趙　軍

摘要：蜜罐技術(shù)改變了傳統(tǒng)網(wǎng)絡(luò)安全防御技術(shù)一律將入侵者“拒之門外”的被動(dòng)做法，而是提出全新的“請(qǐng)君入甕”主動(dòng)防御概念。雖然蜜罐技術(shù)目前仍存在很多爭(zhēng)議，但它無(wú)疑是學(xué)習(xí)敵方情報(bào)最好的工具。本文主要從蜜網(wǎng)的功能、蜜網(wǎng)系統(tǒng)的總體設(shè)計(jì)、蜜網(wǎng)系統(tǒng)的測(cè)試三方面對(duì)蜜網(wǎng)技術(shù)進(jìn)行了淺議。

關(guān)鍵詞：蜜網(wǎng)；蜜罐；功能；測(cè)試；總體設(shè)計(jì)

蜜罐技術(shù)思想本質(zhì)就是使用“蜜”來(lái)誘騙入侵者入侵，通過(guò)精心布置的“罐”來(lái)監(jiān)控入侵者的入侵行為，盡可能多地捕獲并學(xué)習(xí)入侵者相關(guān)信息，從而間接或直接地保護(hù)系統(tǒng)安全。它改變了傳統(tǒng)網(wǎng)絡(luò)安全防御技術(shù)一律將入侵者“拒之門外”的被動(dòng)做法，而是提出全新的“請(qǐng)君入甕”主動(dòng)防御概念。雖然蜜罐技術(shù)目前仍存在很多爭(zhēng)議，但它無(wú)疑是學(xué)習(xí)敵方情報(bào)最好的工具。

一、簡(jiǎn)述蜜網(wǎng)的功能

1.欺騙功能。在蜜網(wǎng)內(nèi)設(shè)置多個(gè)有不同操作系統(tǒng)的蜜罐主機(jī)，如Windows系統(tǒng)和Linux系統(tǒng)，在不同的蜜罐主機(jī)上開(kāi)放不同的網(wǎng)絡(luò)服務(wù)，以此來(lái)模擬真實(shí)的系統(tǒng)和真實(shí)的服務(wù)。在這個(gè)系統(tǒng)中，其欺騙功能程度主要依賴于各蜜罐主機(jī)仿真的逼真程度。由此可見(jiàn)，該蜜網(wǎng)系統(tǒng)實(shí)質(zhì)是一個(gè)實(shí)施欺騙的蜜罐主機(jī)的集合。

2.數(shù)據(jù)控制功能。構(gòu)建蜜網(wǎng)時(shí)，通常在防火墻與各蜜罐群集之間，還會(huì)設(shè)置一個(gè)路由器。放置路由器的原因有二：首先，路由器的存在使防火墻具有“不可見(jiàn)”性，入侵者攻入蜜罐后可能會(huì)察看蜜罐外發(fā)的路由，放置路由器更接近真實(shí)的網(wǎng)絡(luò)環(huán)境，入侵者一般不能注意到防火墻的存在；其次，路由器可以作為對(duì)防火墻訪問(wèn)控制的很好補(bǔ)充，我們可以設(shè)置一些路由規(guī)則進(jìn)行路由控制，確保各蜜罐不會(huì)被用來(lái)攻擊蜜網(wǎng)之外的機(jī)器。

3.數(shù)據(jù)捕獲功能。蜜網(wǎng)系統(tǒng)的一個(gè)非常重要的功能就是數(shù)據(jù)捕獲，而這些捕獲數(shù)據(jù)一直是入侵者們想刪除或者篡改的。在蜜網(wǎng)系統(tǒng)中，對(duì)數(shù)據(jù)捕獲的方式是對(duì)防火墻日志、IDS日志及各蜜罐系統(tǒng)日志的收集、分析及保護(hù)。為防止入侵者攻破蜜網(wǎng)之后修改各蜜罐主機(jī)的日志，蜜罐主機(jī)通常會(huì)利用操作系統(tǒng)自身提供的日志功能，這充分體現(xiàn)了基于網(wǎng)絡(luò)的信息收集策略，為蜜網(wǎng)提供了安全強(qiáng)大的數(shù)據(jù)捕獲功能。

二、蜜網(wǎng)系統(tǒng)總體設(shè)計(jì)

1.設(shè)計(jì)目標(biāo)。通過(guò)研究蜜罐技術(shù)的基本原理，設(shè)計(jì)并實(shí)現(xiàn)一個(gè)研究型的蜜網(wǎng)，完成蜜網(wǎng)的核心需求。使用該蜜網(wǎng)系統(tǒng)，可以捕獲來(lái)自Internet的攻擊者的相關(guān)數(shù)據(jù)，通過(guò)對(duì)這些數(shù)據(jù)進(jìn)行分析，研究入侵者所掌握的技術(shù)、使用的工具以及攻擊的動(dòng)機(jī)，從而進(jìn)一步提高我們的網(wǎng)絡(luò)防御能力。蜜網(wǎng)系統(tǒng)提出設(shè)計(jì)意向時(shí)，確定其設(shè)計(jì)目標(biāo)如下：

（1）蜜網(wǎng)應(yīng)當(dāng)具有良好的數(shù)據(jù)捕獲能力，能夠捕獲到大量并且有價(jià)值的信息。

（2）蜜網(wǎng)應(yīng)當(dāng)能夠?qū)ν{做出響應(yīng)，既包括自動(dòng)響應(yīng)也包括人工控制響應(yīng)。

（3）能夠根據(jù)日志審計(jì)的結(jié)果對(duì)現(xiàn)有安全策略做出調(diào)整。

（4）提供日志分析審計(jì)的自動(dòng)化工具，減少數(shù)據(jù)分析工作量。

（5）蜜網(wǎng)自身應(yīng)當(dāng)具備一定的安全性，也就是能夠?qū)粽叩男袨檫M(jìn)行一定的控制。

（6）蜜網(wǎng)應(yīng)當(dāng)能夠保證收集信息的安全性、完整性和機(jī)密性。

2.數(shù)據(jù)控制機(jī)制。數(shù)據(jù)控制是蜜網(wǎng)的第一大核心需求，宿主機(jī)作為虛擬蜜網(wǎng)的二層網(wǎng)關(guān)實(shí)現(xiàn)了該功能。二層網(wǎng)關(guān)對(duì)流入的數(shù)據(jù)包不進(jìn)行任何限制，使得黑客能攻入蜜網(wǎng)，但對(duì)流出的數(shù)據(jù)包嚴(yán)格控制，以防黑客使用蜜網(wǎng)作為跳板向其它正常主機(jī)發(fā)起攻擊?？刂频姆椒òü舭种坪蛯?duì)外連接數(shù)限制兩種手段。一旦網(wǎng)絡(luò)入侵防御系統(tǒng)（NIPS）Snort－inline檢測(cè)到含有惡意代碼的數(shù)據(jù)包即對(duì)其加以拋棄或修改，使其不能對(duì)第三方網(wǎng)絡(luò)構(gòu)成危害。而對(duì)外連接數(shù)限制是用來(lái)控制黑客對(duì)外界網(wǎng)絡(luò)發(fā)起的連接數(shù)量的。

Snort－inline是入侵檢測(cè)系統(tǒng)（IDS）Snort的修改版，它可以經(jīng)由libipq接收來(lái)自IP－Tables的數(shù)據(jù)包，并根據(jù)Snort的規(guī)則集對(duì)數(shù)據(jù)包進(jìn)行檢查，一旦發(fā)現(xiàn)惡意代碼就對(duì)該數(shù)據(jù)包采取預(yù)先定義的策略，然后再將數(shù)據(jù)包傳回給IP－Tables。

3.數(shù)據(jù)捕獲機(jī)制。數(shù)據(jù)捕獲就是把所有的攻擊者活動(dòng)記錄下來(lái)，然后通過(guò)分析這些活動(dòng)來(lái)學(xué)習(xí)他們的工具、策略以及動(dòng)機(jī)。為了在不被攻擊者發(fā)現(xiàn)的情況下捕獲盡可能多的數(shù)據(jù)，并保證這些數(shù)據(jù)的完整性，在蜜墻中采取了三重?cái)?shù)據(jù)捕獲機(jī)制。

三、蜜網(wǎng)系統(tǒng)的測(cè)試

1.蜜網(wǎng)外出連接數(shù)限制功能測(cè)試

（1）測(cè)試內(nèi)容。蜜網(wǎng)外出連接數(shù)限制是數(shù)據(jù)控制的第一層，接受所有進(jìn)入蜜網(wǎng)系統(tǒng)的網(wǎng)絡(luò)請(qǐng)求，對(duì)蜜網(wǎng)的外出連接進(jìn)行限制，當(dāng)外出連接數(shù)量達(dá)到設(shè)定的闕值時(shí)自動(dòng)阻斷連接，并進(jìn)行日志記錄，測(cè)試蜜網(wǎng)系統(tǒng)的數(shù)據(jù)控制能力。

（2）測(cè)試過(guò)程。在防火墻腳本firewall.sh中，設(shè)置蜜罐的外出ICMP連接闕值為每小時(shí)5個(gè)，外出TCP闕值為每小時(shí)2個(gè)。在蜜罐A上Ping蜜網(wǎng)外的主機(jī)，測(cè)ICMP外出連接控制。

（3）測(cè)試結(jié)果。Ping的結(jié)果是：前5個(gè)ICMP包可以順利通過(guò)，后面的ICMP包被丟棄，說(shuō)明蜜網(wǎng)系統(tǒng)外出ICMP連接限制發(fā)揮了作用。同時(shí)，測(cè)試結(jié)果還表明，防火墻作為蜜網(wǎng)數(shù)據(jù)捕獲的第一層，對(duì)蜜網(wǎng)所有的進(jìn)出連接都進(jìn)行了日志記錄。

2.蜜網(wǎng)攻擊包抑制功能測(cè)試

（1）測(cè)試內(nèi)容。攻擊包抑制是蜜網(wǎng)數(shù)據(jù)控制的第二種手段，它可以使入侵者由蜜網(wǎng)向外部網(wǎng)絡(luò)發(fā)起的己知攻擊失效，并進(jìn)行日志記錄。

（2）測(cè)試過(guò)程。使用Ping命令發(fā)送大尺寸ICMP包對(duì)其它主機(jī)進(jìn)行攻擊。

（3）測(cè)試結(jié)果。正常的情況下Ping其它主機(jī)可以順利完成，但若發(fā)送偏大的ICMP包攻擊其它主機(jī)則被丟棄。這說(shuō)明蜜網(wǎng)的攻擊包抑制功能起到了作用。

3.蜜網(wǎng)系統(tǒng)數(shù)據(jù)捕獲功能測(cè)試

（1）測(cè)試內(nèi)容。數(shù)據(jù)捕獲是蜜網(wǎng)一項(xiàng)非常重要的功能，它確保攻擊者在蜜網(wǎng)中的一切行動(dòng)都有記錄，使得我們能分析了解攻擊者的手段、工具和目的。

Sebek是蜜罐系統(tǒng)本身的數(shù)據(jù)捕獲機(jī)制，它既能捕獲入侵者的擊鍵記錄，也能捕獲他們的擊鍵回復(fù)，并通過(guò)網(wǎng)絡(luò)將日志發(fā)送到其服務(wù)端。在作者所設(shè)計(jì)的蜜網(wǎng)中，二層網(wǎng)關(guān)安裝了Sebek服務(wù)端，它負(fù)責(zé)收集蜜罐捕獲并發(fā)送出來(lái)的數(shù)據(jù)。

（2）測(cè)試過(guò)程。在連接數(shù)限制測(cè)試和攻擊包抑制中己經(jīng)有了測(cè)試過(guò)程，我們可以查看其對(duì)應(yīng)的日志記錄即可。

（3）測(cè)試結(jié)果。蜜網(wǎng)的數(shù)據(jù)捕獲機(jī)制不但能捕獲到蜜網(wǎng)所有的進(jìn)出連接，而且能捕獲到蜜罐主機(jī)本身的命令執(zhí)行情況。這表明該蜜網(wǎng)的數(shù)據(jù)捕獲機(jī)制滿足了數(shù)據(jù)捕獲的需求。