潘欽凱+吳耿佳+羅海波

摘 要 ：傳統(tǒng)的被動式防御為基礎(chǔ)的網(wǎng)絡(luò)保護措施已經(jīng)很難適應(yīng)新型的主動攻擊手段。為此我們采用蜜罐技術(shù)對校園網(wǎng)進行防御部署，有效的引導(dǎo)黑客的攻擊，并且對各種攻擊行為主動做出分析與判斷。根據(jù)蜜罐捕獲的數(shù)據(jù)分析，利用模擬的漏洞，分析黑客針對漏洞的入侵行為，為校園網(wǎng)防御黑客的入侵防御提供依據(jù)。

關(guān)鍵詞：主動式防御 校園網(wǎng)絡(luò)安全 蜜罐技術(shù) 蜜網(wǎng)

蜜罐技術(shù)是一種通過暴露特定的漏洞，從而引導(dǎo)迷惑黑客，從他們的手段中了解他們的目的與信息，并協(xié)助計算機取證的主動防御手段。本文基于蜜罐主動防御的思想，結(jié)合MHN部署技術(shù)在校園網(wǎng)內(nèi)部署應(yīng)用蜜罐，從而提高網(wǎng)絡(luò)安全性。

1、 MHN蜜網(wǎng)的部署

MHN（Modern Honey Network）由美國ThreatStream安全公司開發(fā)，以NoSql技術(shù)的MongoDB數(shù)據(jù)庫做為支持，結(jié)合Mnemosyne、ArcSight 與Splunk（Splunkweb+Splunkd）后端處理數(shù)據(jù)的一款蜜罐部署控制臺程序。利用MHN Server控制臺，把部署的大部分操作都簡化，節(jié)省了大量的時間成本，圖形界面提供了更直觀的數(shù)據(jù)，配合Splunk的使用，大大減少了對日志的分析所需要的勞動力。蜜罐校園部署拓?fù)淙鐖D1。

圖1 蜜罐校園部署拓?fù)鋱D

蜜罐1：處于防火墻之外，完全暴露在互聯(lián)網(wǎng)上，不斷的收集黑客攻擊的數(shù)據(jù)，提供更多攻擊者的信息，掌握更多未知的木馬病毒與攻擊手法，使校園網(wǎng)能夠更安全的發(fā)展。

蜜罐2：DMZ區(qū)域是黑客重點訪問的對象，讓管理員最頭痛的就是黑客往往利用DMZ區(qū)域做為跳板，對數(shù)據(jù)庫拖庫，篡改數(shù)據(jù)，數(shù)據(jù)嗅探等等行為[12]。利用部署的蜜罐，以障眼法迷惑黑客，在一定時間內(nèi)找出他們的目的，迅速作出反應(yīng)。

蜜罐3：內(nèi)網(wǎng)區(qū)域分布數(shù)臺蜜罐能有效的捕獲來自內(nèi)網(wǎng)的攻擊，避免來攻擊造成的損失。

為了能更方便能夠接受外網(wǎng)數(shù)據(jù)，我們將內(nèi)網(wǎng)的MHN Server以映射的方式到解析到mhn.belive.cc，訪問mhn.belive.cc，即可直接訪問MHN Server。利用MHN Server的一句話部署，能高效準(zhǔn)確的安裝所需要的蜜罐。

蜜罐1我們可以部署Kippo + Dionaea，KIPPO蜜罐是一款中等交互的SSH模擬軟件，記錄黑客每一次對SSH的爆破記錄，若黑客爆破成功，將會提供一個模擬的shell環(huán)境迷惑黑客，并且將攻擊源IP，客戶端類型，輸入的命令以及上傳/下載的非法文件記錄在服務(wù)器中，還可以通過修改kippo系統(tǒng)文件，讓shell的模擬環(huán)境更真實。Dionaea蜜罐是一款低交互惡意代碼捕獲工具，將有漏洞的服務(wù)暴漏出來，保存黑客留下的惡意代碼以及其他非法文件。

這兩款中低交互蜜罐，都依靠自身虛擬出環(huán)境與漏洞，和真實系統(tǒng)沒有太多交互，所以這樣設(shè)計的優(yōu)點是大大降低真實操作系的安全風(fēng)險，而不完善的地方是模擬服務(wù)會降低數(shù)據(jù)捕獲能力并容易被黑客識別。

蜜罐2和3我們采用Kippo+Glastopf+Sn

ort+p0f分析模式，Glastopf是一款相當(dāng)不錯的WEB蜜罐，能模擬許多漏洞，比如說常見的遠程文件包含漏洞，可以輕而易舉的捕獲到攻擊者上傳的可疑文件，為我們后期提取分析提供有力的數(shù)據(jù)支持。遠程OS指紋被動判別工具p0f，與入侵檢測系統(tǒng)Snort搭配利用，將安全模版和指紋判別結(jié)合，對網(wǎng)絡(luò)流量實施高效的監(jiān)控與分析。

2 、入侵?jǐn)?shù)據(jù)分析

經(jīng)過數(shù)天的收集，分析可以發(fā)現(xiàn)來自內(nèi)網(wǎng)攻擊的基本為學(xué)生，攻擊手段主要為端口掃描，萬能密碼與弱口令入侵，SQL注射攻擊，XSS/CSRF盲注，以及入侵成功對內(nèi)網(wǎng)進行ARP攻擊。

通過與防火墻的配合，可以將已經(jīng)被入侵或者有風(fēng)險的IP進行隔離，待解除后在自動移出隔離區(qū)，并且從蜜罐處獲得該生的IP地址，并對其警告。

我們分析部署在蜜罐1的kippo蜜罐，包括攻擊次數(shù)，用戶名和密碼的口令猜測，攻擊時間間隔的分析，攻擊者IP的分布分析。賬戶admin與root被暴力破解次數(shù)最多，admin共計被破解1920次，root共計被破解1728次。密碼暴力破解前四排名為123456，admin，1234，ubnt，password。

我們還原了黑客在入侵后的操作，得知黑客利用了自動化腳本對網(wǎng)絡(luò)進行大量的掃描，暴力破解并，自動下載木馬文件與架設(shè)后門。

通過分析掃描得知該文件屬于Linux D

DOS 木馬文件，類型為Linux. BackDoor.Gat

es.6 ，經(jīng)過調(diào)查通過調(diào)查發(fā)現(xiàn)Linux.BackDo

or.Gates.6木馬是一類有著豐富的歷史，隱藏手法巧妙，網(wǎng)絡(luò)攻擊行為顯著的DDoS木馬，木馬木馬名字源于函數(shù)中大量使用Gates這個單詞，該木馬主要針對中國地區(qū)的服務(wù)器進行DDoS攻。

使用file命令對木馬進行分析，發(fā)現(xiàn)其為一款基于I386的32位ELF可執(zhí)行程序，使用insmod加載 /usr/lib/xpacket.ko 模塊。并且在運行后，目錄下會增加 Dest.cfg，appq.log，conf.n 三個新文件，且用戶無法正常使用ps，netstat等命令。通過對木馬的反編譯，發(fā)現(xiàn)了大量DNS節(jié)點與骨干網(wǎng)絡(luò)的IP信息。

3 、入侵防范措施

根據(jù)蜜罐捕獲的數(shù)據(jù)分析，利用模擬的漏洞，分析黑客針對漏洞的入侵行為。針對性提出幾個安全措施：

通過捕獲攻擊者的IP，錄入規(guī)則庫，添加訪問控制策略，對所監(jiān)控的IP進行限制，對能攻擊者的IP進行一個確定，再將其添加進控制列表。

通過修改默認(rèn)端口，避免黑客的端口攻擊，禁止root，mysql 賬號登錄，系統(tǒng)賬號不使用弱口令賬戶密碼，密碼采用數(shù)字+符號+大小寫英文單詞組合提高復(fù)雜性。Linux的網(wǎng)絡(luò)服務(wù)程序大部分基于守護進程 Deemon，因此可以關(guān)閉系統(tǒng)默認(rèn)開啟的Daemon服務(wù)，提高網(wǎng)絡(luò)安全。

通過對ssh入侵以及其他蜜罐的分析，發(fā)現(xiàn)有大量的攻擊目的是針對抓取DDOS攻擊端主機，基于linux環(huán)境下，可以使用DDOS deflate 防御和減輕DDOS攻擊，自動阻擋僵尸主機的網(wǎng)絡(luò)連接。

參考文獻：

[1]諸葛建偉，唐勇，韓心慧，段海新. 蜜罐技術(shù)研究與應(yīng)用進展[J]. 軟件學(xué)報，2013（04）

[2]石樂義，姜藍藍. 蜜罐誘騙防御機理的博弈理論分析[J]. 電子與信息學(xué)報，2012（06）