一个成功的防护措施,可以拖延攻击者,同时能给防御者提供足够的信息来了解黑客,将攻击造成的损失降至最低。网络安全防御者通过提供虚假信息,迫使攻击者浪费时间做无益的进攻,以减弱后续的入侵力量; 同时,还可获得攻击者手法和动机等相关信息,这些信息日后可用来强化现有的安全措施,例如防火墙规则和配置等。网络陷阱技术就是基于这一思路设计和开发的。
" |+ o0 ~0 L# s
6 |2 s- @: D* o2 E
+ M9 w! z0 p7 F( ], R/ |+ |
9 M" c7 j, o/ A# C
设置陷阱
) z; J4 z* ^; R' d; m, r2 I+ X# n' A* X' S9 S" ~" v
3 A. s- B: e) t. S3 }! L+ G3 V1 N9 |( z
网络陷阱技术主要包括: 伪装技术(系统伪装、服务伪装等)、诱骗技术、引入技术、信息控制技术(防止攻击者通过陷阱实现跳转攻击)、数据捕获技术(用于获取并记录相关攻击信息)及数据统计和分析技术等。
6 l) G5 g4 f7 ^. z& N) N0 S) h6 I# T# M1 X4 n2 G. k
3 E# v$ d3 q" I
& g9 L( |: z9 M8 b
网络陷阱和诱骗系统是一个主动防御体系。它是由放置在网络中的若干陷阱机、主动引入模块(完成与放火墙、入侵检测系统的联动功能)以及一个远程管理控制台组成。这些分布在网络中的陷阱机与防火墙、IDS等安全产品联动,可以形成一个联合的安全防御体系,实现提高网络安全性的目的,如附图所示。其中,每个陷阱机就是一台欺骗主机,它能够对受保护机进行模拟,包括操作系统类型、系统和应用服务等。另外它还具有强大的
日志记录功能,能够对入侵过程进行详细的记录和监视,在必要的情况下,对入侵者进行跟踪。
' w& x+ r0 a' `+ H& z4 i, F
3 I/ b$ s. W6 ?' ?* P8 T
9 N- a; u p/ U- q% a2 t
+ b7 D# Y3 Z: B
" D) t7 k( [2 i N" y: X
, [! G6 h2 C2 w/ B' P) S1 Q1 _6 Q8 s3 J3 }
8 ~# U7 W' P' o0 [/ |# r
管理控制台是一台远程主机,可以对网络中所有的陷阱机进行远程控制和监视,能够接收从陷阱机发送过来的入侵日志并根据入侵的不同程度提出警报。同时具有强大的分析功能,根据接收到的入侵日志对黑客的行为、特点等进行详细分析。同时,由于黑客进入的是陷阱机,不会对网络造成威胁。
# o$ A- v1 F' }
4 d S8 a( R" E% {
' m! S. B R: @: u- \$ @# i' E
在陷阱网络诱骗机制和主动引入的作用下,黑客的入侵行为被引入到一个安全、可控的模拟环境,消耗黑客的时间,了解其使用的技术和攻击方法,记录黑客来源和犯罪证据,从而有效地防范黑客入侵,打击计算机犯罪。
, N. }# V8 b) \3 N
3 \% l& T8 y& F6 V9 R3 k$ r/ V# v$ y, {, H, E
1 Y# J# M4 N" m; K7 f3 W 网络陷阱与诱骗系统适用于各种规格的局域网,在网络防火墙、入侵检测系统等其他安全措施的配合下,能弥补原有安全防御的不足,大大地提升网络安全防护性能。
4 T, e- _9 i9 k. P$ E2 F' G% v
- L8 \9 ?* i& ]" I' X5 P3 u& z
! Y6 i( w. F& C" I7 u' |" _9 b4 L4 Q* j9 S# | z
一个成熟的网络陷阱一般要求能满足以下功能:
, C# L! A+ z& }5 i) M3 `) V
3 g! }, \) U4 E4 Y! b1 v) B* x! V# @/ Z
C5 v# l. o+ W( Q7 K) r
■ 能检测攻击类型: ICMP(控制报文协议)、CGI(通用网关接口)、FTP、Telnet、端口扫描、用户账号、服务扫描、操作系统扫描、清除日志等;
4 C4 G5 n; p. ?. J' s
8 p( D. C ?& t% C8 q7 g
; F1 s6 g7 ~# Y1 Y8 o' W" w2 r
. Y6 b) g; {5 P
■ 具备IP空间欺骗技术: 能够实现IP空间欺骗;
7 |2 K" c( y' J
3 p* w- }9 c9 p% J1 c0 \5 O9 z
3 Y7 H( w5 C" j9 s' @! `
. P! t5 B; {7 X; s# o2 d, t) [ ■ 包含网络流量仿真软件: 能够模拟正常服务的网络流量;
9 n) L2 D! D2 x# a2 r [1 w
/ U3 U" |+ i6 c4 Y# ?
9 t' P$ F Z; L
7 ], K2 o% }0 H8 G. _3 ? ■ 自动阻断功能: 外出连接数目达到设定阀值后,连接控制能够自动阻断连接;
( D- ?9 R& q9 y9 z$ x
# R1 `! ?1 y6 P0 z! n
! F0 e5 g5 U6 u: w; z3 n' O4 D* L J* m
■ 路由控制功能: 路由控制能够阻止黑客利用陷阱系统向其他系统发送伪造的IP地址包;
5 S3 e! U7 b, ]8 U( g! G
8 z" a$ h; I: ^+ w( f* L$ a2 j5 {
! G% k0 y: f% s5 \0 _) i' K" b
: C) d% l/ ^$ \0 A! S/ m2 s, _9 P' F ■ 数据捕获功能: 数据捕获能够记录进入和流出陷阱系统的连接并显示攻击者在陷阱主机中的操作;
: R% d J8 B6 j& S- ]3 _+ j2 A
' M* m0 _6 r' f
* E) s4 \6 M, V. o4 M* Z& @: D& o3 E! J& Q+ h$ W+ }
■ 日志记录功能: 能够对入侵者在陷阱主机中的操作信息进行远程日志记录。
, O, f( ?! Z/ N
' q! v8 k! W1 j1 w, W1 C( `
国内外发展状况 6 z' n2 U" z7 A& Y% R3 W7 V
2 S6 k- B6 A1 B' X1 X
4 K, V3 @6 Y4 J S- o: n0 K7 x
3 j8 @7 S, W$ d! p5 w 国外,有许多安全欺骗系统被用来研究黑客技术和统计黑客行为规律,被称为密罐。比较有名的如Honey Net,它属于一种研究类型的安全陷阱。在商业产品
) H9 ^, a& E, Q) T H0 |2 X Z0 H# G+ L {9 k
领域的安全欺骗系统不多,但是,近两年有逐渐增多的趋势,其产品功能也向完善化发展。如Recourse公司的Man Trap,它的使用对象是一般的商业公司、企业,并具备了当前网络安全欺骗系统的一切性能。配合它的另一个产品是Man Hunt,增加了对入侵者进行跟踪的功能。另外,在国外市场中其他商业产品还有Homemade Honypot、Specter等,但其版本还在发展。下面列举一些目前国外
流行的陷阱网络产品:
3 e. W# {0 L, H* r! v, c+ y j% G+ o5 Q0 F" y3 u
- O0 ]5 l5 t9 a
* V( @# ^% I9 ?( V( H4 j7 c ■ Spector是由NetSec公司开发的一种比较简单的业务类型陷阱, 它简单、代价小、易于维护, 运行于Windows平台。Spector提供了7个完整的模拟服务, 6个预设陷阱和1个可定制陷阱, 可以检测来自13个预定义端口和1个自定义端口的攻击, 具有自动捕获攻击者活动的能力, 所有连接的IP地址、时间、服务类型和引擎的状态等信息都记录在远程主机上。
% K1 v H+ d7 [3 J2 Q7 h1 S
8 W# c8 G: G( ?2 }+ i$ g( J* X% S/ I% w& g7 m1 C
9 P+ P1 @3 ~" z5 l' W/ @ ■ Man Trap(捕人陷阱) 是由Recource公司开发的一个比较高级的业务型密罐,运行于Solaris操作系统上。它不是简单地模拟一些服务, 而是在Man Trap主机上提供了4个逻辑上的操作系统环境。每一个这样的环境都如同一个独立运行的操作系统, 这些逻辑上的操作系统环境被称为牢笼。每个牢笼在功能上可以是独立的, 也可以相互关联。
. q, `% f4 ]3 x* b) a6 E g: V+ @( [7 i& E# [7 s# f
" H! ?: N: `5 C* N2 `9 n7 e
3 _3 {, }, S$ W5 T
■ Honeyd是由Niels Provos创建的一种功能强大的具有开放源代码的陷阱, 运行在Unix系统上, 可以同时模仿上千种不同的计算机, 同时呈现上千个不同的IP地址。Honeyd主要用于攻击检测, 它对那些没有使用的IP地址进行监控。
( l* T' V R! z- h* n2 E
/ |5 y9 `, n6 L/ o2 |) p% V
# ]& t, R6 @* N, @8 |$ a3 x/ B
' ?" i2 ?- Y- \) S V% i8 i" b6 j ■ Honeynet是高交互研究型密罐。它给予黑客完整真实的操作系统和应用服务交互。
/ K: S* ^( T" w
0 V3 M z* l; ]* e3 k% A1 j1 T$ @+ s! j9 r0 t( C& K2 X6 a- {; g1 e% N
/ e# y9 f# ~, f7 z
国内,目前中科院高能物理所、浙江大学、安徽大学等科研机构和大学对网络陷阱与诱骗系统进行了研究,获得了一定的成果。但是目前国内还没有具有网络陷阱与诱骗功能的商业产品,一些网络主动防御功能也在预研阶段。
3 i9 A" w3 a6 l6 P
' ^ v: M; c1 }, g3 a
) ^. m# F' B5 T
5 T1 K7 n3 _7 Y/ t2 D
关键技术和难点
0 i/ p4 F5 ?0 [; V5 s" N
4 Y. A& T7 N7 S, P% }+ f
9 P# i6 ?9 z) e: a7 c( b$ }" [$ ?# y5 N- P j
网络陷阱和诱骗系统存在如下几个方面的关键技术和难点:
1 O. G9 R) w: \7 H
: k5 {' [ A$ D; _5 R7 p
# y- v$ u, r+ @& k$ R" C/ z( U Y4 p
■ 仿真技术: 正常服务器中发现攻击后,如何将整个环境在陷阱机中进行重建, 而不会产生失真和大的时间延迟是个难点。
2 X6 |8 {& A; f4 f: \7 V( j
* L$ k$ H: H6 J* c
$ x- I4 ^5 K2 v6 s* R( x
2 k* v r" i# y
■ 陷阱系统的监控能力: 系统级监控必须支持实时监控和反应能力。
# X* t' q# F% ~2 x$ R' ^8 N
8 v( ^0 _% a$ K0 t4 k5 c
0 l" r; G! C: U( |* K% B$ I6 ]+ v5 s5 `4 i1 q! N5 k1 ?
■ 自有日志的可靠性: 由于事件日志能作为证据,因此,日志的保密性、真实性和完整性及可靠性的保障特别重要。
* j! [+ B3 e" k$ p: n3 y- K" h% g8 s/ [& m! x1 o8 D3 Y
. w, G9 v7 s+ w# g: ]7 o
% Z, l' d* a0 i& i& u( g1 D* C ■ 信息捕获手段的研究和更新: 入侵者们不断地开发出各种工具来对抗现有的监测技术,如
ug Song开发的 Fragrouter (将包分片重组)、RainForest Puppy开发的 Whisker(扫描工具通过对数据的分片重组绕开IDS)、K2发表的ADMmutate(可绕过现有大多数IDS的检测)、AntiIDS及加密等,这些手段对信息捕获会有很大影响。
# K' F4 g4 [7 ?/ q( {$ ~4 E1 U) x3 E& U# `( H+ @! @# @: U$ W& g
- ^, U5 V# {: @0 ?7 O0 h0 C6 l
5 |- N4 ~9 }" k% o ■ 与防火墙/IDS间互动功能的实现: 只有防火墙、IDS、陷阱网络之间能够有机地结合并形成一个联动整体,才能更有效地发挥防护功能。
( @; G# Z1 O7 B8 b2 k4 o3 X' t* H0 J+ w( X# B
: [& ~, r. ?& G/ P( V" O: ^9 N( U+ O+ x( n, A7 }. Q
风险是永远存在的,只要经常性地检查或者改进设定的陷阱网络环境,确保它的有效性,再结合多种被动防御系统,相信一个安全的健壮的网络系统将会离我们不远。
