另外如果黑客攻陷一台机器,一般会安装所谓的后门工具包,这些文件会代替机器上原有的文件,可能会使蜜罐收集数据能力降低或干脆失去。因此应直接把数据收集直接融入UNIX内核,这样攻击者很难探测到。修改UNIX内核不象修改UNIX系统文件那么容易,而且不是所有的UNIX版本都有源代码形式的内核。不过一旦源代码可用,这是布置和隐藏数据收集机制有效的 方法 。
4.2 基于 网络 的信息收集
基于主机的信息收集定位于主机本身,这就很容易被探测并终止。基于网络的信息收集将收集机制设置在蜜罐之外,以一种不可见的方式运行,很难被探测到,即使探测到也难被终止,比基于主机的信息收集更为安全。可以利用防火墙和入侵检测系统从网络上来收集进出蜜罐的信息。
⑴ 防火墙
可以配置防火墙记录所有的出入数据,供以后仔细地检查。用标准文件格式来记录,如Linux系统的tcpdump兼容格式,可以有很多工具软件来 分析 和解码录制的数据包。也可以配置防火墙针对进出蜜罐数据包触发报警,这些警告可以被进一步提炼而提交给更复杂的报警系统,来分析哪些服务己被攻击。例如,大部分利用漏洞的程序都会建立一个shell或打开某端口等待外来连接,防火墙可以记录那些试图与后门和非常规端口建立连接的企图并且对发起源的IP告警。防火墙也是数据统计的好地方,进出数据包可被计数, 研究 黑客攻击时的网络流量是很有意义的。
⑵ 入侵检测系统
网络入侵检测系统NIDS在网络中的放置方式使得它能够对网络中所有机器进行监控。可以用HIDS记录进出蜜罐的所有数据包,也可以配置NIDS只去捕获我们感兴趣的数据流。
在基于主机的信息收集中,高明的入侵者会尝试闯入远程的日志服务器试图删除他们的入侵记录,而这些尝试也正是蜜罐想要了解和捕获的信息。即使他们成功删除了主机内的日志,NIDS还是在网内静静地被动捕获着进出蜜罐的所有数据包和入侵者的所有活动,此时NIDS充当了第二重的远程日志系统,进一步确保了网络日志记录的完整性。
当然,不论是基于误用还是基于异常的NIDS都不会探测不到所有攻击,对于新的攻击方式,特征库里将不会有任何的特征,而只要攻击没有反常情况,基于异常的NIDS就不会触发任何警告,例如慢速扫描,因此要根据蜜罐的实际需要来调整IDS配置。
始终实时观察蜜罐费用很高,因此将优秀的网络入侵检测系统和蜜罐结合使用是很有用的。
4.3 主动的信息收集
信息也是可以主动获得,使用第三方的机器或服务甚至直接针对攻击者反探测,如Whois,Portscan等。这种方式很危险,容易被攻击者察觉并离开蜜罐,而且不是蜜罐所研究的主要范畴。
5 蜜罐的安全性分析
5.1 蜜罐的安全威胁
必须意识到运行蜜罐存在的一定的风险,有三个主要的危险是:
⑴ 未发现黑客对蜜罐的接管
蜜罐被黑客控制并接管是非常严重的,这样的蜜罐已毫无意义且充满危险。一个蜜罐被攻陷却没有被蜜罐管理员发现,则蜜罐的监测设计存在着缺陷。
⑵ 对蜜罐失去控制
对蜜罐失去控制也是一个严重的 问题 ,一个优秀的蜜罐应该可以随时安全地终止进出蜜罐的任何通讯,随时备份系统状态以备以后分析。要做到即使蜜罐被完全攻陷,也仍在控制之中。操作者不应该依靠与蜜罐本身相关的任何机器。虚拟机同样存在危险,黑客可能突破虚拟机而进入主机操作系统,因此虚拟蜜罐系统的主机同样是不可信的。
失去控制的另一方面是指操作者被黑客迷惑。如黑客故意制造大量的攻击数据和未过滤的日志事件以致管理员不能实时跟踪所有的活动,黑客就有机会攻击真正目标。
⑶ 对第三方的损害
指攻击者可能利用蜜罐去攻击第三方,如把蜜罐作为跳板和中继发起端口扫描、DDOS攻击等。
5.2 降低蜜罐的风险
首先,要根据实际需要选择最低安全风险的蜜罐。事实上并不总是需要高交互蜜罐,如只想发现公司内部的攻击者及谁探查了内部网,中低交互的蜜罐就足够了。如确实需要高交互蜜罐可尝试利用带防火墙的蜜网而不是单一的蜜罐。
其次,要保证攻击蜜罐所触发的警告应当能够立即发送给蜜罐管理员。如探测到对root权限的尝试攻击就应当在记录的同时告知管理员,以便采取行动。要保证能随时关闭蜜罐,作为最后的手段,关闭掉失去控制的蜜罐,阻止了各种攻击,也停止了信息收集。
相对而言保护第三方比较困难,蜜罐要与全球的网络交互作用才具有吸引力而返回一些有用的信息,拒绝向外的网络 交通 就不会引起攻击者太大的兴趣,而一个开放的蜜罐资源在黑客手里会成为有力的攻击跳板,要在二者之间找到平衡,可以设置防火墙对外向连接做必要的限定:
⑴ 在给定时间间隔只允许定量的IP数据包通过。
⑵ 在给定时间间隔只允许定量的TCP SYN数据包。
⑶ 限定同时的TCP连接数量。
⑷ 随机地丢掉外向IP包。
这样既允许外向交通,又避免了蜜罐系统成为入侵者攻击他人的跳板。如需要完全拒绝到某个端口的外向交通也是可以的。另一个限制方法是布置基于包过滤器的IDS,丢弃与指定特征相符的包,如使用Hogwash包过滤器。
6 结语
蜜罐系统是一个比较新的安全研究方向。相对于其它安全机制,蜜罐使用简单,配置灵活,占用的资源少,可以在复杂的环境下有效地工作,而且收集的数据和信息有很好的针对性和研究价值。既能作为独立的安全信息工具,还可以与其他的安全机制协作使用,取长补短地对入侵进行检测,查找并发现新型攻击和新型攻击工具。
蜜罐也有缺点和不足,主要是收集数据面比较狭窄和给使用环境引入了新的风险。面对不断改进的黑客技术,蜜罐技术也要不断地完善和更新。
参考 文献
[1] 熊华,郭世泽等.网络安全—取证与蜜罐[M].北京人民邮电出版社,2003,97-136
[2] Lance Spitzner.Definitions and Value of Honeypots.[EB/OL]. http://www.spiter.net.2002 .
[3]赵伟峰,曾启铭.一种了解黑客的有效手段—蜜罐(Honeypot) [J]. 计算 机 应用 ,2003,23(S1):259-261.
[4]马晓丽,赵站生,黄轩.Honeypot—网络陷阱.计算机工程与应用,2003.39(4):162-165.
[5]王璐,秦志光,张文科.业务蜜网技术与应用.计算机应用,2004.24(3):43-45.
[6]刘宝旭,曹爱娟,许榕生.陷阱网络技术综述.网络安全技术与应用,2003,12(1):65-69