Niels Provos 和Thorsten Holz在他们的新书Virtual Honeypots(虚拟蜜罐)中告诉我们,一个Honeypot实际上就是监测我们会受到威胁的资源。
蜜罐能够获得非法使用的信息,网络攻击和检查到不为人熟知的缺陷。最近有一种新的蜜罐模式叫做虚拟蜜罐(Virtual Honeypots),它是在虚拟的环境中运行的,譬如说VMware。
以下就是与Network World的高级编辑Ellen Messmer ,Provos(他是google的高级工程师,并且在开发开源的蜜罐--- Honeyd作出了很大的贡献)和Holz(德国Honeynet计划的创始人,现在是曼海姆大学可靠分布系统实验室的研究生)关于构建虚拟蜜罐技术的讨论。
首先,什么是虚拟honeypot?
Provos:蜜罐技术能够用来跟踪僵尸网络或是收集恶意代码等等,有了虚拟的honeybot我们就可以远程操作。从网络的观点来看,虚拟honeypot看起来就像是实在的机器。你可以设计一个低交互的honeybot,它只是显示有选择的网络服务,或是在网络层次虚拟一个完全操作系统组成的一个高交互honeybot。
Holz:你可以利用honeybot保护你的网络中的客户机或是侦察到内部威胁。
虚拟honeypot需要特殊的工具吗?
Holz:你可以利用现有的工具,他们是在客户模式下运行的。
在你的书中,你介绍了一些最新的honeypot工具。例如,你提到了客户端honeypots技术,特别是由Kathy Wang 开发的侦察对Windows 客户攻击的HoneyClient(客户端蜜罐)技术。
Holz:你可以在www.honeyclient.org找到很多相关信息,那是一个计划。
其他一些工具包括Capture, Nepenthes and Honeyd。Nepenthes是效法German Honeynet Project中网络服务的缺陷,我们现在正与亚琛大学(University of Aachen)在这一问题上密切配合。在亚琛,我们利用它来保护网络,它是一个构建的安全堡垒。一些因特网服务的提供商正利用我们的技术来检测受感染用户的特征。
这本书中同样提到了Argos,它是由荷兰的阿姆斯特丹自由大学(Vrije Universiteit Amsterdam)开发的,那么Argos究竟是什么呢?
Provos:有了Argos之后,你可以检测到没有征兆的新的攻击形式。Argos利用信息流跟踪技术来发现发送到honeypot的信息最终是否影响到内部。
那么叫做Billy Goat的又是什么呢?
Holz:这种技术的基本思路就是模拟容易受到攻击的网络服务。Billy Goat是一款闭源工具,由IBM开发和分配。
你所提到的另外两种技术,Collapsar 和Potemkin Virtual Honeyfarm 是什么?
Provos: Collapsar来源于乌尔都语,思路就是分布因特网上的所有网络接点但是对它们进行集中分析。Potemkin Virtual Honeyfarm是加利福尼亚大学的研究者开发的,它提供了一个网络上的很多站点并且对站点有鲜明的描述,它是honeypots中的轻量级选手,叫做克隆honeypots。我不认为在这一点上它是开源的。
Honeywall是用来干什么的?
Holz:有了Honeywall之后,你就能够有效的减少风险。如果有骇客(cracker)威胁到了你的honeypot,你想利用那个honeypot来牵制他。那是一种防止外来攻击的入侵防御系统。
Google利用honeypot监视网络攻击吗?
Provos: 我不能谈关于Google的任何事情。
正如你在书中指出的,可能会产生法律上的问题——对于诱捕行动这一法律概念可能会被人提起——这样就有可能阻碍honeypots的使用,即使是用于保护的目的。
Provos: 我们不是律师,因此当你想使用的时候,请实现咨询你的律师。但是我们真心的希望有顶尖的律师关注这一问题。
现在看来好象没有太多的honeypot的商业化产品,也没有太多的人讨论这一技术。
Provos:许多反病毒公司都利用了honeypots技术。很多时候,人们不愿意花时间来讨论会引起轩然大波的已经存在的事物。即使你不想部署honeypot,在我们的书中你依然可以了解到僵尸网络和内部攻
蜜罐能够获得非法使用的信息,网络攻击和检查到不为人熟知的缺陷。最近有一种新的蜜罐模式叫做虚拟蜜罐(Virtual Honeypots),它是在虚拟的环境中运行的,譬如说VMware。
以下就是与Network World的高级编辑Ellen Messmer ,Provos(他是google的高级工程师,并且在开发开源的蜜罐--- Honeyd作出了很大的贡献)和Holz(德国Honeynet计划的创始人,现在是曼海姆大学可靠分布系统实验室的研究生)关于构建虚拟蜜罐技术的讨论。
首先,什么是虚拟honeypot?
Provos:蜜罐技术能够用来跟踪僵尸网络或是收集恶意代码等等,有了虚拟的honeybot我们就可以远程操作。从网络的观点来看,虚拟honeypot看起来就像是实在的机器。你可以设计一个低交互的honeybot,它只是显示有选择的网络服务,或是在网络层次虚拟一个完全操作系统组成的一个高交互honeybot。
Holz:你可以利用honeybot保护你的网络中的客户机或是侦察到内部威胁。
虚拟honeypot需要特殊的工具吗?
Holz:你可以利用现有的工具,他们是在客户模式下运行的。
在你的书中,你介绍了一些最新的honeypot工具。例如,你提到了客户端honeypots技术,特别是由Kathy Wang 开发的侦察对Windows 客户攻击的HoneyClient(客户端蜜罐)技术。
Holz:你可以在www.honeyclient.org找到很多相关信息,那是一个计划。
其他一些工具包括Capture, Nepenthes and Honeyd。Nepenthes是效法German Honeynet Project中网络服务的缺陷,我们现在正与亚琛大学(University of Aachen)在这一问题上密切配合。在亚琛,我们利用它来保护网络,它是一个构建的安全堡垒。一些因特网服务的提供商正利用我们的技术来检测受感染用户的特征。
这本书中同样提到了Argos,它是由荷兰的阿姆斯特丹自由大学(Vrije Universiteit Amsterdam)开发的,那么Argos究竟是什么呢?
Provos:有了Argos之后,你可以检测到没有征兆的新的攻击形式。Argos利用信息流跟踪技术来发现发送到honeypot的信息最终是否影响到内部。
那么叫做Billy Goat的又是什么呢?
Holz:这种技术的基本思路就是模拟容易受到攻击的网络服务。Billy Goat是一款闭源工具,由IBM开发和分配。
你所提到的另外两种技术,Collapsar 和Potemkin Virtual Honeyfarm 是什么?
Provos: Collapsar来源于乌尔都语,思路就是分布因特网上的所有网络接点但是对它们进行集中分析。Potemkin Virtual Honeyfarm是加利福尼亚大学的研究者开发的,它提供了一个网络上的很多站点并且对站点有鲜明的描述,它是honeypots中的轻量级选手,叫做克隆honeypots。我不认为在这一点上它是开源的。
Honeywall是用来干什么的?
Holz:有了Honeywall之后,你就能够有效的减少风险。如果有骇客(cracker)威胁到了你的honeypot,你想利用那个honeypot来牵制他。那是一种防止外来攻击的入侵防御系统。
Google利用honeypot监视网络攻击吗?
Provos: 我不能谈关于Google的任何事情。
正如你在书中指出的,可能会产生法律上的问题——对于诱捕行动这一法律概念可能会被人提起——这样就有可能阻碍honeypots的使用,即使是用于保护的目的。
Provos: 我们不是律师,因此当你想使用的时候,请实现咨询你的律师。但是我们真心的希望有顶尖的律师关注这一问题。
现在看来好象没有太多的honeypot的商业化产品,也没有太多的人讨论这一技术。
Provos:许多反病毒公司都利用了honeypots技术。很多时候,人们不愿意花时间来讨论会引起轩然大波的已经存在的事物。即使你不想部署honeypot,在我们的书中你依然可以了解到僵尸网络和内部攻
570
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
