【转】防黑阻击 入侵检测之蜜罐与蜜网(图)

转载 2007年09月29日 19:59:00
防黑阻击 入侵检测之蜜罐与蜜网(图)
http://www.anqn.com

入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种。它是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并找到有效的对付方法。为了吸引攻击者,网络管理员通常还在Honeypot上故意留下一些安全后门,或者放置一些攻击者希望得到的敏感信息,当然这些信息都是虚假。当入侵者正为攻入目标系统而沾沾自喜时,殊不知自己在目标系统中的所做所为,包括输入的字符,执行的操作等都已经被Honeypot所纪录。

    蜜罐技术
    Honeypot是一个资源,它的价值在于它会受到探测,攻击或攻陷。蜜罐并不修正任何问题,它们仅提供额外的、有价值的信息。所以说Honeypot并非是一种安全的解决方案,这是因为它并不会“修理”任何错误。它只是一种工具,如何使用这个工具取决于用户想做什么。Honeypot可以对其他系统和应用进行仿真,创建一个监禁环境将攻击者困在其中。无论用户如何建立和使用Honeypot,只有Honeypot受到攻击,它的作用才能发挥出来。所以为了方便攻击,最好是将Honeypot设置成域名服务器WEB或电子邮件转发服务等流行应用中的一种。

    蜜罐的部署
    蜜罐并不需要一个特定的支撑环境,它可以放置在一个标准服务器能够放置的任何地方。当然,根据所需要的服务,某些位置可能比其他位置更好一些。如图(1)显示了通常放置的三个位置:1.在防火墙前面;2.DMZ中;3.在防火墙后面。

    如果把蜜罐放在防火墙的前面,不会增加内部网络的任何安全风险,可以消除在防火墙后面出现一台失陷主机的可能性(因为蜜罐主机很容易被攻陷)。但是同时也不能吸引和产生不可预期的通信量,如端口扫描或网络攻击所导致的通信流,无法定位内部的攻击信息,也捕获不到内部攻击者。

    如果把蜜罐放在防火墙的后面,那么有可能给内部网络引入新的安全威胁,特别是如果蜜罐和内部网络之间没有额外的防火墙保护。正如前面所说,蜜罐通常都提供大量的伪装服务,因此不可避免地必须修改防火墙的规则,对进出内部网络的通信流量和蜜罐的通信加以区别和对待。否则一旦蜜罐失陷,那么整个网络内部将完全暴露在攻击者面前。

    较好的解决方案是让蜜罐运行在自己的DMZ内,同时保证DMZ内的其他服务器是安全的,只提供所必需要的服务,而蜜罐通常会伪装尽可能多的服务。DMZ同其他网络连接都用防火墙隔离,防火墙则可以根据需要同Internet连接。这种布局可以很好的解决对蜜罐的严格控制与灵活的运行环境矛盾,从而实现最高安全。

    蜜网技术
    Honeynet是一种特殊的Honeypot,Honeypot物理上通常是一台运行单个操作系统或者借助于虚拟化软件运行多个虚拟操作系统的“牢笼”主机。单机蜜罐系统最大的缺陷在欲数据流将直接进入网络,管理者难以控制蜜罐主机外出流量,入侵者容易利用蜜灌主机作为跳板来攻击其他机器。解决这个问题方法是把蜜罐主机放置在防火墙的后面,所有进出网络的数据都会通过这里,并可以控制和捕获这些数据,这种网络诱骗环境称为蜜网(honeynet)。

    蜜网的组成
    蜜网作为蜜罐技术中的高级工具,一般是由防火墙,路由器,入侵检测系统以及一台或多台蜜罐主机组成的网络系统,也可以使用虚拟化软件来构件虚拟蜜网。相对于单机蜜罐,蜜网实现,管理起来更加复杂,但是这种多样化的系统能够更多地揭示入侵者的攻击特性,极大地提高蜜灌系统的检测,分析,响应和恢复受侵害系统的能力。

    防火墙的作用是限制和纪录网络数据流,入侵检测系统通常用于观察潜在的攻击和译码,并在系统中存储网络数据流。蜜网中装有多个操作系统和应用程序供黑客探测和攻击。特定的攻击者会瞄准特定的系统或漏洞,我们通过部署不同的操作系统和应用程序,可更准确地了解黑客的攻击趋势和特征。另外,所有放置在蜜网中的系统都是真实的系统,没有模拟的环境或故意设置的漏洞。而且利用防火墙或路由器的功能,能在网络中建立相应的重定向机制,将入侵者或可疑的连接主动引入蜜网,可以提高蜜网的运行效率。

    如图(2)所示是一个Honeynet的详细结构图。

    图中包括了三个不同的网络:Honeynet、管理网络和Internet。其中,日志/告警服务器为管理网络,Solaris、Win2000、Linux、Log server为Honeynet。防火墙,IDS和蜜罐主机的系统负责日志的捕获。因为手段高明的入侵者攻入系统后,通常会试图更改甚至销毁目标主机上易于暴露入侵行为的各种纪录。蜜网在确保不被入侵者发现诱骗的前提下,尽可能多地捕获攻击行为信息,包括黑客所有的按键纪录,CPU的使用率或者进程列表,使用过的各种协议数据包内容等,同时要注意充分保证捕获信息的完整和安全。防火墙在IP层纪录所有出入蜜网的连接,设计为允许所有进入的连接,但是对从Honeynet向Internet发起的连接进行跟踪,一旦Honeynet达到了规定的向外的连接数,防火墙将阻断任何后续的连接,并且及时向系统管理员发出警告信息;IDS在数据链路层对蜜网中的网络数据流进行监控,分析和抓取以便将来能够重现攻击行为,同时在发现可疑举动时报警。蜜罐主机除了使用操作系统自身提供的日志功能外,还可以利用第三方软件加强日志功能,并且传输到安全级别更高的远程日志服务器上备份。

    总结
    传统意义上讲,网络安全要做的工作主要是防御,防止自己负责的资源不会受到别人入侵,尽力保护自己的组织,检测防御中的失误,并采取相应的措施。这些安全措施都只能检测到已知类型的攻击和入侵。而蜜罐和蜜网的设计目的就是从现存的各种威胁中提取有用的信息,发现新型的攻击工具,确定攻击模式并研究攻击者的攻击动机,从而确定更好的对策。

 

 

Cowrie蜜罐部署实践

1.Cowrie简介它是一个具有中等交互的SSH蜜罐,安装在Linux中,它可以获取攻击者用于暴力破解的字典、输入的命令以及上传或下载的恶意文件。攻击者在上传恶意文件后,执行恶意文件的操作均会失败,所...
  • youjianzhou
  • youjianzhou
  • 2017年02月17日 10:31
  • 484

实战:阿里云服务器CentOS6.5下Tomcat网马WAR入侵解决

by-小世界http://redcisco.blog.163.com实战背景:  和几乎所有的入侵一样,攻击者对Tomcat的入侵也是从扫描开始的。现在网络上针对Tomcat的扫描工具如雨后春笋般冒出...
  • jgy8421d13
  • jgy8421d13
  • 2015年11月24日 11:13
  • 961

五大免费企业网络入侵检测工具(IDS)

转自:http://security.ctocio.com.cn/315/12540315.shtml         Sourcefire提供有供应商支持和即时更新的功能齐全的商业版本Sn...
  • fireblue1990
  • fireblue1990
  • 2016年03月06日 19:33
  • 1578

Mysql被黑客入侵及安全措施总结

今天登陆在腾讯云服务器上搭建的Mysql数据库,发现数据库被黑了,黑客提示十分明显。 Mysql中只剩下两个数据库,一个是`information_schema`,另一个是黑客创建的`PLEASE_R...
  • u012791490
  • u012791490
  • 2017年02月18日 14:43
  • 1212

IDS入侵检测系统(snort)刚出炉滴

IDS依照一定的安全策略,通过软件或者硬件,对网络、系统的运行状况进行监控,尽可能发现各种攻击企图、攻击行为和结果,以此保证网络系统资源的机密性、完整性和可靠性。一般来说IDS是作为防火墙的补充,处于...
  • quanliyadan
  • quanliyadan
  • 2013年10月12日 15:24
  • 3607

Java入侵检测系统(一)

这学期上了入侵检测实验,因为一开始就打算做这个包分析系统,结果拖延症再发,现在开始一边学php一边做入侵检测(为了保证进度,我会不定期更新文章督促自己)。Jpcap抓包类,看到一篇论文,讲的比较好运行...
  • irony0egoist
  • irony0egoist
  • 2017年04月27日 11:28
  • 303

防火墙与入侵检测知识整理 (一)

最近整理点防火墙和入侵检测系统的东西,记录在这里。 防火墙:是一种高级访问控制设备,置于不同的网络安全域之间的一些列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全策略控制(允许...
  • u013648937
  • u013648937
  • 2015年07月01日 20:13
  • 1151

解读黑客入侵数据库的六种途径

普通的黑客从进入到退出一次数据攻击只需用不到10秒钟时间就可完成,这个时间对于数据库管理员来说即使注意到入侵者都几乎不够。因此,在数据被损害很长时间之前,许多数据库攻击都没有被单位注意到。 令人奇怪...
  • yanzhibo
  • yanzhibo
  • 2014年01月25日 11:57
  • 4278

入侵检测系统概述

首先来说说这个入侵检测系统(IDS)的概念,IDS通过实时地收集和分析计算机网络或系统中的信息来检查是否出现违背安全策略的行为和是否存在入侵的迹象,进而达到提示入侵和预防攻击的目的。入侵检测系统是一种...
  • ShaoqunLiu
  • ShaoqunLiu
  • 2016年09月04日 14:55
  • 630

opencv程序十九:基于帧间差分法的区域目标入侵检测

运行程序在原图像上画个入侵检测的方框,有运动目标j
  • zhangjikuan
  • zhangjikuan
  • 2014年10月19日 15:34
  • 3869
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:【转】防黑阻击 入侵检测之蜜罐与蜜网(图)
举报原因:
原因补充:

(最多只允许输入30个字)