蜜罐主机和欺骗网络优秀课件.ppt

《蜜罐主机和欺骗网络优秀课件.ppt》由会员分享，可在线阅读，更多相关《蜜罐主机和欺骗网络优秀课件.ppt（67页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、蜜罐主机和欺骗网络蜜罐主机和欺骗网络第1页，本讲稿共67页16.1 蜜罐主机蜜罐主机(Honeypot)16.1.1蜜罐主机基础术语“蜜罐主机”现在是随处可见，不同的厂商都声称他们可以提供蜜罐主机类产品。但到底什么是蜜罐主机，一直没有确切的定义。在此，我们把蜜罐主机定义为：蜜罐主机是一种资源，它被伪装成一个实际目标；蜜罐主机希望人们去攻击或入侵它；它的主要目的在于分散攻击者的注意力和收集与攻击和攻击者有关的信息。第2页，本讲稿共67页16.1.2蜜罐主机的价值正如前面所述，蜜罐主机不能直接解决任何网络安全问题，甚至于会引来更多的入侵者来进攻自己的网络。那么，蜜罐主机到底能给我们提供什么有用信息

2、？我们又如何利用这些信息？有两种类型的蜜罐主机：产品型(Production)蜜罐主机和研究型(Research)蜜罐主机。产品型蜜罐主机用于降低网络的安全风险；研究型蜜罐主机则用于收集尽可能多的信息。这些蜜罐主机不会为网络增加任何安全价值，但它们确实可以帮助我们明确黑客社团以及他们的攻击行为，以便更好地抵御安全威胁。第3页，本讲稿共67页蜜罐主机是专门用来被人入侵的一种资源。所有通过蜜罐主机的通信流量都被认为是可疑的，因为在蜜罐主机上不会运行额外的、会产生其它通信流量的系统。通常，进出蜜罐主机的通信都是非授权的，因此蜜罐主机所收集的信息也是我们所感兴趣的数据，而且这些信息不会掺杂有其它系统所

3、产生的额外通信数据，因此分析起来相对容易一些。它所收集的数据的价值相对较高。第4页，本讲稿共67页但是如果一台蜜罐主机没有被攻击，那么它就毫无意义。蜜罐主机通常位于网络的某点(SinglePoint)，因此它被攻击者发现的概率是很小的。蜜罐主机有可能增加额外的风险：入侵者有可能被整个网络所吸引或者蜜罐主机可能被攻陷。第5页，本讲稿共67页16.1.3部分蜜罐主机产品比较这一节对部分可用的产品和解决办法进行比较说明234。表16-1对几种常用蜜罐主机的关键要素进行比较。第6页，本讲稿共67页表16-1 蜜罐主机比较表主机关键要素ManTrapSpecterDTK交互程度高低中可扩展开放源码免费费

4、用高低中支持日志文件告警通知配置难容易中GUI图形界面第7页，本讲稿共67页上述各个蜜罐主机有各自的强项。Specter最容易配置和运行，这得益于它的图形化用户界面。它的价值并不很高，因为它不是真正的操作系统一级的，当然这也有助于降低安全风险。ManTrap和DTK这两种蜜罐主机的构造则是高度自定义的。它们的价值和风险都相对较高，因此它们的日常维护费用也较高。ManTrap相对于DTK的优势在于其图形化界面，因此配置、分析和管理起来相对容易一些。第8页，本讲稿共67页16.2 连累等级连累等级(Level of Involvement)蜜罐主机的一个重要特性就是连累等级。连累等级是指攻击者同蜜

5、罐主机所在的操作系统的交互程度。第9页，本讲稿共67页16.2.1低连累蜜罐主机一台典型的低连累蜜罐主机只提供某些伪装的服务。一种最基本的实现形式可以是程序在某一个特定端口侦听。例如，一条简单的命令“netcat-1-p80/1og/honeypot/port_80.log”，就可以侦听80号端口(HTTP)，并记录所有进入的通信到一个日志文件当中。当然这种方法无法实现复杂协议通信数据的捕获。例如由于没有对进入的请求进行应答，所以仅仅依赖一个初始SMTP握手数据包并不能获得太多有用信息。第10页，本讲稿共67页图16-1 低连累蜜罐主机第11页，本讲稿共67页在一个低连累蜜罐主机上，由于攻击者

6、并不与实际的操作系统打交道，从而可以大大降低蜜罐主机所带来的安全风险。不过这种蜜罐也有其缺点，那就是蜜罐无法看到攻击者同操作系统的交互过程。一个低连累蜜罐主机就如同一条单向连接，我们只能听，无法提出问题。这是一种被动式蜜罐，如图16-1所示。低连累蜜罐主机类似于一个被动的入侵检测系统，它们不对通信流进行修改或者同攻击者进行交互。如果进入的包匹配某种实现定义的模式，它们就会产生日志和告警信息。第12页，本讲稿共67页图16-2 中连累蜜罐主机同攻击者进行交互第13页，本讲稿共67页16.2.2中连累蜜罐主机中连累蜜罐主机(如图16-2所示)提供更多接口同底层的操作系统进行交互，伪装的后台服务程序

7、也要复杂一些，对其所提供的特定服务需要的知识也更多，同时风险也在增加。随着蜜罐主机复杂度的提升，攻击者发现其中的安全漏洞的机会也在增加，攻击者可以采取的攻击技术也相应更多。由于协议和服务众多，开发中连累蜜罐主机要更复杂和花费更多时间。必须特别注意的是，所有开发的伪装后台服务程序必须足够安全，不应该存在出现在实际服务中的漏洞。第14页，本讲稿共67页16.2.3高连累蜜罐主机高连累蜜罐主机如图16-3所示，由于高连累蜜罐主机与底层操作系统的交互是“实实在在”的，所以随着操作系统复杂性的提高，由蜜罐主机所带来的安全风险也不断增高。同时，蜜罐主机所能够收集到的信息越多，也就越容易吸引入侵者。黑客的目

8、标就是完全控制蜜罐主机，而高连累蜜罐主机也确实为黑客提供了这样的工作环境。此时，整个系统已经不能再被当作是安全的，虽然，蜜罐主机通常运行在一个受限制的虚拟环境中(所谓的沙箱或者VMWare5)，但入侵者总会有办法突破这个软件边界。第15页，本讲稿共67页由于高连累蜜罐主机的高安全风险，因而我们有必要对蜜罐一直进行监视，否则蜜罐主机本身可能成为另一个安全漏洞。因此，蜜罐主机可以访问的资源和范围必须受到一定的限制，对于进出蜜罐主机的通信流必须进行过滤，以防止成为黑客发动其它攻击的跳板。第16页，本讲稿共67页图16-3 高连累蜜罐主机第17页，本讲稿共67页由于高连累蜜罐主机给攻击者提供的是完整的

9、操作系统，攻击者不仅可以同蜜罐主机交互，还可以同操作系统交互，因此它可以成功入侵系统的概率也就很大。当然，我们从蜜罐主机获得的信息也就越多。表16-2对不同连累等级蜜罐主机的优缺点进行了比较。第18页，本讲稿共67页表16-2 各连累等级蜜罐的优缺点比较等级低中高交互等级低中高真实操作系统安全风险低中高信息收集按连接按请求全面希望被入侵运行所需知识低低高开发所需知识低高中高维护时间低低很高第19页，本讲稿共67页16.3 蜜罐主机的布置蜜罐主机的布置蜜罐主机对于其运行环境并没有太多限制，正如一台标准服务器一样，可以位于网络的任何位置，但对于不同的摆放位置有其不同的优缺点。第20页，本讲稿共67

10、页根据所需要的服务，蜜罐主机既可以放置于互联网中，也可以放置在内联网中。如果把密罐主机放置于内联网，那么对于检测内部网的攻击者会有一定的帮助。但是必须注意的是，一旦蜜罐主机被突破，它就像一把尖刀直插你的心脏，因此要尽量降低其运行等级。第21页，本讲稿共67页如果你更加关心互联网，那么蜜罐主机可以放置在另外的地方：防火墙外面(Internet)DMZ(非军事区)防火墙后面(Intranet)每种摆放方式都有各自的优缺点。如果把蜜罐主机放在防火墙外面(见图16-4中的位置(1)，那么对内部网络的安全风险不会有任何影响。这样就可以消除在防火墙后面出现一台失陷主机的可能性。第22页，本讲稿共67页图1

11、6-4 蜜罐主机的布置第23页，本讲稿共67页蜜罐主机有可能吸引和产生大量的不可预期的通信量，如端口扫描或网络攻击所导致的通信流。如果把蜜罐主机放在防火墙外面，这些事件就不会被防火墙记录或者导致内部入侵检测系统产生告警信息。对于防火墙或者入侵检测系统，以及任何其它资源来说，最大的好处莫过于在防火墙外面运行的蜜罐主机不会影响它们，不会给它们带来额外的安全威胁。缺点是外面的蜜罐主机无法定位内部攻击信息。第24页，本讲稿共67页特别是如果防火墙本身就限制内部通信流直接通向互联网的话，那么蜜罐主机基本上看不到内部网的通信流。因此把蜜罐主机放在DMZ(见图16-4中的位置(2)似乎是一种较好的解决方案，

12、但这必须首先保证DMZ内的其它服务器是安全的。大多数DMZ内的服务器只提供所必需的服务，也就是防火墙只允许与这些服务相关的通信经过，而蜜罐主机通常会伪装尽可能多的服务，因此，如何处理好这个矛盾是放置在DMZ内的密罐主机需要解决的关键问题所在。第25页，本讲稿共67页如果把蜜罐主机置于防火墙后面(见图16-4中的位置(3)，那么就有可能给内部网络引入新的安全威胁，特别是在蜜罐主机和内部网络之间没有额外的防火墙保护的情况下。正如前面所述的，蜜罐主机通常都提供大量的伪装服务，因此不可避免地必须修改防火墙的过滤规则，对进出内部网络的通信流和蜜罐主机的通信流加以区别对待。否则，一旦蜜罐主机失陷，那么整个

13、内部网络将完全暴露在攻击者面前。从互联网经由防火墙到达蜜罐主机的通信流是畅通无阻的，因此对于内部网中的蜜罐主机的安全性要求相对较高，特别是对高连累型蜜罐主机。第26页，本讲稿共67页最好的办法就是让蜜罐主机运行在自己的DMZ内，同其它网络的连接都用防火墙隔离，防火墙可以根据需要建立同互联网或内联网的连接。这种布置可以很好地解决对蜜罐主机的严格控制以及灵活的运行环境的矛盾，从而实现最高安全。第27页，本讲稿共67页16.4 欺骗网络欺骗网络(Honeynet)通常情况下，蜜罐主机会模拟某些常见的漏洞、其它操作系统或者是在某个系统上做了设置使其成为一台“牢笼”(Cage)主机。在物理上，蜜罐主机是

14、单台主机，要控制外出的通信流通常是不太可能的，它需要借助于防火墙等设备才能对通信流进行限制。第28页，本讲稿共67页这样便慢慢演化出一种更为复杂的欺骗网络环境，被称为欺骗网络(Honeynet)。一个典型的欺骗网络包含多台蜜罐主机以及防火墙(或网桥式防火墙)来限制和记录网络通信流，通常还会包含入侵检测系统，用以察看潜在的攻击，解码其中的网络通信信息。图16-5给出了不同的蜜罐主机和欺骗网络的拓扑结构图。第29页，本讲稿共67页图16-5 不同的蜜罐主机和欺骗网络的拓扑结构第30页，本讲稿共67页欺骗网络与传统意义上的蜜罐主机有两个最大的不同点：(1)一个欺骗网络是一个网络系统，而并非某台单一主

15、机。这一网络系统是隐藏在防火墙后面的，所有进出的数据都被监视、截获及控制。这些被截获的数据可以用于分析黑客团体使用的工具、方法及动机。在这个欺骗网络中，可以使用各种不同的操作系统及设备，如Solaris,Linux,WindowsNT,CiscoSwitch等等。这样建立的网络环境看上去会更加真实可信。第31页，本讲稿共67页同时，可在不同的系统平台上运行不同的服务，比如Linux的DNSServer，WindowsNT的Webserver或者一个Solaris的FTPServer。我们可以学习不同的工具以及不同的策略或许某些入侵者仅仅把目标锁定在几个特定的系统漏洞上，而这种多样化的系统配置，

16、就更能准确地勾勒出黑客团体的趋势和特征。第32页，本讲稿共67页(2)在欺骗网络中的所有系统都是标准的机器，上面运行的都是真实完整的操作系统及应用程序就像在互联网上找到的系统一样。它们不需要被刻意地模拟某种环境或者故意地使系统不安全。在欺骗网络里面找到的存在安全风险和漏洞的系统，与大多数互联网上的公司组织内的系统毫无区别，因而可以简单地把自己的产品放到欺骗网络中。第33页，本讲稿共67页通过在蜜罐主机之前设置防火墙，我们就可以控制进入和流出蜜罐主机的通信流，大大降低因为蜜罐主机所带来的额外安全风险，而且网络信息流的审计也变得相对容易。对所有蜜罐主机的审计可以通过集中管理方式来实现，所捕获的数据

17、也没有必要存放在各个蜜罐主机内，这样可确保这些数据的安全。第34页，本讲稿共67页欺骗网络的目的是对入侵者群体进行研究，因而就必须能够跟踪他们的举动。这就需要建立一个透明的环境，以使我们能够对欺骗网络里发生的任何事都有清楚的了解。传统的方法是对网络流量进行监控，但这里存在一个最大的问题：过大的数据量会使安全工程师疲于奔命。安全工程师必须从大量的数据中判断哪些是正常的流量，哪些是恶意的活动。一些如入侵检测系统和基于主机的检测及日志分析的工具、技术等会在很大程度上给我们带来帮助，但是数据过载、信息被破坏、未知的活动、伪造的日志等等都会为分析、检查带来困难。第35页，本讲稿共67页欺骗网络对此采用了

18、最简单的解决方式。我们的目的是研究系统被侵害的一些相关事件，而不是分析网络流量，因此可以假设认为，从外界对欺骗网络的访问，除去正常访问外，其它可能是一些扫描、探测及攻击的行为，而从系统内部对外界发起的连接，一般情况下，表明系统已被侵害了，入侵者正在利用它进行一些活动。这就使我们的分析活动相对简单化了。第36页，本讲稿共67页要成功地建立一个欺骗网络，需要解决两个问题：信息控制及信息捕获。信息控制代表了一种规则，你必须能够确定你的信息包能够发送到什么地方。其目的是，当欺骗网络里的蜜罐主机被入侵后，它不会被用来攻击欺骗网络以外的机器。信息捕获则是要抓到入侵者群体的所有流量，从他们的击键到他们发送的

19、信息包。只有这样，我们才能进一步分析他们使用的工具、策略及目的。第37页，本讲稿共67页16.4.1信息控制如上面所讲，信息控制是对入侵者的活动进行限制。在我们与入侵者进行智力上的较量时，总会冒一定的风险，但必须尽可能地降低这些风险。我们必须确保当系统失陷时，蜜罐主机不会对欺骗网络以外的系统产生任何危害。这里的最大挑战在于，我们对信息流的控制不能让入侵者引起怀疑。在入侵者突破系统之后，他们最需要的就是网络连接，以便从网络上下载他们的工具包、打开IRC连接等等，因而我们必须给他们做这些事情的权利这正是我们所想要分析的东西。第38页，本讲稿共67页因此，千万不要禁止任何往外发的包入侵者对此往往是非

20、常敏感的。所以我们需要做的是，允许他们做大部分的“合法”事情，但是对攻击其它系统的“需求”，比如发起拒绝服务攻击、对外部进行扫描以及利用程序攻击他人的行为，则一概禁止。欺骗网络应当能够截获进出网络的所有连接，因此，我们在欺骗网络前端放置一个防火墙，所有的信息包都必须通过防火墙。第39页，本讲稿共67页防火墙能够对网络中所有蜜罐主机往外发的每一个连接进行跟踪，当某蜜罐主机外发信息的数量达到我们预先设定的上限时，防火墙便会阻塞那些信息包。在保证机器不被滥用的前提下，应允许入侵者做尽可能多的他们想做的事。一般情况下，设定外发连接数为510是比较合适的，不会引起入侵者的怀疑。这样做就避免了蜜罐主机成为

21、入侵者的扫描、探测及攻击他人的系统。第40页，本讲稿共67页另外，在防火墙与欺骗网络之间还可放置一个路由器。之所以放置它，有下面两个原因：(1)路由器隐藏了防火墙。这种布局更像一个真实的网络环境，没人会注意到在路由器的外面还有一台防火墙。(2)路由器可以作为第二层访问控制设备，是防火墙的一个很好补充，可以确保蜜罐主机不会被用来攻击欺骗网络之外的机器。防火墙与路由器的配合使用可以在技术上十分完善地对外出的信息包进行过滤，也可以最大程度地让入侵者们做他们想做的事情而不致产生怀疑。第41页，本讲稿共67页16.4.2信息捕获数据捕获能够获得所有入侵者的行动记录，这些记录最终将帮助我们分析他们所使用的

22、工具、策略以及攻击的目的。我们的目的是在入侵者不发现的情况下，捕获尽可能多的数据信息。另外，捕获到的数据不能放在蜜罐主机上，否则很可能会被入侵者发现，从而令其得知该系统是一个陷阱平台。而这时，放置其上的数据可能会丢失或被销毁，因此需要把数据放在远程安全的主机上。第42页，本讲稿共67页因而，不能仅仅依靠单一的方法，而应采取多层的保护来使数据尽可能的完整和安全。信息捕获技术可分为基于主机的信息捕获技术和基于网络的信息捕获技术。1基于主机的信息捕获信息捕获工具可以分为两类：(a)产生信息流的工具(例如攻击者在蜜罐主机上的所有按键记录)；(b)可以帮助管理员获得系统信息或者蜜罐主机处于特定状态的信息

23、的工具(例如当前CPU的使用率或者进程列表)。第43页，本讲稿共67页当使用第一种工具时，最大的问题在于在什么地方存储这些数据，特别是没有采用虚拟环境时更加突出。一种可能是保存在蜜罐主机上，例如某个隐藏分区内。缺点是这些数据没法被管理员实时处理，除非实现某种查看机制，允许远程获得这些被记录的数据。另外一个问题在于有限的本地存储空间，导致无法采用冗长的、详尽的记录方式。入侵者对此也是心知肚明，他会想尽办法来操纵这个区域，不管是删除或者修改，还是缓存溢出，最终都将导致记录数据不可信。图16-6是不同信息记录方法的示意图。第44页，本讲稿共67页因此有关入侵的数据最好保存在安全的远程(意味着入侵者无

24、法访问到)主机内，这种方式的可信度相对要高些。当然，如果入侵者知道记录机制，那么入侵者就有可能伪造日志数据(或索性让日志进程停止工作)，但是只要数据离开蜜罐主机，就无法删除事件信息。第45页，本讲稿共67页图16-6 不同的信息记录方法第46页，本讲稿共67页1)Windows系统有人或许认为由于Windows系统存在大量的攻击方法，因此把它作为蜜罐主机是比较理想的，但事实上并非如此。Windows系统本身的系统结构使得它作为数据捕获设备相对很难(至少对基于主机的是这样)。第47页，本讲稿共67页直到今天，Windows操作系统的源代码仍未公开，因此要对操作系统进行修改是很难的事情，且任何日志

25、功能的增加都是在用户空间完成的，无法做到透明的实现，因此入侵者很容易发现蜜罐主机。把数据捕获机制作为可装载模块或许是一种比较好的解决办法。对于Windows系统的管理员来说，它能做的无非是记录运行的进程列表，周期性地检查事件日志和检查系统文件的完整性(用MD-5算法6)。第48页，本讲稿共67页2)UNIX类系统UNIX类操作系统可以为我们提供更多的数据捕获机制。几乎所有的系统部件都可以得到其源代码，从而可以修改这些源代码，把捕获机制集成到这些部件当中。但这也不是没有任何问题的。这些经过修改的源代码被编译后生成的可执行程序虽然很难被检查出来，但并不是没有可能。对于高明的入侵者来说，还是能区分出

26、来原版与补丁(Patched)后的版本之间的差异：第49页，本讲稿共67页MD-5校验和(MD-5Checksums)：如果入侵者拥有一个参考系统，那么他就可以拿它与蜜罐主机进行比较，从而发现其中的不同之处。例如入侵者可以对所有的标准系统文件计算其MD-5校验和。库依赖性检查(LibraryDependencyChecks)：即使入侵者不知道原始系统文件的确切结构，它也可以使用UNIX的“ldd”命令来检查一些奇异的共享库依赖性。例如，如果UNIX二进制程序“grep”(用于文本搜索)依赖某一个函数来同syslog后台服务程序通信，那么入侵者就会产生怀疑。一种可能的解决办法是使用静态链接库。第

27、50页，本讲稿共67页进程捆绑(TrussingProcesses)：在UNIX操作系统中，超级用户可以用“truss”或“strace”命令查看任何进程，特别是该进程所使用的系统调用。如果一个二进制程序，例如“grep”，突然开始同另外的进程(例如syslog后台程序)进行通信，那么入侵者就会知道被攻击的系统有问题。第51页，本讲稿共67页大多数的入侵者都会在被入侵的主机上安装所谓的工具箱(Rootkits)。这些工具箱包含了预编译好的系统程序，它们可以直接被拷贝到被入侵的主机上执行。因此，你原来在蜜罐主机上所做的系统修改就可能失效。解决办法之一就是对所有的系统程序进行补丁，这样总有一些系统

28、程序会被保留下来；另外一种办法就是修改系统内核，直接在内核里集成数据捕获能力。第52页，本讲稿共67页目前，很多的UNIX系统使用模块化内核，这样用户就可以在运行时向内核增加新的功能。这或许会给入侵者提供机会，增加某些特殊的对抗措施到内核当中，例如隐藏所安装的所有文件或进程。2基于网络的信息捕获基于主机的信息捕获通常都位于蜜罐主机内，因此也就更容易被检测和失效，而基于网络的信息捕获则是不可见的，这些工具只是分析网络流量，而不是修改它们。相应地，其安全性就更高；被检测到的概率也就更小。第53页，本讲稿共67页图16-7 欺骗网络拓扑结构第54页，本讲稿共67页第一重数据捕获是防火墙。我们可以对防

29、火墙进行配置来控制防火墙捕获我们想要的数据。例如防火墙可以记录所有的进入及外出欺骗网络的连接。我们不仅可以设定防火墙记录下所有的连接企图，而且还可以及时地发出警告信息。比如说，某人尝试Telnet到欺骗网络中的某台主机上，防火墙就会记录并且报警。这对跟踪端口扫描非常有效。另外，它还可以记录对后门及一些非常规端口的连接企图。多数的漏洞利用程序都会建立一个Shell或者打开某个端口等待外来的连接，而防火墙可以轻易地判断出对这些端口的连接企图并且报警。第55页，本讲稿共67页同样地，网络内部的蜜罐主机往外发起的连接，一样会被记录在案。当然，这些警告多数说明了有人对你的系统感兴趣，并且已经侵入你的系统

30、中。你可以通过一些如发送E-mail或者发送BP机短信等方法来对系统管理员进行告警提示。同样，我们还可以在防火墙上执行某些统计处理。第56页，本讲稿共67页第二重数据捕获是入侵检测系统。它有两个作用，首先也是最重要的就是它可以捕获系统中的所有举动；其次就是对网络中的信息流量进行监控、分析和记录。注意欺骗网络的拓扑图，其中的IDS在网络中的放置方式可以确保所有的主机都能监控到。IDS的第一个作用是能够抓出所有入侵者在网上的举动并记录下来。另外，它还能在发现一些可疑举动的时候发出警报。多数的IDS都有一个入侵特征库，当网络传输的信息包中的特征字串与该库中某一特定项目符合的时候，它就会发出告警的消息

31、。第57页，本讲稿共67页3主动信息捕获蜜罐主机的信息捕获大多是被动的，所收集的信息来自网络信息流或者机器本身的比特和字节，但信息捕获也可以是主动的。通过查询特定服务或者机器，有可能获得有关一个人，一个IP地址或者一次攻击的更多信息。不过这种信息查询尝试也有可能引起入侵者的注意。常见的、可利用的服务有：whois、网络通信指纹、端口扫描和finger和其中的某些方法可能被入侵者检测到，所要冒的风险相对较大。第58页，本讲稿共67页16.4.3欺骗网络维护及其风险欺骗网络并不是一个装好后就可以忘却的解决方案，它需要持续的维护及关注，才能发挥最大的作用这样才能在第一时间发现并对一些安全事件作出及时

32、的反应。通过实时地观察入侵者的举动，可以提升数据捕获及分析的能力。同样地，为了捕获到新的、有价值的数据，可能需要经常对可疑的网络事件进行深度分析。这需要很长的时间及熟练的分析能力。举例说，一个入侵者在你的欺骗网络上花了30分钟进行攻击，但你却必须花费3040小时来分析它。第59页，本讲稿共67页同样，你还必须维持这个欺骗网络的正常运行，任何的误操作都可能导致一些致命的错误，可能会令欺骗网络无法正确运行。比如说，“报警”进程丢掉了，磁盘空间满了，IDS的特征字串不够新，系统配置文件可能出现损坏，日志文件需要查看，需要对防火墙进行补丁升级工作等等。这里说的只是整个欺骗网络的一部分，还有很多工作需要

33、做。第60页，本讲稿共67页在真正实现欺骗网络的时候，还可能有一些比较棘手的问题，比如，为了让入侵者群体能够入侵，就得把机器接入网络，这时我们就暴露于互联网上了。最终，入侵者们会成为你机器上的root，此时，你必须确保自己的机器及带宽不会成为进攻他人的工具，而且，很重要的是，当我们使用这一工具的时候，总有可能犯下各种错误最终导致的结果将是很严重的，所以必须用多种方法来降低风险。第61页，本讲稿共67页入侵者们很有可能通过各种方式手段，开发一些工具来逃避我们的监视，所以我们还必须经常性地检查或者改进我们设定的环境，以确保它仍然是有效的。千万不要低估入侵者们的创造力我们使用防火墙、路由器及其它一切

34、技术都只能对降低风险提供一定程度的帮助，但，风险永远是存在的！以下是几种我们必须注意的风险：蜜罐主机被入侵者接管。这说明设计上存在缺陷。失去对蜜罐主机的控制。我们必须确保管理员在最坏的情况下还可以控制蜜罐主机或欺骗网络。第62页，本讲稿共67页对第三方产生负面影响。必须存在一种机制能够控制外出的数据包，比如可以利用防火墙：(a)限制IP包的发送数率；(b)限制TCPSYN包的通过速率；(c)对TCP的连接数进行限制；(d)随机丢弃某些IP包。当然，利用入侵检测系统也可以实现数据包的过滤，Hogwash(http:/ 总总 结结蜜罐主机和欺骗网络可以获取入侵者团体的智慧、使用的工具、方法、策略及他们的动机等信息。利用这些信息可以有效地帮助我们增强网络的安全性，提高安全事故的反应能力。第67页，本讲稿共67页