楊銘

摘 要：隨著網(wǎng)絡(luò)入侵事件的增加和黑客攻擊水平的提高，網(wǎng)絡(luò)安全問題日趨嚴(yán)重。為了有效的解決新型的網(wǎng)絡(luò)安全威脅，本文介紹一個(gè)新型網(wǎng)絡(luò)安全防御系統(tǒng)—虛擬蜜罐。文章首先講述蜜罐的定義、分類、虛擬蜜罐的結(jié)構(gòu)、路由拓?fù)洌ζ溥M(jìn)行測試和總結(jié)。

關(guān)鍵詞：蜜罐；Honeypot；路由拓?fù)?/p>

1 蜜罐（Honeypot）的定義

信息化的社會(huì)中，網(wǎng)絡(luò)安全問題越來越嚴(yán)重。學(xué)者們多年的研究，制定了一系列的網(wǎng)絡(luò)安全體系。然而，黑客可以利用大規(guī)模的漏洞掃描工具，使計(jì)算機(jī)系統(tǒng)遭受破壞，我們?nèi)匀槐ＷC不了網(wǎng)絡(luò)系統(tǒng)的安全，甚至無法準(zhǔn)確評估它們的安全性。這里筆者介紹一種新型網(wǎng)絡(luò)安全防御系統(tǒng)：蜜罐（Honeypot）。

蜜罐就像一個(gè)情報(bào)收集系統(tǒng)。它偽裝成故意讓人攻擊的目標(biāo)，引誘黑客前來攻擊。一旦攻擊者入侵后，我們就可以分析其攻擊行為和過程，掌握黑客針對服務(wù)器發(fā)動(dòng)的最新的攻擊和漏洞。也能通過竊聽黑客之間的聯(lián)系，獲取黑客采用的工具，掌握其技術(shù)及社交網(wǎng)絡(luò)。

2 蜜罐（Honeypot）的分類

Honeypot可以分為低交互性蜜罐和高交互性蜜罐兩類。

低交互性蜜罐是一種仿真服務(wù)，通常運(yùn)行于現(xiàn)有操作系統(tǒng)上，交互動(dòng)作少，黑客的活動(dòng)范圍局限在仿真服務(wù)預(yù)設(shè)內(nèi)，它的優(yōu)點(diǎn)是容易部署，結(jié)構(gòu)簡單，風(fēng)險(xiǎn)較低。

高交互性蜜罐構(gòu)建于真實(shí)的操作系統(tǒng)，給黑客提供的是真實(shí)的系統(tǒng)及服務(wù)。此種方式便于獲取大量的有用信息，甚至是一些我們完全不了解的新型網(wǎng)絡(luò)攻擊技術(shù)。與此同時(shí)，高交互性蜜罐構(gòu)使系統(tǒng)面臨更多的風(fēng)險(xiǎn)，黑客極有可能通過這個(gè)真實(shí)的開放系統(tǒng)，攻擊和滲透網(wǎng)絡(luò)中的其他主機(jī)。

3 虛擬蜜罐Honeyd結(jié)構(gòu)

Honeyd是一個(gè)輕型的開放源代碼的虛擬蜜罐的框架，可以模擬多個(gè)操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，同時(shí)支持IP協(xié)議族，允許創(chuàng)建任意拓?fù)浣Y(jié)構(gòu)，支持網(wǎng)絡(luò)通道的虛擬網(wǎng)絡(luò)。

為了使Honeyd能正常的接受和回應(yīng)屬于虛擬蜜罐之一的網(wǎng)絡(luò)數(shù)據(jù)包的目的IP地址，可以為指向Honeyd主機(jī)的虛擬IP地址創(chuàng)建特定路由，使用ARP代理及網(wǎng)絡(luò)通道。當(dāng)情況較復(fù)雜時(shí)，可以在網(wǎng)絡(luò)地址空間和hondyd主機(jī)之間建立通道。

Honeyd由配置數(shù)據(jù)庫、中央包分配器、協(xié)議處理器、個(gè)性化引擎及隨機(jī)的路由組件幾部分組成。中央包分配器首先檢測輸入包的IP包長度，并校驗(yàn)驗(yàn)證，然后查詢配置數(shù)據(jù)庫，查找與目的IP地址相對應(yīng)的蜜罐配置，如果專用的配置不存在，則應(yīng)用缺省模板。配置確定以后，由相應(yīng)的協(xié)議處理器處理該數(shù)據(jù)包。

Honeyd支持ICMP，TCP和UDP三種互聯(lián)網(wǎng)協(xié)議。ICMP協(xié)議處理器支持大多數(shù)的ICMP請求。如果缺省，則對ECHO請求做出反應(yīng)，返回目的地址不可達(dá)信息。對TCP和UDP來說，Honeyd結(jié)構(gòu)可以為任意的服務(wù)提供連接，服務(wù)是在STDIN上接受數(shù)據(jù)，然后將輸出發(fā)送到STDOUT的外部應(yīng)用。Honeyd中含有簡化的TCP狀態(tài)機(jī)，很好的支持“三次握手”的建立連接以及通過FIN或RST的撤消連接，但是接受器和擁塞窗口管理并沒有完全實(shí)現(xiàn)。每當(dāng)收到一個(gè)發(fā)往封閉端口的UDP包時(shí)，就會(huì)默認(rèn)發(fā)出一個(gè)ICMP端口不可達(dá)的信息。

4 虛擬蜜罐Honeyd路由拓?fù)洌≧outing Topology）

Honeyd可以實(shí)現(xiàn)隨機(jī)的網(wǎng)絡(luò)路由拓?fù)洹Ｌ摂M的路由拓?fù)涑蕵湫谓Y(jié)構(gòu)，數(shù)據(jù)包進(jìn)入虛擬網(wǎng)絡(luò)的入口就是根節(jié)點(diǎn)。每個(gè)路由器代表著樹的一個(gè)內(nèi)部節(jié)點(diǎn)。每個(gè)包含著時(shí)間等待和包損失等特性的連接用一個(gè)邊表示。樹的終端節(jié)點(diǎn)同網(wǎng)絡(luò)對應(yīng)。

Honeyd還能將虛擬的路由拓?fù)浜驼鎸?shí)的系統(tǒng)相結(jié)合，當(dāng)Honeyd接收的數(shù)據(jù)包來自一個(gè)真實(shí)系統(tǒng)時(shí)，包沿著網(wǎng)絡(luò)拓?fù)湫凶咧钡秸鎸?shí)網(wǎng)絡(luò)空間的一個(gè)虛擬路由器。Honeyd結(jié)構(gòu)回復(fù)相應(yīng)的虛擬路由器的ARP來響應(yīng)真正的系統(tǒng)發(fā)出的ARP請求。

5 虛擬蜜罐的測試

將虛擬主機(jī)的IP添加到路由規(guī)則中，使機(jī)器能夠?qū)?shù)據(jù)包正確的路由到蜜罐上。查看honeyd的主要參數(shù)，并運(yùn)行。將honeyd中操作系統(tǒng)指紋設(shè)置為windows，利用nmap掃描驗(yàn)證。

測試中，攻擊主機(jī)為59.64.153.234，如圖1所示，紅框中顯示了攻擊主機(jī)與蜜罐虛擬的主機(jī)建立連接。通過查詢這些信息，可以收集攻擊者的入侵證據(jù)，同時(shí)由于這些主機(jī)都是由蜜罐虛擬出來的，所以不會(huì)對系統(tǒng)造成威脅。

6 結(jié)語

Honeyd通過提供威脅檢測與評估機(jī)制來提高計(jì)算機(jī)系統(tǒng)的安全性，將真實(shí)系統(tǒng)隱藏在虛擬系統(tǒng)中來阻止外來的攻擊者。但是Honeyd只能進(jìn)行網(wǎng)絡(luò)級的模擬，而沒有真實(shí)的交互環(huán)境，所獲取的攻擊者的信息有限。只有將Honeyd所模擬的蜜罐系統(tǒng)和現(xiàn)有的安全機(jī)制有機(jī)地結(jié)合一起部署，才能組成功能強(qiáng)大、花費(fèi)又少的網(wǎng)絡(luò)攻擊信息收集系統(tǒng)，才能應(yīng)對更為復(fù)雜的網(wǎng)絡(luò)攻擊。

[參考文獻(xiàn)]

[1]張毅，萬里勇.基于主動(dòng)防御的蜜罐技術(shù)研究的綜述[J].廣西輕工業(yè).2011（05）.

[2]胡征昉.一種基于蜜罐技術(shù)的入侵檢測模型設(shè)計(jì)[J].軟件導(dǎo)刊.2007（07）.

[3]司瑾，王光宇.蜜網(wǎng)技術(shù)與網(wǎng)絡(luò)安全[J].電腦編程技巧與維護(hù).2009（S1）.

[4]王淑敏，李軍豪.蜜罐技術(shù)在社交網(wǎng)絡(luò)反垃圾信息中應(yīng)用[J].煤炭技術(shù).2011（07）.