防黑阻击入侵检测之蜜罐与蜜网

作者：万亿

【IT168专稿】入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种。它是用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析，并找到有效的对付方法。为了吸引攻击者，网络管理员通常还在Honeypot上故意留下一些安全后门，或者放置一些攻击者希望得到的敏感信息，当然这些信息都是虚假。当入侵者正为攻入目标系统而沾沾自喜时，殊不知自己在目标系统中的所做所为，包括输入的字符，执行的操作等都已经被Honeypot所纪录。

蜜罐技术
Honeypot是一个资源，它的价值在于它会受到探测，攻击或攻陷。蜜罐并不修正任何问题，它们仅提供额外的、有价值的信息。所以说Honeypot并非是一种安全的解决方案，这是因为它并不会“修理”任何错误。它只是一种工具，如何使用这个工具取决于用户想做什么。Honeypot可以对其他系统和应用进行仿真，创建一个监禁环境将攻击者困在其中。无论用户如何建立和使用Honeypot，只有Honeypot受到攻击，它的作用才能发挥出来。所以为了方便攻击，最好是将Honeypot设置成域名服务器WEB或电子邮件转发服务等流行应用中的一种。

蜜罐的部署
蜜罐并不需要一个特定的支撑环境，它可以放置在一个标准服务器能够放置的任何地方。当然，根据所需要的服务，某些位置可能比其他位置更好一些。如图(1)显示了通常放置的三个位置：1.在防火墙前面；2.DMZ中；3.在防火墙后面。

如果把蜜罐放在防火墙的前面，不会增加内部网络的任何安全风险，可以消除在防火墙后面出现一台失陷主机的可能性（因为蜜罐主机很容易被攻陷）。但是同时也不能吸引和产生不可预期的通信量，如端口扫描或网络攻击所导致的通信流，无法定位内部的攻击信息，也捕获不到内部攻击者。

如果把蜜罐放在防火墙的后面，那么有可能给内部网络引入新的安全威胁，特别是如果蜜罐和内部网络之间没有额外的防火墙保护。正如前面所说，蜜罐通常都提供大量的伪装服务，因此不可避免地必须修改防火墙的规则，对进出内部网络的通信流量和蜜罐的通信加以区别和对待。否则一旦蜜罐失陷，那么整个网络内部将完全暴露在攻击者面前。

较好的解决方案是让蜜罐运行在自己的DMZ内，同时保证DMZ内的其他服务器是安全的，只提供所必需要的服务，而蜜罐通常会伪装尽可能多的服务。DMZ同其他网络连接都用防火墙隔离，防火墙则可以根据需要同Internet连接。这种布局可以很好的解决对蜜罐的严格控制与灵活的运行环境矛盾，从而实现最高安全。
蜜网技术
Honeynet是一种特殊的Honeypot，Honeypot物理上通常是一台运行单个操作系统或者借助于虚拟化软件运行多个虚拟操作系统的“牢笼”主机。单机蜜罐系统最大的缺陷在欲数据流将直接进入网络，管理者难以控制蜜罐主机外出流量，入侵者容易利用蜜灌主机作为跳板来攻击其他机器。解决这个问题方法是把蜜罐主机放置在防火墙的后面，所有进出网络的数据都会通过这里，并可以控制和捕获这些数据，这种网络诱骗环境称为蜜网(honeynet)。

蜜网的组成
蜜网作为蜜罐技术中的高级工具，一般是由防火墙，路由器，入侵检测系统以及一台或多台蜜罐主机组成的网络系统，也可以使用虚拟化软件来构件虚拟蜜网。相对于单机蜜罐，蜜网实现，管理起来更加复杂，但是这种多样化的系统能够更多地揭示入侵者的攻击特性，极大地提高蜜灌系统的检测，分析，响应和恢复受侵害系统的能力。

防火墙的作用是限制和纪录网络数据流，入侵检测系统通常用于观察潜在的攻击和译码，并在系统中存储网络数据流。蜜网中装有多个操作系统和应用程序供黑客探测和攻击。特定的攻击者会瞄准特定的系统或漏洞，我们通过部署不同的操作系统和应用程序，可更准确地了解黑客的攻击趋势和特征。另外，所有放置在蜜网中的系统都是真实的系统，没有模拟的环境或故意设置的漏洞。而且利用防火墙或路由器的功能，能在网络中建立相应的重定向机制，将入侵者或可疑的连接主动引入蜜网，可以提高蜜网的运行效率。

如图(2)所示是一个Honeynet的详细结构图。
;" />
图中包括了三个不同的网络：Honeynet、管理网络和Internet。其中，日志/告警服务器为管理网络，Solaris、Win2000、Linux、Log server为Honeynet。防火墙，IDS和蜜罐主机的系统负责日志的捕获。因为手段高明的入侵者攻入系统后，通常会试图更改甚至销毁目标主机上易于暴露入侵行为的各种纪录。蜜网在确保不被入侵者发现诱骗的前提下，尽可能多地捕获攻击行为信息，包括黑客所有的按键纪录，CPU的使用率或者进程列表，使用过的各种协议数据包内容等，同时要注意充分保证捕获信息的完整和安全。防火墙在IP层纪录所有出入蜜网的连接，设计为允许所有进入的连接，但是对从Honeynet向Internet发起的连接进行跟踪，一旦 Honeynet达到了规定的向外的连接数，防火墙将阻断任何后续的连接，并且及时向系统管理员发出警告信息；IDS在数据链路层对蜜网中的网络数据流进行监控，分析和抓取以便将来能够重现攻击行为，同时在发现可疑举动时报警。蜜罐主机除了使用操作系统自身提供的日志功能外，还可以利用第三方软件加强日志功能，并且传输到安全级别更高的远程日志服务器上备份。

总结
传统意义上讲，网络安全要做的工作主要是防御，防止自己负责的资源不会受到别人入侵，尽力保护自己的组织，检测防御中的失误，并采取相应的措施。这些安全措施都只能检测到已知类型的攻击和入侵。而蜜罐和蜜网的设计目的就是从现存的各种威胁中提取有用的信息，发现新型的攻击工具，确定攻击模式并研究攻击者的攻击动机，从而确定更好的对策。