学文网摘要:随着计算机网络发展越来越快,网络安全也随之下降,在保护网络安全上,传统的方法是利用防火墙。比较普遍的防火墙、防毒软件及其运行机制、监察入侵活动和内容过滤等已对网络安全起不了很大的作用了,本文就对“蜜罐”技术及其在网络安全中的应用做出相应探讨,以供大家一起来参考及借鉴。
关键词:蜜罐;功能;蜜网;发展
中***分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 09-0000-02
The "honey pot" Technology in the Network Security
Yu Xiaodong
(Chaozhou Power Supply Bureau of Guangdong Power Grid Company,Chaozhou521000,China)
Abstract:With the increasingly rapid development of computer networks,network security was declining,in the protection of network security,the traditional method is to use firewall.More common firewall,antivirus software and its operating mechanism,monitoring intrusions,and content filtering for network security can not played a significant role,and this article on the "honey pot" technique and its application in network security and make the corresponding discussion,for all to reference and learn together.
Keywords:Honey pot;Function;Honeynet;Development
一、防火墙技术的局限性和脆弱性
防火墙是网络上使用最多的安全设备,是网络安全的重要基石。但防火墙不是万能的。据不完全统计,防火墙的攻破率已经超过47%。传统防火墙技术有一定的局限性和脆弱性。一是防火墙不能解决来自内部网络的攻击和安全问题。二是防火墙不能防止策略配置不当或错误配置引起的安全威胁。三是防火墙不能防止利用标准网络协议中的缺陷进行的攻击。四是防火墙不能防止利用服务器系统漏洞所进行的攻击。五是防火墙不能防止数据驱动式的攻击。六是防火墙的操作系统、防火墙软件不能保证没有漏洞。七是防火墙无法解决TCP/IP等协议的漏洞。八是防火墙无法区分恶意命令还是善意命令,恶意流量还是善意流量。有很多命令对管理员而言,是一项合法命令,而在黑客手里就可能是一个危险的命令。
二、“蜜罐”技术概述
(一)“蜜罐”的定义
一个“honeypnt”就是一个设计用来观测黑客如何探测并最终入侵系统的系统。它意味着包含一些并不威胁本部门机密的数据或应用程序而同时对于黑客来说又共有很大诱惑力的这样的一个系统,也就是放置在你网络上的一台计算机,表面看来像一台普通的机器,但同时通过一些特殊配置来引诱潜在的黑客并捕获它们的踪迹。我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹。因此,蜜网项目组(TheHoneynet Project)的创始人LanceSpitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。
(二)“蜜罐”的系统结构
“蜜罐”是某一运行环境下的特殊软件,它主要由入侵检测、入侵重定向、模拟脆弱性、行为记录、数据融合、行为分析、行为控制等7个模块构成。其中入侵重定向、模拟脆弱性是“蜜罐”系统与普通防火墙的最大区别。入侵重定向模块把入侵行为引向经脆弱性模拟的“蜜罐”系统,由行为记录模块对入侵行为进行详细记录,并经数据融合后,给行为分析模块提供一个高效、简洁的数据源供其分析。在整个过程中行为控制模块对入侵行为进行控制,防止入侵者在系统内进行破坏,同时也防止入侵者利用该系统作为跳板对其他网络系统进行攻击,造成所谓的下游责任(downstrea mliability)。
(三)“蜜罐”的功能
设计良好的“蜜罐”共有以下几种主要功能:一是阻止功能,它把一个网络设计成可以监视和捕获他人入侵的智能化网络;二是通过提供给攻击者基于伪造数据的“蜜罐”,可以转移攻击者的视线,使攻击者对真正系统的危害性降到最低;三是不仅可以发现外部的攻击者,也可以提供内部攻击者攻击方式的特征值;四是可以通过“蜜罐”提供的数据了解攻击者的技术、手段,以更好地保护系统安全。设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来入侵者。
(四)“蜜罐”系统的实现
实际应用的“蜜罐’系统是多样的。最简单的“蜜罐”就是在外网上(与Internet相连)有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux。然后在计算机和Internet连接之间安置一套网络监控系统,以便悄悄记录下进出计算机的所有流量,监视各种攻击行为。
同时,一些安全扫描、安全分析工具和一些黑客软件也共有“蜜罐”的功能。如TigerSuite和NetCat。其中,NetCat被誉为网络安全界的“瑞士***刀”,是一个简单而有用的工具,透过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具,能够直接由其他程序和脚本轻松驱动,因而被黑客广泛使用。但同时,它也可以作为“蜜罐”使用。其原理是NetCat可以帮助我们在一些端门上绑定服务,这样就允许我们在Linux,NT,FreeBSD上建立一些如Sendmail,DNS,Telnet,FTP甚至是WebServer等的虚假服务。
简单地使用以下语句,就可以不停地监听某一个端门,直到ctrl+c为止,同时把结果输出到日志文件中(c:log.txt)nc-L―p80>c:log.txt
(五)专业“蜜罐”软件
专业“蜜罐”软件有很多种,典型的有CyberCop Sting和DTK(DeceptionTool Kit),其特点是运行在某一平台上,但可以模拟多个系统、多种服务,并能提供一些典型的漏洞,也就是说这些软件可以进行各种脆弱性模拟,给攻击者一个充满陷阱的“蜜罐”。
CyberCop Sting是由网络联盟技术有限公司(Network Associates)推出的。该软件运行在NT系统下,可以模拟Linux,Solaris,Cisco,IOS,NT等多种操作系统,并提供了一些典型的漏洞来研究攻击者的行为。
转载请注明出处学文网 » 有关“蜜罐(honeypot)”技术在网络安全中的探讨