蜜罐技术
国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务,所有进出蜜罐的网络流量都是非法的,都可能预示着一次扫描和攻击,蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。
蜜罐是用来吸引那些入侵者,目的在于了解这些攻击。蜜罐看起来就是一台有一个或者多个可以被攻击者利用漏洞的服务器或计算机主机。他们简单的就如同一个默认安装的操作系统充满了漏洞以及被攻破的可能性。
蜜罐的目标及作用
蜜罐技术强大而灵活,不仅可以识别对网络上主机的攻击也可以监视和记录攻击是如何进行的。蜜罐可以和入侵检测IDS一起工作,与 IDS相比,蜜罐的误报率较低。这是因为蜜罐既不提供任何网络服务,也没有任何合法用户,但并不是网络上的空闲设备。因此,任何流入或者流出蜜罐的网络通信都可以是做可疑的,是网络正在被攻击的一种标志。
蜜罐的主要目标是容忍入侵者攻击自身,在被攻击的过程中记录收集入侵者的攻击工具、手段、动机、目的等行为信息。尤其是入侵者使用了新的未知攻击行为时,收集这些信息,从而根据其调整网络安全策略,提高系统安全性能。同时蜜罐还具有转移攻击者注意力,消耗其攻击资源、意志,间接保护真实目标系统的作用。
蜜罐的分类
蜜罐可以运行任何操作系统和任意数量的服务。蜜罐根据交互程度(Level ofInvolvement)的不同可以分为高交互蜜罐和低交互蜜罐。蜜罐的交互程度是指攻击者与蜜罐相互作用的程度,高交互蜜罐提供给入侵者一个真实的可进行交互的系统。
相反,低交互蜜罐只可以模拟部分系统的功能。高交互蜜罐和真实系统一样可以被完全攻陷,允许入侵者获得系统完全的访问权限,并可以以此为跳板实施进一步的网络攻击。相反的,低交互蜜罐只能模拟部分服务、端口、响应,入侵者不能通过攻击这些服务获得完全的访问权限。
从实现方法上来分,蜜罐可分为物理蜜罐和虚拟蜜罐。物理蜜罐是网络上一台真实的完整计算机,虚拟蜜罐是由一台计算机模拟的系统,但是可以响应发送给虚拟蜜罐的网络流量。
蜜罐的发展历程和目前的主流分类有哪些?
蜜罐技术的发展历程
从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。从1998 年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,如Fred Cohen 所开发的DTK(欺骗工具包)、Niels Provos 开发的Honeyd 等,同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。
虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题,从2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追踪侵入到蜜网中的黑客,并对他们的攻击行为进行分析。
、蜜罐的分类
世界上不会有非常全面的事物,蜜罐也一样。根据管理员的需要,蜜罐的系统和漏洞设置要求也不尽相同,蜜罐是有针对性的,而不是盲目设置的,因此,就产生了多种多样的蜜罐……根据蜜罐与攻击者的交互程度,可以分为三类:低交互蜜罐、中交互蜜罐及高交互蜜罐。
1、低交互蜜罐
低交互蜜罐***的特点是模拟(设计简单且功能有限,安装配置和维护都很容易)。蜜罐为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统,而是对各种系统及其提供的服务的模拟。由于它的服务都是模拟的行为,所以蜜罐可以获得的信息非常有限,只能对攻击者进行简单的应答,它是最安全的蜜罐类型。
这种蜜罐没有真实的操作系统,它的价值主要在于检测,也就是对未授权扫描或者未授权连接尝试的检测。他只提供了有限的功能,因此大部分可以用一个程序来模拟。只需将该程序安装在一台主机系统中,配置管理希望提供的服务就可以了,管理员所要做的工作就是维护程序的补丁并监视所有的预警机制。这种蜜罐所提供的功能少,出错少,风险低,同时它能够为我们提供的关于攻击者的信息量也有限,只能捕获已知的攻击行为,并且以一种预定的方式进行响应,这样容易被攻击者识破,不管模拟服务做得多好,技术高明的黑客最终都能检测到他的存在。
2、中交互蜜罐
中交互蜜罐是对真正的操作系统的各种行为的模拟,它提供了更多的交互信息,同时也可以从攻击者的行为中获得更多的信息,与低交互蜜罐相比,它的部署和维护更为复杂。在这个模拟行为的系统中,蜜罐可以看起来和一个真正的操作系统没有区别,攻击者可以得到更多的交互。它们是比真正系统还要诱人的攻击目标,因此必须要以一个安全的方式来部署这种交互。必须开发相应的机制以确保攻击者不会危害其他系统,并且这种增加的功能不会成为攻击者进行攻击的易受攻击环节。攻击者可能会访问到实际操作系统,但他们的能力是受限的,这种类型的蜜罐必须要进行日常维护,以应对新的攻击。由于它具有较大的复杂度,所以出错的风险也相应的增大,另一方面他可以收集到更多攻击者的信息。
3、高交互蜜罐
高交互蜜罐具有一个真实的操作系统,它的优点体现在对攻击者提供真实的系统,当攻击者获得ROOT权限后,受系统数据真实性的迷惑,他的更多活动和行为将被记录下来。缺点是被攻击的可能性很高,如果整个高交互蜜罐被攻击,那么它就会成为攻击者下一步攻击的跳板,构建和维护它们是极为耗时的。目前在国内外的主要蜜罐产品有DTK,空系统,BOF,SPECTER,HOME-MADE蜜罐,HONEYD,SMOKEDETECTOR,BIGEYE,LABREA TARPIT,NETFACADE,KFSENSOR,TINY蜜罐,MANTRAP,HONEYNET十四种。
最为常见的高交互蜜罐往往被放置在一种受控环境中,如防火墙之后。借助于这些访问控制设备来控制攻击者使用该蜜罐启动对外的攻击。这种架构的部署和维护十分的复杂,而且这种类型的蜜罐还要求对防火墙有一个恰当的过滤规则库。同时还要求配合IDS的功能,要求IDS的签名数据库进行更新,且要不停监视蜜罐的活动。它为攻击提供的交互越多出错的地方就越多。一旦进行了正确的实现,高交互度的蜜罐就能够***程度的洞察攻击者。例如想在一个Linux蜜罐上运行一个FTP服务器,那么你见里一个真正的Linux系统来运行FTP服务。这种解决方案优势是双重的,首先,你能够捕获大量信息。这可以通过给攻击者提供真实的系统与之交互来实现,你能够了解到攻击者的整个攻击行为,从新的工具包到IRC的会话的整个过程。高交互的第二个优势是对攻击者如何攻击不是假设,它们提供一个能够捕获行为的开放的环境,高交互度解决方法将使得我们能学到以外的攻击行为,例如:一个蜜罐在一个非标准的IP协议上捕获密码后门命令。然而,这也增加了蜜罐的风险,因为攻击者能够用这些真实的操作系统来攻击非蜜罐系统。结果,要采用附加技术来组织对非蜜罐系统的攻击。高交互蜜罐虽然优于前两种交互蜜罐,但是开发和维护过于复杂。
蜜罐技术的作用
蜜罐主要是一种研究工具,但同样有着真正的商业应用。把蜜罐设置在与公司的Web或邮件服务器相邻的IP地址上,你就可以了解它所遭受到的攻击。
当然,蜜罐和蜜网不是什么“射后不理”(fire and forget)的安全设备。据蜜网计划声称,要真正弄清楚攻击者在短短30分钟内造成的破坏,通常需要分析30到40个小时。系统还需要认真维护及测试。有了蜜罐,你要不断与黑客斗智斗勇。可以这么说:你选择的是战场,而对手选择的是较量时机。因而,你必须时时保持警惕。
蜜罐(Honeypot)是一种在互联网上运行的计算 机系统。它是专门为吸引并诱骗那些试图非法闯 入他人计算机系统的人(如电脑黑客)而设计的,蜜 罐系统是一个包含漏洞的诱骗系统,它通过模拟 一个或多个易受攻击的主机,给攻击者提供一个 容易攻击的目标。由于蜜罐并没有向外界提供真 正有价值的服务,因此所有对蜜罐尝试都被视为 可疑的。蜜罐的另一个用途是拖延攻击者对真正 目标的攻击,让攻击者在蜜罐上浪费时间。简单 点一说:蜜罐就是诱捕攻击者的一个陷阱。
关于蜜罐技术和蜜罐技术通常用于网络上监听别人口令的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。