虚拟蜜罐:从僵尸网络追踪到入侵检测

图书封面

以下为本书节选

蜜罐背景

在我们从高级技术层面开始讨论蜜罐技术之前,这一主题的背景知识对我们是有帮助的。为了激发我们使用蜜罐技术,首先看一下网络入侵检测系统(NIDS)[64]是有必要的。面对越来越复杂的逃避技术[70,105],以及采用加密技术来保护网络通信,防止被窃听的协议越来越多,入侵检测系统能提供的有用信息数量越来越少。入侵检测系统也受到高误报率的困扰,从而进一步降低了它们的作用。蜜罐技术能够帮助解决一些问题。

蜜罐是一个被严密监控的计算资源,希望被探测、攻击或者攻陷。更准确的描述是,蜜罐是“一个信息系统资源,其价值在于未经授权或非法使用该资源”(该定义来自蜜罐邮件列表SecurityFocus,http://www.securityfocus.com/archive/119)。一个蜜罐的价值可以由从它可获得的信息来衡量。通过监测进出蜜罐的数据来收集NIDS无法获得的信息。例如,即使使用了加密技术保护网络流量,我们仍然能够记录一个交互式会话中的按键。为了检测恶意行为,入侵检测系统需要已知攻击特征,而通常检测不到未知的攻击。另一方面,蜜罐可以检测未知的攻击,例如,通过观察离开蜜罐的网络流量,我们可以检测到漏洞威胁,即使是使用从未见过的漏洞利用手段。

因为蜜罐没有生产价值,任何连接蜜罐的尝试都被认为是可疑的。因此,分析蜜罐收集的数据所产生的误报比从入侵检测系统收集到的数据导致的误报少。在蜜罐的帮助下,我们所收集的大部分数据可以帮助我们了解攻击。

蜜罐可以运行任何操作系统和任意数量的服务,配置的服务决定了敌手可用的损害和探测系统的媒介。高交互蜜罐提供了一个攻击者可以交互的真实系统,相反,低交互蜜罐只能模拟一部分功能,例如网络堆栈[67]。高交互蜜罐可以完全被攻陷,允许敌手获得对系统的完全访问,并实施进一步的网络攻击。与此相反,低交互蜜罐只是模拟一些服务,敌手不能利用这些服务获得对蜜罐的完全访问。低交互蜜罐有更多的限制,但它们有助于在更高层面上收集信息,例如,了解网络探测或蠕虫活动,它们也可以用于分析垃圾邮件,或主动防范蠕虫,参见第10章如何使用不同种类蜜罐的案例研究综述。这两种方法的任一方法都不优于对方,它们有各自独特的优缺点,将在这本书中进行介绍。

密罐还分为物理蜜罐和虚拟蜜罐。一个物理蜜罐是网络上一台拥有自己IP地址的真正机器,一个虚拟蜜罐由另一台机器模拟,它响应发送给虚拟蜜罐的网络流量。

当收集有关网络攻击或探测的信息时,蜜罐部署的数量会影响收集数据的数量和精确性。测量基于HTTP的蠕虫[68]是一个很好的例子,当蠕虫完成TCP握手并发送有效载荷之后,我们可以识别这些蠕虫。然而,由于它们随机选择IP地址进行连接,所以绝大多数的连接请求不会被响应。通过把蜜罐配置为一个Web服务器,或模拟成一个有漏洞的网络服务,蜜罐可以捕获蠕虫的有效载荷。我们部署的蜜罐越多,蠕虫连接它们的可能性越大。

一般来说,蜜罐有几种不同的类型,除此之外,我们可以混合并匹配出不同的类型,将在后续的章节中详细解释和讨论。在深入探究虚拟蜜罐这一领域之前,首先纵览一下不同类型的蜜罐。

1.2.1  高交互蜜罐

一个高交互蜜罐是一个常规的计算机系统,如商用现货(commercial off-the-shelf ,COTS)计算机、路由器或交换机。该系统在网络中没有常规任务,也没有固定的活动用户,因此,除了运行系统上的正常守护进程或服务,它不应该有任何不正常的进程,也不产生任何网络流量。这些假设帮助检测攻击:每个与高交互蜜罐的交互都是可疑的,可以指向一个可能的恶意行为。因此,所有出入蜜罐的网络流量都被记录下来。此外,系统的活动也被记录下来备日后分析。

也可以将几个蜜罐组合成为一个蜜罐网络——蜜网(honeynet)。通常,一个蜜网由多个不同类型的蜜罐组成(不同的平台和/或操作系统),这允许我们同时收集不同类型的攻击数据,通常我们能够了解更全面的攻击信息,并因此得到攻击者行为的定性结论。

蜜网创建了一个玻璃鱼缸的环境,允许攻击者与系统交互,同时给操作者捕捉攻击者所有活动的能力。这个鱼缸还控制了攻击者的行动,减少了他们破坏蜜罐系统的风险。部署蜜罐的一个关键部件称为蜜墙(Honeywall)——一个用于分离蜜网与网络其他部分的二层桥接设备,这个设备通过数据控制和捕捉分析数据降低蜜网风险,蜜墙上的工具考虑到对攻击者活动的分析,任何出入蜜罐的流量必须通过蜜墙。捕获信息有不同的方法,包括被动网络嗅探器、IDS警报、防火墙日志和被称为Sebek的内核模块,将在2.5.1节中详细介绍。攻击者的活动被控制在网络层,通过入侵防御系统和连接限制器过滤所有出站连接。

高交互蜜罐的缺点之一是较高的维护量:你必须小心监测你的蜜罐,并密切观察所发生的事情,分析危险还需要一些时间,从我们的经验来看,分析一个完整的事件可能花费数小时甚至数天,直到你完全明白攻击者想干什么!

高交互蜜罐可以完全被攻陷,它们运行着带有所有漏洞的真实的操作系统,没有使用仿真,攻击者可以与真实的系统和真实的服务交互,允许我们捕获大量的威胁信息。当攻击者获得非授权访问时,我们可以捕捉他们的漏洞利用,监视他们的按键,找到他们的工具,或者搞清他们的动机。高交互解决方案的缺点是它们增加了风险:由于攻击者可能完全地访问操作系统,他们就有可能用它来损害其他非蜜罐系统。挑战之一就是将它们扩大到大量计算机规模时所带来的开销和各种问题。本书将在第2章更详细地介绍高交互蜜罐。

1.2.2  低交互蜜罐

与此相反,低交互蜜罐模拟服务、网络堆栈或一台真实机器的其他功能,它们允许攻击者与目标系统有限交互,允许我们了解关于攻击的主要的定量信息,例如,一个模拟的HTTP服务器,可以只响应对某个特定文件的请求,只实现整个HTTP规范的一个子集。交互的层次应该“刚好够用”欺骗攻击者或自动化工具——如一个寻找特定文件而危害服务器的蠕虫。低交互蜜罐的优点是简单和易维护,通常你可以只是配置你的低交互蜜罐,让它为你收集数据,这些数据可以是正在传播的网络蠕虫,或者是垃圾邮件发送者对开放式网络中继的扫描等信息。此外,安装这类蜜罐通常很容易:你只需要安装和配置一个工具就完成了。相比之下,高交互蜜罐只不过是你需为你的环境定制的一般方法。

低交互蜜罐可以主要用于收集统计数据,收集关于攻击模式的高级别信息。进一步地,它们可以作为一种提供预警的入侵检测系统,也就是对新的攻击提供自动报警(见第10章)。此外,它们还可以用于引诱攻击者远离生产机器[19,67,87]。另外,低交互蜜罐还可用于检测蠕虫、干扰敌手,或者了解正在进行的网络攻击。本书中将介绍多种不同类型的低交互蜜罐。低交互蜜罐也可以组成一个网络,形成一个低交互蜜网。

因为攻击者只与一个模拟系统交互,不会完全攻陷系统,低交互蜜罐构造了一个可控环境,因此风险有限:攻击者不能完全攻陷系统,因此你不必担心他滥用你的低交互蜜罐。

有许多不同的低交互蜜罐可用,在第3章中将介绍几种解决方案,并说明如何使用它们。此外,后续章节重点关注具体的工具,并非常详细地介绍它们。

表1.1总结了高交互蜜罐和低交互蜜罐,并对比它们各自重要的优缺点。

表1.1  高交互蜜罐和低交互蜜罐的优缺点


高交互蜜罐


低交互蜜罐


真实的服务、操作系统或应用程序


模拟的TCP/IP协议栈、弱点等


高风险


低风险


难以部署和维护


容易部署和维护


捕获大量的信息


捕获有关攻击的定量信息

1.2.3  物理蜜罐

蜜罐的另一种可能的分类方法是可以分为物理蜜罐和虚拟蜜罐。物理蜜罐意味着蜜罐运行在一个物理计算机上,物理通常暗指高交互,从而允许系统被完全攻陷。安装和维护它们通常是代价昂贵的。对于大的地址空间,为每个IP地址部署一个物理蜜罐是不切实际的,也是不可能的,这种情况下,我们需要部署虚拟蜜罐。

1.2.4  虚拟蜜罐

在本书中我们重点关注虚拟蜜罐。为什么这类蜜罐如此有趣呢?主要原因是其可度量性和易维护性,在一台机器上可以有数以千计的蜜罐,部署它们代价低,并且几乎每个人都可以容易地使用它们。

与物理蜜罐相比,这种方法更轻便。我们也可以在一台物理计算机上部署多个虚拟机作为蜜罐,而不是将一个物理计算机系统配置为一个蜜罐,这使得更容易维护和较低的物理需求。通常使用VMware[103]或用户模式Linux(UML)[102]建立这种虚拟蜜罐,这两个工具允许我们在一台物理机器上并发运行多个操作系统和应用程序,便于收集数据,我们将在第2章中详细介绍这两个工具。此外,在其他章节中我们会介绍其他类型的虚拟蜜罐,重点介绍这些蜜罐的不同点。由于本书的重点在虚拟蜜罐,在这里就不详细介绍了。应该记住的主要一点是:一个虚拟蜜罐是由另一台机器模拟的,响应发送给虚拟蜜罐的网络流量。

对于工作的任何蜜罐,外部Internet需要能够访问它。我们中许多人通过DSL或有线调制解调器连接Internet,这些设备通常使用网络地址转换(NAT),即使调制解调器后面可能有一个完整的网络,从Internet仍无法访问你的内部网络。因此,在采用NAT的网上部署蜜罐,你不会得到有价值的数据。某些NAT设备允许你改变端口转发配置,至少允许你一点点暴露于Internet。对于较严格的实验,你应该找一个提供实时非过滤IP连接的ISP。

1.2.5  法律方面

蜜罐有一些风险,如果一个攻击者设法攻陷你的一个蜜罐,他可能试图攻击不在你控制之下的其他系统。这些系统可位于Internet的任何地方,攻击者可以使用你的蜜罐作为跳板攻击敏感系统,这意味着运行蜜罐时会涉及一些法律问题,但在不同国家有不同的法律,对法律状况很难给出一致观点。我们将不讨论运行一个蜜罐系统的法律问题,因为如果你生活在美国,你可以从《Know Your Enemy》(http://www.honeynet.org/book/)的Richard Salgado章节中获得相关法律信息。在大多数国家这些法律是相似的,特别是欧洲和美国。你必须考虑明确的问题是,你的ISP可能明确地禁止在你的IP地址上运行蜜罐,或者由于无法预料敌手的步骤,可能危及其他机器的安全。如果你不确定你所做的,请咨询律师。也可以联系当地的蜜罐组织,他可以给你本国法律状况的概述。你可以在蜜罐项目的网站(http://www.honeynet.org/)上得到世界各地的不同蜜罐组织纵览。

作者简介

Niels Provos,2003年从密歇根大学获得博士学位,在那里他进行了计算机和网络安全的实验和理论方面的研究。他是OpenSSH的创建者之一,并由于他 在OpenBSD方面的安全工作而闻名。他开发了Honeyd(一个流行的开放源码的蜜罐平台)、SpyBye(一个帮助网站管理员检测网页上恶意软件的 客户端蜜罐),以及许多其他工具,如Systrace和Stegdetect。他是Honeynet项目的成员之一,在开源项目上作出了积极贡献。 Provos目前在谷歌公司担任高级主管工程师。

Thorsten Holz,德国曼海姆大学可靠分布式系统实验室的博士研究生。他是德国蜜网项目的创始人之一,是蜜网研究联盟指导委员会成员。他的研究兴趣包括安全系统实 际问题,但他也对更多的可靠系统理论问题感兴趣。目前,他的研究工作集中在僵尸程序/僵尸网络、客户端蜜罐和恶意软件。他的博客网址http: //honeyblog.org。

时间: 2024-09-25 03:47:22

虚拟蜜罐:从僵尸网络追踪到入侵检测的相关文章

防黑阻击 入侵检测之蜜罐与蜜网

中介交易 SEO诊断 淘宝客 云主机 技术大厅 入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术.主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种.它是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并找到有效的对付方法.为了吸引攻击者,网络管理员通常还在Honeypot上故意留下一些安全后门,或者放置一些攻击者希望得到的敏感信息,当然这些信息都是虚假.当入侵者正为攻入目标系统而沾沾自喜时,殊不知自己在目标系统中的所做所为,包括输入的字符,执行的操作等都已经被Ho

入侵检测技术综述

入侵检测技术综述 1.什么是入侵检测,为什么需要入侵检测? 1.1 为什么需要入侵检测 1.1. 1黑客攻击日益猖獗,防范问题日趋严峻 随着计算机技术的发展,在计算机上处理业务已由基于单机的数学运算.文件处理,基于简单连结的内部网络的内部业务处理.办公自动化等发展到基于企业复杂的内部网.企业外部网.全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理.在信息处理能力提高的同时,系统的连结能力也在不断的提高.但在连结信息能力.流通能力提高的同时,基于网络连接的安全问题也日益突出: ●

搞好服务器的入侵检测

中介交易 SEO诊断 淘宝客 云主机 技术大厅 相信大家都受过病毒煎熬,下面是我从自学编程网转载过来,看了,觉得不错,所以特来献给站长朋友, 入侵检测既是一项非常重要的服务器日常管理工作,也是管理人员必须掌握的技能.下面笔者和大家一道,多点出击.明察秋毫进行服务器的入侵检测. 1.查看服务器状态 部署"性能监控"工具,实施对服务器的实时监控这应该成为服务器的标准配置.笔者向大家推荐NetFox这款服务器监控工具,通过其可以设置"Web/Ping"."FTP

新型僵尸网络Rakos:入侵设备后改造为C&C控制端,已感染数万台

本文讲的是新型僵尸网络Rakos:入侵设备后改造为C&C控制端,已感染数万台, 一.Rakos僵尸网络的背景介绍 Morphus Labs最近部署了不少高交互蜜罐,希望能发现一些隐藏特别深的最新恶意攻击,但是在蜜罐部署的前两天,该实验室对恶意软件的捕获都失败了,这其中就包括针对SSH端口的SPAM和XORDDoS攻击.到了第三天,蜜罐捕获了一种攻击,经调查,命名为Rakos的Linux恶意程序已经入侵了大量设备.虽然当前这些设备组成的僵尸网络还没有确切的恶意行为,但研究人员认为Rakos僵尸网络

网络入侵检测初步探测方法

经过精心配置的Win2000服务器可以防御90%以上的入侵和渗透, 但是,系统安全是一个连续的过程,随着新漏洞的出现和服务器应用的变化,系统的安全状况也在不断变化着:同时由于攻防是矛盾的统一体,道消魔长和魔消道长也在不断的转换中,因此,再高明的http://www.aliyun.com/zixun/aggregation/13879.html">系统管理员也不能保证一台正在提供服务的服务器长时间绝对不被入侵. 所以,安全配置服务器并不是安全工作的结束,相反却是漫长乏味的安全工作的开始,本文

植入式攻击入侵检测解决方案

植入式攻击入侵检测解决方案 http://netkiller.github.io/journal/security.implants.html Mr. Neo Chen (陈景峰), netkiller, BG7NYT 中国广东省深圳市龙华新区民治街道溪山美地518131+86 13113668890+86 755 29812080<netkiller@msn.com> 版权 2014 http://netkiller.github.io 版权声明 转载请与作者联系,转载时请务必标明文章原始出

Symantec防病毒防火墙以及入侵检测方案

集成客户端安全产品需求 对IT基础设施威胁的复杂性正在不断增加.诸如Nimda和红色代码等混合型威胁,将病毒.蠕虫.特洛伊木马以及(或)恶意代码的特征同利用服务器和互联网漏洞的方法相结合,启动.发送和传播攻击.为了防御这些威胁,网络管理员正在企业网范围的客户端上部署防病毒和防火墙等单点产品,同时还包括越来越多的连接到企业LAN或WAN的远程客户端. 采用来自不同厂商的多种单点产品使得全面防护变为一项极为复杂甚至根本不可能的任务,因为跨厂商的互操作性问题往往会存在漏洞,从而使威胁乘虚而入危及安全性

Java Web中的入侵检测及简单实现

web 在Java Web应用程中,特别是网站开发中,我们有时候需要为应用程序增加一个入侵检测程序来防止恶意刷新的功能,防止非法用户不断的往Web应用中重复发送数据.当然,入侵检测可以用很多方法实现,包括软件.硬件防火墙,入侵检测的策略也很多.在这里我们主要介绍的是Java Web应用程序中通过软件的方式实现简单的入侵检测及防御. 该方法的实现原理很简单,就是用户访问Web系统时记录每个用户的信息,然后进行对照,并根据设定的策略(比如:1秒钟刷新页面10次)判断用户是否属于恶意刷新. 我们的入侵

入侵检测与网络审计产品的关系

入侵检测与网络审计产品是孪生兄弟吗? 入侵检测系统(IDS)是网络安全监控的重要工具,是网络"街道"上的巡警,时刻关注着网络的异常行为:网络审计是用户行为的记录,是网络"大楼"内的录像机,记录各种行为的过程,作为将来审核"你"的证据. 我们常见的楼宇监控,在保安值班室内有一个大电视墙,工作人员实时在看的,属于IDS类型,监控系统需要人的实时参与,发现异常,及时报警.处理.公共场合内银行的ATM机前有录像系统,属于审计类型的产品,当需要查看是谁在什