宋 進(jìn)（湄洲灣職業(yè)技術(shù)學(xué)院，福建莆田，351254）

?

網(wǎng)絡(luò)安全之蜜罐系統(tǒng)

宋 進(jìn)
（湄洲灣職業(yè)技術(shù)學(xué)院，福建莆田，351254）

摘要：網(wǎng)絡(luò)時(shí)代，信息的安全尤為重要?？赡茉诓唤?jīng)意間的一個(gè)小小的上網(wǎng)行為，就將個(gè)人的資料、隱私，甚至是敏感的密碼等信息泄露出去。為了保護(hù)用戶的數(shù)據(jù)、信息安全，人們開發(fā)了各種防御工具，而蜜罐系統(tǒng)，是其中比較成熟的誘捕式防御措施之一。

關(guān)鍵詞：攻擊；網(wǎng)絡(luò)安全；蜜罐

蜜罐（Honeypot），是一種信息收集系統(tǒng)。狹義上的蜜罐指網(wǎng)絡(luò)防御措施的一種，可以是刻意設(shè)置的目標(biāo)，其存在的價(jià)值就在于被攻擊甚至攻陷，同時(shí)，它必須能記錄下被攻擊的方式、手段，和入侵者尋找到的系統(tǒng)漏洞等，以方便網(wǎng)絡(luò)維護(hù)人員提前找到相應(yīng)的對策，防范于未然。而廣義上的蜜罐也可以是一種攻擊手段，用來替代正常的服務(wù)提供者，誘捕普通網(wǎng)絡(luò)用戶前來使用，從而獲取敏感信息或者不正當(dāng)利益的方式。

本文主要講述狹義上的蜜罐系統(tǒng)。

1 蜜罐的功能

蜜罐作為一種軟件應(yīng)用系統(tǒng)，用來稱當(dāng)入侵誘餌，它通常偽裝成看似有利用價(jià)值的網(wǎng)絡(luò)、數(shù)據(jù)、電腦系統(tǒng)，用來吸引黑客攻擊。由于蜜罐事實(shí)上并不需要對網(wǎng)絡(luò)提供任何有價(jià)值的服務(wù)，所以任何對蜜罐的嘗試都是可疑的。這些嘗試會被記錄、監(jiān)測與分析，從而可能了解攻擊方的入侵方式和入侵手段等，也可以因此隨時(shí)了解針對組織服務(wù)器發(fā)動(dòng)的最新的攻擊和漏洞。甚至可以通過竊聽數(shù)據(jù)包之間的聯(lián)系，收集入侵者所用的種種工具，并且進(jìn)而侵徹對方的社交網(wǎng)絡(luò)。

另外，蜜罐在拖延入侵者對真正目標(biāo)的攻擊上也有一定作用，可以作為第一道防線，承擔(dān)迷惑和誤導(dǎo)入侵者的功能。

2 蜜罐的分類

有兩種基本類型的蜜罐技術(shù)：低交互蜜罐和高交互蜜罐。交互度直接體現(xiàn)著入侵者可以在蜜罐上進(jìn)行攻擊活動(dòng)的自由度。

2.1 低交互蜜罐（下稱低蜜罐）。

又稱偽系統(tǒng)蜜罐，該系統(tǒng)依然以真實(shí)系統(tǒng)為基礎(chǔ)，切割出部分功能和區(qū)域，用于模擬出實(shí)系統(tǒng)的部分功能和弱點(diǎn)，引誘入侵者對其發(fā)動(dòng)試探或者攻擊。但是整個(gè)區(qū)域?qū)τ谡鎸?shí)的入侵者之間的交互及其有限，因?yàn)樗峁┑乃械姆?wù)都是模擬的行為，只能對攻擊行為做出進(jìn)行簡單的應(yīng)答，并對攻擊行為做記錄和分析。

多數(shù)低蜜罐一般都作為端口預(yù)警使用，承擔(dān)監(jiān)控一個(gè)或者多個(gè)端口的監(jiān)測工作。如果這些特性的端口被觸發(fā)，則發(fā)出警告并記錄其行為。但是蜜罐本身不會構(gòu)造完整的合法服務(wù)，所以它引入系統(tǒng)的風(fēng)險(xiǎn)最小，不會被入侵者入侵并作為其下一步攻擊的跳板。

但是通過低蜜罐能夠收集的信息也相對有限，同時(shí)由于低蜜罐通常是切割出的虛擬功能或系統(tǒng)，在這些虛擬的功能上通常都會遺留一些獨(dú)有的指紋（Fingerprinting）信息，入侵者可以通過這些信息來判斷和繞過蜜罐系統(tǒng)。

2.2 高交互蜜罐（下稱高蜜罐）。

又稱實(shí)系統(tǒng)蜜罐，它是完全真實(shí)的蜜罐：運(yùn)行著真實(shí)的系統(tǒng)，有真實(shí)的服務(wù)響應(yīng)，帶著真實(shí)的漏洞。它甚至模擬每個(gè)模擬操作系統(tǒng)的網(wǎng)絡(luò)堆棧，從而實(shí)現(xiàn)對Nmap和Xprobe之類指紋掃描程序的欺騙。

高蜜罐的優(yōu)點(diǎn)體現(xiàn)在對入侵者提供真實(shí)的系統(tǒng)，當(dāng)入侵者獲得ROOT權(quán)限后，受系統(tǒng)，數(shù)據(jù)真實(shí)性的迷惑，他的更多活動(dòng)和行為將被記錄下來。缺點(diǎn)是被入侵的可能性很高，并且被成功攻破后的危害性也很大。入侵者每一個(gè)動(dòng)作都會引起系統(tǒng)真實(shí)的反應(yīng)，例如被溢出、滲透、成功高擴(kuò)甚至奪取ROOT等。如果整個(gè)高蜜罐被入侵，那么它就會成為入侵者下一步攻擊的跳板。

通常應(yīng)另有一套系統(tǒng)用于檢測高蜜罐的異常情況，如果出現(xiàn)高蜜罐被侵徹的情況，那么后備系統(tǒng)會立即對蜜罐予以脫機(jī)。

高蜜罐在提升入侵者、入侵者的活動(dòng)自由度，獲取更加真實(shí)和可靠的第一手材料的同時(shí)，也相應(yīng)地加大了部署和維護(hù)的復(fù)雜度，擴(kuò)大了入侵風(fēng)險(xiǎn)。

2.3 其它類型蜜罐

2.3.1 中交互蜜罐。

中交互蜜罐可以提供一些相對活躍，但是不完整或者不常用的服務(wù)類型，模擬出更多系統(tǒng)的真實(shí)響應(yīng)，能提供更多的交互信息，因而也可以從入侵者的行為中獲得更多的信息。

2.3.2 研究型蜜罐。

研究型蜜罐通常以研究和獲取攻擊信息為目的而設(shè)計(jì)，這種蜜罐大多不會對系統(tǒng)的漏洞做出修訂，以此來直面各類威脅，并記錄并尋找能夠?qū)Ω哆@些威脅更好的方式。

2.3.3 病毒式蜜罐。

多用于捕獲一些利用網(wǎng)絡(luò)漏洞傳播的蠕蟲式病毒，以提取樣本和特征做研究，從而定制補(bǔ)丁和對應(yīng)查殺工具的系統(tǒng)。

多個(gè)蜜罐系統(tǒng)互相交互和嵌套的結(jié)構(gòu)，稱之為蜜網(wǎng)系統(tǒng)，是一種比單純的蜜罐更為完善，功能更為強(qiáng)大的誘捕手段。

3 蜜罐的應(yīng)用

3.1 服務(wù)設(shè)置（Service config）

可以指定特定的服務(wù)端口，用于對各種網(wǎng)絡(luò)請求做出應(yīng)答。在這個(gè)過程中，蜜罐對所有的行為進(jìn)行記錄，同時(shí)提供符合邏輯的應(yīng)答，給入侵者帶來系統(tǒng)并不安全的錯(cuò)覺。之后可根據(jù)需要，將蜜罐調(diào)整為為弱系統(tǒng)（weakened system）模式或者強(qiáng)系統(tǒng)（hardened system）模式。

例如可以提供一些有限的服務(wù)，比如FTP及對應(yīng)的21端口?；蛘呤荋TTP及對應(yīng)的80端口。甚至有必要的話，可以啟用用戶模式服務(wù)器，將其作為是一個(gè)獨(dú)立的用戶進(jìn)程駐在主機(jī)上，并模擬成一個(gè)功能健全的操作系統(tǒng)，嵌套在主機(jī)操作系統(tǒng)的應(yīng)用程序環(huán)境中，從而帶來更大的迷惑性和信息收集能力。

3.2 信息的收集

蜜罐系統(tǒng)必須設(shè)置警報(bào)并開啟日志功能，蜜罐本身儲存的日志文件也是優(yōu)秀的數(shù)據(jù)來源。警報(bào)應(yīng)該允許為每個(gè)傳感器，源IP地址，端口和入侵簽名設(shè)置臨界級別，以便對每個(gè)入侵做出不同的威脅性預(yù)判。

但日志文件很容易被入侵者刪除，所以一般需要讓蜜罐向在并行網(wǎng)絡(luò)上的遠(yuǎn)程系統(tǒng)或者日志服務(wù)器定時(shí)發(fā)送數(shù)據(jù)備份。

3.3 一些常見的蜜罐系統(tǒng)

3.3.1 Honeyd

Honeyd是由Google公司Niels開發(fā)的蜜罐系統(tǒng)。Honeyd能讓單主機(jī)在一個(gè)模擬的局域網(wǎng)環(huán)境中配有多至65536個(gè)地址，響應(yīng)外界對蜜罐主機(jī)的ping等操作。

3.3.2 Dionaea

Dionaea屬于低交互式蜜罐，是Honeynet Project的開源項(xiàng)目，是比較早期的國際性非盈利研究組織，在蜜罐技術(shù)與互聯(lián)網(wǎng)安全威脅研究領(lǐng)域具有較大的影響力。

4 總結(jié)

網(wǎng)絡(luò)的發(fā)展帶來了各種入侵和反入侵手段的發(fā)展，蜜罐技術(shù)就是在這樣的情況下應(yīng)運(yùn)而生，承擔(dān)起主動(dòng)誘捕和發(fā)現(xiàn)未知漏洞、檢測已知漏洞危害的重任。也可以使得入侵者誤入歧途，消耗其精力，為網(wǎng)絡(luò)管理加強(qiáng)防范贏得時(shí)間。但是蜜罐本身被設(shè)計(jì)為一個(gè)可入侵的系統(tǒng)，它并非絕對安全，在使用過程中應(yīng)特別注意其存在的風(fēng)險(xiǎn)。

參考文獻(xiàn)

［1］黑客：入侵檢測蜜罐技術(shù)簡化網(wǎng)絡(luò)安全.2010.

［2］張德祥.網(wǎng)絡(luò)入侵誘控中虛擬路由技術(shù)的研究與實(shí)現(xiàn).青島大學(xué)碩士論文.2006-09-15.

［3］朱穎靚.網(wǎng)絡(luò)入侵誘控技術(shù)的研究與實(shí)現(xiàn).青島大學(xué)碩士論文.2005-05-01.

［4］伍偉.分布式Honeypot系統(tǒng)可視化配置的研究與實(shí)現(xiàn).國防科學(xué)技術(shù)大學(xué)碩士論文.2006-04-01.

［5］汪洋.入侵檢測系統(tǒng)中蜜罐的設(shè)計(jì)與應(yīng)用.福建電腦.2005-05-25.

［6］汪洋.Honeypot技術(shù)在網(wǎng)絡(luò)入侵檢測系統(tǒng)中的應(yīng)用.現(xiàn)代電子技術(shù).2008-10-01.

［7］胡文龍.蜜網(wǎng)的數(shù)據(jù)融合與關(guān)聯(lián)分析的研究與實(shí)現(xiàn).北京郵電大學(xué)碩士論文.2009-02-15.

Network security honeypot system

Song Jin
（Meizhouwan Vocational Technology College，Putian Fujian，351254）

Abstract：In the Internet age， information security is particularly important.May inadvertently a small Internet behavior，personal information，privacy， and even sensitive passwords and other information leaked out. In order to protect the user's data and information security，people have developed a variety of defensive tools，and honeypot system is one of the more mature trapping defense measures.

Keywords：network security；attack； honeypot