HONEYPOT（蜜罐）技术

 

作者：四川大学电子信息学院　刘松　　wlb015@163.com

什么是蜜罐 
     蜜罐(Honeypot)是一种在互联网上运行的计算
 机系统。它是专门为吸引并诱骗那些试图非法闯
 入他人计算机系统的人(如电脑黑客)而设计的，蜜
 罐系统是一个包含漏洞的诱骗系统，它通过模拟
 一个或多个易受攻击的主机，给攻击者提供一个
 容易攻击的目标。由于蜜罐并没有向外界提供真
 正有价值的服务，因此所有对蜜罐尝试都被视为
 可疑的。蜜罐的另一个用途是拖延攻击者对真正
 目标的攻击，让攻击者在蜜罐上浪费时间。简单
 点一说：蜜罐就是诱捕攻击者的一个陷阱。

Honeypot的特点

(1) 它不是一个单一的系统,而是一个网络,是
 一种高度相

互作用的Honeypot ,装有多个系统和应用软
 件。

(2) 所有放置在Honeynet 内的系统都是标准
 的产品系统,

即真实的系统和应用软件都不是仿效的。

Honeypot分类

 可以有多种方法对其进行分类：根据蜜罐
 的设计目的不同，可以分为产品型蜜罐和
 研究型蜜罐二种；根据蜜罐的工作方式不
 同可以分为牺牲型蜜罐和外观型蜜罐二
 种。

                     蜜罐的主要技术

蜜罐的主要技术有网络欺骗，端口重定向，报警，数据控制
  和数据捕获等。
1．网络欺骗技术：

为了使蜜罐对入侵者更有吸引力，就要采用各种欺骗手段。
  例如在欺骗主机上模拟一些操作系统一些网络攻击者最"喜
  欢"的端口和各种认为有入侵可能的漏洞。
2．端口重定向技术： 

 端口重定向技术，可以在工作系统中模拟一个非工作服务。
  例如我们正常使用WEB服务（80），而用TELNET（23）和FTP
  （21）重定向到蜜罐系统中，而实际上这两个服务是没有开
  启的，而攻击者扫描时则发现这两个端口是开放的，而实际
  上两个端口是HONEYPOT虚拟出来的，对其服务器而不产生危
  害性。

3．攻击（入侵）报警和数据控制

 蜜罐系统本身就可以模拟成一个操作系统，我们可以把其
  本身设定成为易攻破的一台主机，也就是开放一些端口和
  弱口令之类的，并设定出相应的回应程序，如在LINUX中的
  SHELL，和FTP程序，当攻击者"入侵"进入系统（这里所
  指是HONEYPOT虚拟出来的系统）后，当进入后就相当于攻
  击者进入一个设定"陷阱"，那么攻击者所做一切都在其
  监视之中：如TELNET密码暴力破解，添加新用户，权限提升，
  删除添加文件，还可以给入侵者一个网络连接让其可以进
  行网络传输，并可以作为跳板
4．数据的捕获技术

在攻击者入侵的同时，蜜罐系统将记录攻击者输入输出信
  息，键盘记录信息，屏幕信息，以及攻击者曾使用过的工
  具，并分析攻击者所要进行的下一步。捕获的数据不能放
  在加有HONEYPOT的主机上，因为有可能被攻击者发现，从
  而使其觉察到这是一个"陷阱"而提早退出

 举例说明:

 图1
  典型的Sebek部署。客户端模块安装在蜜罐（蓝
  色）里，蜜罐里攻击者行为被捕获后发送到网络
  （对攻击者是不可见的）并且由Honey wall网关被
  动的收集。

                    Tiny Honeypot介绍 
Tiny Honeypot 是由George Bakos最初编写,Tiny Honeypot最出色的一点就是系
 统容易受到攻击,不用担心电脑黑客和电脑高手们不能入侵,一般会成功的,Tiny
 Honeypot具有很好的收集那些坏家伙(入侵者) 入侵的信息和信息保存机制。

Tiny Honeypot安装: 
首先要下载thp-0.4.6.tar.gz程序然后执行下列命令: 
cd /usr/local                                                #切换目录到/usr/local 
zcat thp-0.4.6.tar.gz | tar -xvf -                          #解压gz文件 
ln -s thp-0.4.6.tar.gz thp                                  #建立软链接 
mkdir /var/log/hpot                                         #新建目录
chown nobody:nobody /var/log/hpot                           #设定目录权限 
chmod 700 /var/log/hpot                                     #修改查看日志权限 
cp ./thp/xinetd.d/* /etc/xinetd.d 
edit xinetd files to change to :"disable = no"            #修改参数(后面详解) 
                                               #make any path & preferences 
                                                 adjustements in thp.conf & iptables.rules 
./thp/iptables.rules                           #修改规则 
/etc/rc.d/init.d/portmap start                 #启动portmap 
pmap_set < ./thp/fakerpc 
/etc/rc.d/init.d/xinetd start                    #启动xinetd

 配置过程:

 1 .建议在ROOT用户上进行安装，"chmod 700 /var/log/hpot"修改
  访问日志的权限，使只有ROOT才能对其进行访问

 2.edit xinetd files to change to :"disable = no"

 3../thp/iptables.rules 编译iptables.rules访问规则,注意修改其
  ip_forward环境变量为"". 0

4.对honeypot进行网络配置

      对 Honeypot进行网络及环境变量配置，如IP地址，
  允许正常使用的端口，Honeypot重定向的端口以久虚拟的
  网络服务，如正常使用80端口进行WWW服务，21,23端口
  进行虚拟，Honeypot可以虚拟出许多的服务，如FTP服
  务，WWW服务，远程SHELL，SMTP服务等，在这里就不
  一一细说了。
  配置实例

实例对Thp的配置

入侵检测实例应用:

启动Honeypot

现有一台主机对其虚拟主机（Honeypot A）进行分析及入侵检测:

 

入侵者通过远程对Honeypot A进行23端口shell连接并远程执行shell命令
                                              ,

入侵者通过远程对Honeypot A进行21端口Ftp连接并执行命令
                                         ,

接下由于我设定的为多用户模式，故可以进行实时检测，打开
 /var/log/thp后查看日志文件(注意要具有ROOT用户权限)

对入侵主机进行入侵分析,从日志中可以查看入侵者曾进行的命令和正
 在执行的命令.

我们已经一步步的完成使用Linux系统
 Honeynet的构建和配置，这个配置包含了多
 个Honeynet新技术，但是必须注意的是信息
 安全的更新飞速,Honeypot的技术仍不完善,
 还需要在新的条件不断的发展和完善!