23、反蜜罐技术及防御策略解析

反蜜罐技术及防御策略解析

1. 两阶段侦察蠕虫

蠕虫传播存在一定时间延迟，这使得部分受感染主机在下载主程序前可能被清理，从而无法加入僵尸网络。不过，这对僵尸网络影响不大，因为僵尸网络控制者并不在意网络中是否包含会被安全防护者迅速清除的僵尸程序。

两阶段传播蠕虫并非新思路，像Blaster蠕虫和Sasser蠕虫在攻破远程易受攻击主机后，就利用基本的FTP服务传输蠕虫主代码。这里介绍的两阶段侦察蠕虫，通过在第一阶段攻击代码中加入蜜罐检测功能，可视为高级的两阶段蠕虫。

上述侦察蠕虫需要单独的程序来获取完整的僵尸程序代码，这可能会带来问题，比如原始主机A可能无法被其他主机访问，或者当主机B尝试获取主程序代码时，主机A的IP地址已改变。为解决此问题，蠕虫可将主程序代码与先锋代码结合，一开始先停用并可能加密主程序代码。先锋代码验证主机不是蜜罐后，再解包并执行主程序代码。但这种方法的一个缺点是，即使蜜罐无法加入僵尸网络，蜜罐防御者也能轻易获取主程序代码。

2. 利用探测响应攻击映射互联网传感器

随着互联网传感器作为监测网络流量工具的广泛应用，可通过公开报告统计数据的网络来确定传感器位置。为此提出了一种新的“探测响应”攻击技术，并进行了多项优化，用于定位当前部署的互联网传感器网络中的传感器。以SANS互联网风暴中心（ISC）为例，展示了如何利用传感器分析中心发布的数据来定位其传感器，进而发起攻击。

这种攻击的核心思想是：对IP地址进行探测，若该地址在被监测范围内，其活动会被报告给ISC，然后检查网络发布的报告，看活动是否被记录。若活动被报告，说明被探测主机正在向ISC提交日志。由于大多数报告显示的是尝试与被阻止端口建立TCP连接（这