淺議蜜網(wǎng)技術(shù)

趙　軍

摘要：蜜罐技術(shù)改變了傳統(tǒng)網(wǎng)絡(luò)安全防御技術(shù)一律將入侵者“拒之門外”的被動做法，而是提出全新的“請君入甕”主動防御概念。雖然蜜罐技術(shù)目前仍存在很多爭議，但它無疑是學習敵方情報最好的工具。本文主要從蜜網(wǎng)的功能、蜜網(wǎng)系統(tǒng)的總體設(shè)計、蜜網(wǎng)系統(tǒng)的測試三方面對蜜網(wǎng)技術(shù)進行了淺議。

關(guān)鍵詞：蜜網(wǎng)；蜜罐；功能；測試；總體設(shè)計

蜜罐技術(shù)思想本質(zhì)就是使用“蜜”來誘騙入侵者入侵，通過精心布置的“罐”來監(jiān)控入侵者的入侵行為，盡可能多地捕獲并學習入侵者相關(guān)信息，從而間接或直接地保護系統(tǒng)安全。它改變了傳統(tǒng)網(wǎng)絡(luò)安全防御技術(shù)一律將入侵者“拒之門外”的被動做法，而是提出全新的“請君入甕”主動防御概念。雖然蜜罐技術(shù)目前仍存在很多爭議，但它無疑是學習敵方情報最好的工具。

一、簡述蜜網(wǎng)的功能

1.欺騙功能。在蜜網(wǎng)內(nèi)設(shè)置多個有不同操作系統(tǒng)的蜜罐主機，如Windows系統(tǒng)和Linux系統(tǒng)，在不同的蜜罐主機上開放不同的網(wǎng)絡(luò)服務(wù)，以此來模擬真實的系統(tǒng)和真實的服務(wù)。在這個系統(tǒng)中，其欺騙功能程度主要依賴于各蜜罐主機仿真的逼真程度。由此可見，該蜜網(wǎng)系統(tǒng)實質(zhì)是一個實施欺騙的蜜罐主機的集合。

2.數(shù)據(jù)控制功能。構(gòu)建蜜網(wǎng)時，通常在防火墻與各蜜罐群集之間，還會設(shè)置一個路由器。放置路由器的原因有二：首先，路由器的存在使防火墻具有“不可見”性，入侵者攻入蜜罐后可能會察看蜜罐外發(fā)的路由，放置路由器更接近真實的網(wǎng)絡(luò)環(huán)境，入侵者一般不能注意到防火墻的存在；其次，路由器可以作為對防火墻訪問控制的很好補充，我們可以設(shè)置一些路由規(guī)則進行路由控制，確保各蜜罐不會被用來攻擊蜜網(wǎng)之外的機器。

3.數(shù)據(jù)捕獲功能。蜜網(wǎng)系統(tǒng)的一個非常重要的功能就是數(shù)據(jù)捕獲，而這些捕獲數(shù)據(jù)一直是入侵者們想刪除或者篡改的。在蜜網(wǎng)系統(tǒng)中，對數(shù)據(jù)捕獲的方式是對防火墻日志、IDS日志及各蜜罐系統(tǒng)日志的收集、分析及保護。為防止入侵者攻破蜜網(wǎng)之后修改各蜜罐主機的日志，蜜罐主機通常會利用操作系統(tǒng)自身提供的日志功能，這充分體現(xiàn)了基于網(wǎng)絡(luò)的信息收集策略，為蜜網(wǎng)提供了安全強大的數(shù)據(jù)捕獲功能。

二、蜜網(wǎng)系統(tǒng)總體設(shè)計

1.設(shè)計目標。通過研究蜜罐技術(shù)的基本原理，設(shè)計并實現(xiàn)一個研究型的蜜網(wǎng)，完成蜜網(wǎng)的核心需求。使用該蜜網(wǎng)系統(tǒng)，可以捕獲來自Internet的攻擊者的相關(guān)數(shù)據(jù)，通過對這些數(shù)據(jù)進行分析，研究入侵者所掌握的技術(shù)、使用的工具以及攻擊的動機，從而進一步提高我們的網(wǎng)絡(luò)防御能力。蜜網(wǎng)系統(tǒng)提出設(shè)計意向時，確定其設(shè)計目標如下：

（1）蜜網(wǎng)應當具有良好的數(shù)據(jù)捕獲能力，能夠捕獲到大量并且有價值的信息。

（2）蜜網(wǎng)應當能夠?qū)ν{做出響應，既包括自動響應也包括人工控制響應。

（3）能夠根據(jù)日志審計的結(jié)果對現(xiàn)有安全策略做出調(diào)整。

（4）提供日志分析審計的自動化工具，減少數(shù)據(jù)分析工作量。

（5）蜜網(wǎng)自身應當具備一定的安全性，也就是能夠?qū)粽叩男袨檫M行一定的控制。

（6）蜜網(wǎng)應當能夠保證收集信息的安全性、完整性和機密性。

2.數(shù)據(jù)控制機制。數(shù)據(jù)控制是蜜網(wǎng)的第一大核心需求，宿主機作為虛擬蜜網(wǎng)的二層網(wǎng)關(guān)實現(xiàn)了該功能。二層網(wǎng)關(guān)對流入的數(shù)據(jù)包不進行任何限制，使得黑客能攻入蜜網(wǎng)，但對流出的數(shù)據(jù)包嚴格控制，以防黑客使用蜜網(wǎng)作為跳板向其它正常主機發(fā)起攻擊。控制的方法包括攻擊包抑制和對外連接數(shù)限制兩種手段。一旦網(wǎng)絡(luò)入侵防御系統(tǒng)（NIPS）Snort－inline檢測到含有惡意代碼的數(shù)據(jù)包即對其加以拋棄或修改，使其不能對第三方網(wǎng)絡(luò)構(gòu)成危害。而對外連接數(shù)限制是用來控制黑客對外界網(wǎng)絡(luò)發(fā)起的連接數(shù)量的。

Snort－inline是入侵檢測系統(tǒng)（IDS）Snort的修改版，它可以經(jīng)由libipq接收來自IP－Tables的數(shù)據(jù)包，并根據(jù)Snort的規(guī)則集對數(shù)據(jù)包進行檢查，一旦發(fā)現(xiàn)惡意代碼就對該數(shù)據(jù)包采取預先定義的策略，然后再將數(shù)據(jù)包傳回給IP－Tables。

3.數(shù)據(jù)捕獲機制。數(shù)據(jù)捕獲就是把所有的攻擊者活動記錄下來，然后通過分析這些活動來學習他們的工具、策略以及動機。為了在不被攻擊者發(fā)現(xiàn)的情況下捕獲盡可能多的數(shù)據(jù)，并保證這些數(shù)據(jù)的完整性，在蜜墻中采取了三重數(shù)據(jù)捕獲機制。

三、蜜網(wǎng)系統(tǒng)的測試

1.蜜網(wǎng)外出連接數(shù)限制功能測試

（1）測試內(nèi)容。蜜網(wǎng)外出連接數(shù)限制是數(shù)據(jù)控制的第一層，接受所有進入蜜網(wǎng)系統(tǒng)的網(wǎng)絡(luò)請求，對蜜網(wǎng)的外出連接進行限制，當外出連接數(shù)量達到設(shè)定的闕值時自動阻斷連接，并進行日志記錄，測試蜜網(wǎng)系統(tǒng)的數(shù)據(jù)控制能力。

（2）測試過程。在防火墻腳本firewall.sh中，設(shè)置蜜罐的外出ICMP連接闕值為每小時5個，外出TCP闕值為每小時2個。在蜜罐A上Ping蜜網(wǎng)外的主機，測ICMP外出連接控制。

（3）測試結(jié)果。Ping的結(jié)果是：前5個ICMP包可以順利通過，后面的ICMP包被丟棄，說明蜜網(wǎng)系統(tǒng)外出ICMP連接限制發(fā)揮了作用。同時，測試結(jié)果還表明，防火墻作為蜜網(wǎng)數(shù)據(jù)捕獲的第一層，對蜜網(wǎng)所有的進出連接都進行了日志記錄。

2.蜜網(wǎng)攻擊包抑制功能測試

（1）測試內(nèi)容。攻擊包抑制是蜜網(wǎng)數(shù)據(jù)控制的第二種手段，它可以使入侵者由蜜網(wǎng)向外部網(wǎng)絡(luò)發(fā)起的己知攻擊失效，并進行日志記錄。

（2）測試過程。使用Ping命令發(fā)送大尺寸ICMP包對其它主機進行攻擊。

（3）測試結(jié)果。正常的情況下Ping其它主機可以順利完成，但若發(fā)送偏大的ICMP包攻擊其它主機則被丟棄。這說明蜜網(wǎng)的攻擊包抑制功能起到了作用。

3.蜜網(wǎng)系統(tǒng)數(shù)據(jù)捕獲功能測試

（1）測試內(nèi)容。數(shù)據(jù)捕獲是蜜網(wǎng)一項非常重要的功能，它確保攻擊者在蜜網(wǎng)中的一切行動都有記錄，使得我們能分析了解攻擊者的手段、工具和目的。

Sebek是蜜罐系統(tǒng)本身的數(shù)據(jù)捕獲機制，它既能捕獲入侵者的擊鍵記錄，也能捕獲他們的擊鍵回復，并通過網(wǎng)絡(luò)將日志發(fā)送到其服務(wù)端。在作者所設(shè)計的蜜網(wǎng)中，二層網(wǎng)關(guān)安裝了Sebek服務(wù)端，它負責收集蜜罐捕獲并發(fā)送出來的數(shù)據(jù)。

（2）測試過程。在連接數(shù)限制測試和攻擊包抑制中己經(jīng)有了測試過程，我們可以查看其對應的日志記錄即可。

（3）測試結(jié)果。蜜網(wǎng)的數(shù)據(jù)捕獲機制不但能捕獲到蜜網(wǎng)所有的進出連接，而且能捕獲到蜜罐主機本身的命令執(zhí)行情況。這表明該蜜網(wǎng)的數(shù)據(jù)捕獲機制滿足了數(shù)據(jù)捕獲的需求。