入侵記錄系統。狡猾的入侵者利用蜜罐攻擊他人的情況並不少見。只要管理員在某個設定上出錯,蜜罐就成了打狗的肉包子。壹般家庭用戶的電腦水平達不到專業水平,讓他們做蜜罐會火——蜜罐看似簡單,其實很復雜。雖然蜜罐要做好隨時犧牲的準備,但是如果最後沒能記錄下入侵數據,那麽這個蜜罐簡直就是壹只等著被宰殺的肉雞。這就是蜜罐的復雜性。它需要為入侵者留下漏洞,保證後臺錄音的正常和隱蔽運行。這些都需要專業技能。如果蜜罐可以隨便做,我們可以在家拍《黑客帝國》——故意開漏洞但不完美。
所以,壹定要了解蜜罐。是什麽樣的?
1.蜜罐的定義
首先要明確蜜罐和沒有任何防範措施的電腦的區別。雖然兩者都可能因入侵而受損,但性質完全不同。蜜罐是網絡管理員經過精心安排設置的“黑匣子”,看似漏洞百出,卻在掌控之中,其收集的入侵數據非常有價值。後者只是給入侵者的禮物。即使它們被入侵,也可能找不到蹤跡...所以蜜罐的定義是:“蜜罐是壹種安全的資源,它的價值在於被檢測、被攻擊、被破壞。”
設計蜜罐的初衷是為了讓黑客入侵,從而收集證據,隱藏真實的服務器地址。所以我們要求壹個合格的蜜罐具備這些功能:檢測攻擊、生成警告、記錄能力強、作弊、協助調查。還有壹個功能是由管理員完成的,就是在必要的時候根據蜜罐收集的證據起訴入侵者。
2.涉及的法律問題
蜜罐是黑客用來入侵的,必須提供壹定的漏洞,但是我們也知道很多漏洞屬於“高危”級別,稍有不慎就會導致系統被滲透。壹旦蜜罐被破壞,入侵者要做什麽是管理員無法預料的。比如入侵者成功進入蜜罐,並以此為“跳板”(指入侵者遠程控制壹臺或多臺被黑電腦入侵其他電腦)設置蜜罐必須面對三個問題:誘捕技術、隱私和責任。
誘捕技術和設置這個蜜罐的管理員的技術有關。壹個設置不全或者隱蔽性不夠的蜜罐,很容易被入侵者識破或者破壞,後果會非常嚴重。
因為蜜罐是錄音設備,可能會涉及隱私問題。如果企業管理員惡意設計蜜罐來收集公司員工的活動數據,或者暗中攔截記錄公司的網絡通信信息,這種蜜罐就已經涉及法律問題了。
最讓管理員遺憾的是,蜜罐被入侵者成功摧毀。可能有人會覺得,既然蜜罐是故意設計來“祭祀”的,那它被破壞當然是合理的,沒必要小題大做。沒錯,蜜罐確實是用來“虐”的,但它也是壹臺聯網的電腦。如果妳做的壹個蜜罐被入侵者打破,“借用”來攻擊壹個大學服務器,恐怕由此造成的損失只能由妳來承擔。還有壹些責任誰也說不清。比如妳做的壹個蜜罐,不幸引來了Slammer、Sasser、Blaster等著名的“爬蟲”病毒,成為傳播源之壹。那麽誰來承擔這個責任呢?
3.蜜罐的類型
世界上不會有很全面的東西,蜜罐也是。根據管理員的需求,蜜罐系統和漏洞設置的要求是不同的。蜜罐是有針對性的,不是壹味的設置成無聊。因此,產生了各種各樣的蜜罐...
3.1.真實系統蜜罐
真實系統蜜罐是最真實的蜜罐,運行的是真實的系統,是最危險的有真實入侵的漏洞,但它記錄的入侵信息往往是最真實的。這個蜜罐安裝系統壹般都是原裝的,沒有任何SP補丁,或者有低版本的SP補丁。根據管理員的需要,可能會添加壹些漏洞,只要值得研究的漏洞還存在。然後把蜜罐連上網絡。按照目前的網絡掃描頻率,這樣的蜜罐可以快速吸引目標,接受攻擊。系統中運行的錄音程序會記錄入侵者的壹舉壹動,但同時也是最危險的,因為入侵者的每壹次入侵都會引起系統的真實反應,比如被溢出、滲透、搶占權限等。
3.2.偽系統蜜罐
什麽是偽系統?不要誤解為“假制度”。也是基於真實的系統,但最大的特點是“平臺和漏洞的不對稱”。
大家應該知道,Windows並不是世界上唯壹的操作系統。在這個領域,有Linux,Unix,OS2,BeOS等。他們的核心不壹樣,所以漏洞也會不壹樣。簡單來說,能同時攻擊幾個系統的漏洞代碼非常少。也許用LSASS溢出漏洞可以得到Windows的許可,但是用同樣的方法溢出Linux是徒勞的。根據這壹特點,出現了“偽系統蜜罐”,利用壹些工具和程序強大的模仿能力,偽造不屬於自己平臺的“漏洞”。入侵這種“漏洞”只能在壹個程序框架內輪換,即使成功“滲透”,也還是程序制造的壹個夢想——系統沒有這種漏洞成立的條件,何談“滲透”?實現壹個“偽系統”並不難。Windows平臺下的壹些虛擬機程序,Linux本身的腳本功能和第三方工具都可以輕松實現。即使在Linux/Unix下,管理員也可以實時制造壹些不存在的“漏洞”,讓入侵者在裏面胡混。也很容易實現跟蹤錄音,只要在後臺打開相應的錄音程序即可。
這個蜜罐的好處是可以最大程度的防止被入侵者破壞,還可以模擬不存在的漏洞,甚至可以讓壹些Windows蠕蟲攻擊Linux——只要妳模擬出合格的Windows特性!但它也有缺點,因為聰明的入侵者只需幾個回合就能看穿偽裝。另壹方面,除非管理員有耐心或者非常悠閑,否則編寫腳本並不容易。
使用蜂蜜罐
既然蜜罐不是隨便做著玩的,管理員自然不會做蜜罐,放在家裏閑置。那麽蜜罐怎麽用呢?
4.1.迷惑入侵者,保護服務器。
在壹般的客戶機/服務器模式下,瀏覽器直接連接到網站服務器,換句話說,整個網站服務器都暴露在入侵者面前。如果服務器的安全措施不夠,整個網站的數據可能很容易被入侵者破壞。但如果蜜罐嵌入客戶端/服務器模式,蜜罐充當服務器,真實的網站服務器充當內網映射蜜罐上的網絡端口,就可以提高網站的安全系數。即使入侵者穿透了外部的“服務器”,也不會獲得任何有價值的信息,因為他只是入侵了蜜罐。雖然入侵者可以在蜜罐的基礎上跳入內網,但這比直接攻占外部服務器要復雜得多,很多水平不夠的入侵者只能望而卻步。蜜罐可能會被摧毀,但別忘了蜜罐是被摧毀的。
為此,蜜罐不能再設計有漏洞。蜜罐既然成為了內部服務器的保護層,那就必須足夠強大,否則整個網站就白送了。
4.2.抵禦入侵者,強化服務器。
入侵和防範壹直是熱點問題,在其中插入蜜罐鏈接會讓防範變得有趣。這個蜜罐的設置就像壹個內部網絡服務器。當入侵者想盡辦法入侵這個蜜罐時,管理員已經收集了足夠多的攻擊數據來加強真實的服務器。
使用這種策略布置蜜罐需要管理員配合監控,否則入侵者突破第壹個,第二個就會受到攻擊...
4.3.誘捕網絡罪犯
這是壹個非常有趣的應用。當管理員發現壹個普通的客戶端/服務器模式的網站服務器被犧牲了,作為肉雞,如果技術能力允許,管理員會迅速修復服務器。下次呢?現在入侵者已經確信自己把服務器變成了肉雞,下次壹定會回來查看結果。妳就讓他放肆嗎?壹些企業管理員不會放棄,他們會設置壹個蜜罐,模擬被入侵的狀態,啟動姜太公。同樣,壹些企業為了發現惡意入侵者,會故意設置漏洞明顯的蜜罐,讓入侵者被記錄下其行為的所有證據而不被懷疑。有人稱此為“監獄機器”,通過與電信局的合作,可以輕易查出IP源頭的黑手。
四。結論
隨著網絡入侵類型的多元化發展,蜜罐也必須進行多元化解讀,否則終有壹天無法面對入侵者的蹂躪。這也需要更高的網絡管理員技術能力,因為蜜罐這個活躍在安全領域的虛擬演員就是妳設計的。我們不能把蜜罐做得像T-X壹樣善變,但至少要防止我們設計的Arnold被T-X打破,再次被註入叛逆指令。