第15章-蜜罐主机和蜜罐网络-网络攻防原理与实践课件.ppt

《第15章-蜜罐主机和蜜罐网络-网络攻防原理与实践课件.ppt》由会员分享，可在线阅读，更多相关《第15章-蜜罐主机和蜜罐网络-网络攻防原理与实践课件.ppt（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第1515章章 蜜罐主机和蜜罐网络蜜罐主机和蜜罐网络高等教育出版社本章要点 2.2.蜜罐的实现技术蜜罐的实现技术 1.1.蜜罐概述蜜罐概述 3.3.蜜罐主机的部署蜜罐主机的部署 4.4.蜜罐网络蜜罐网络网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社蜜罐的基本概念蜜罐的基本概念v蜜罐是一种安全资源，它的价值就在于被扫描、蜜罐是一种安全资源，它的价值就在于被扫描、攻击和攻陷，并对这些攻击活动进行监视、检测攻击和攻陷，并对这些攻击活动进行监视、检测和分析。和分析。v设计蜜罐的初衷是为吸引那些试图非法入侵他人设计蜜罐的初衷是为吸引那些试图非法入侵他人计算机系统的人，借此收集证据，同时隐

2、藏真实计算机系统的人，借此收集证据，同时隐藏真实的服务器地址。的服务器地址。v蜜罐具有发现攻击、产生警告、记录攻击信息、蜜罐具有发现攻击、产生警告、记录攻击信息、欺骗、调查取证等功能。欺骗、调查取证等功能。v蜜罐最大的优势在于它能主动地检测和响应网络蜜罐最大的优势在于它能主动地检测和响应网络入侵和攻击，并且采集的信息价值高。入侵和攻击，并且采集的信息价值高。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社蜜罐的分类蜜罐的分类v按价值体现分类按价值体现分类n欺骗型蜜罐n纯粹的以欺骗性目的存在的蜜罐系统，通过伪装成攻击目标，从而转移攻击者的注意力，同时通过报警等各种附加机制对攻击进行响

3、应。n威慑型蜜罐n对攻击者产生心理上的威吓及迷惑作用的蜜罐系统，其主要职责就是告诉攻击者自己是个蜜罐系统，这样可以形成一定的阻吓作用，减弱攻击者的攻击意图。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社蜜罐的分类蜜罐的分类v按交互级别分类按交互级别分类 n低交互度蜜罐n一个低交互度的蜜罐很容易安装和部署，并只能对少量服务进行模拟。n低交互度蜜罐的主要价值在于检测，具体说来就是对未授权扫描或者未授权连接尝试的检测。n中交互度蜜罐n中交互度的蜜罐能够预期一些活动，并且旨在可以给出一些低交互度蜜罐所无法给予的响应。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社蜜罐的分类蜜

4、罐的分类n高交互度蜜罐n高交互度的蜜罐可以提供大量关于攻击者的信息，目的是为攻击者提供对实际操作系统的访问权，在这种环境下没有任何东西是模拟的或者受限的。nHoneynet蜜网n不仅为攻击者提供了完整的操作系统进行攻击和交互，而且还提供了多个蜜罐。nHoneynet的复杂性在于对往来于蜜罐的所有活动既进行控制又加以捕获的控制网络的构建。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社蜜罐的优点蜜罐的优点v数据价值数据价值n蜜罐通常只会收集少量的数据，但这些数据却具有极高的价值。n蜜罐能以一种快捷而易懂的格式提供所需的精确信息，简化了分析，提高了响应速度。v资源资源n蜜罐只会对少量活

5、动进行捕获和监视，所以在它们身上通常不会发生资源枯竭问题。n蜜罐只会捕获那些直接针对其本身的活动，因此系统并不会受到流量的震荡。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社蜜罐的缺点 v视野有限视野有限n蜜罐只能看到何种活动是直接针对它们自身的，而漏掉周围的事件。v指纹识别指纹识别n指纹识别指的是由于蜜罐具备一些特定的预期特征或者行为，因而能够被攻击者识别出其真实身份的情况。v风险风险n一旦一个蜜罐遭受了攻击，就可以被用于攻击、渗透，甚至危害其他的系统或者组织。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社蜜罐的伪装蜜罐的伪装v采用真实系统作蜜罐，能提供黑客与系统

6、的交互能力，采用真实系统作蜜罐，能提供黑客与系统的交互能力，伪装程度明显提高。伪装程度明显提高。v还要对这些真实系统进行配置，最为逼真的配置办法是还要对这些真实系统进行配置，最为逼真的配置办法是把一个修改过敏感信息的工作系统的内容直接拷贝到蜜把一个修改过敏感信息的工作系统的内容直接拷贝到蜜罐上。罐上。v目前蜜罐的主要网络欺骗技术有：目前蜜罐的主要网络欺骗技术有：n模拟端口n模拟系统漏洞和应用服务nIP空间欺骗n流量仿真n网络动态配置n组织信息欺骗n网络服务n蜜罐主机网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社基于主机的信息收集v记录数据流记录数据流n将攻击者的信息存放在一个安全

7、的、远程的地方。n以通过串行设备、并行设备、USB或Firewire技术和网络接口将连续数据存储到远程日志服务器。v“Peeking”Peeking”机制机制nMD-5检验和检查：如果攻击者有一个和蜜罐对比的参照系统，就会计算所有标准的系统二进制文件的MD-5校验和来测试蜜罐。n库的依赖性和进程相关性检查：即使攻击者不知道原始二进制系统的确切结构，仍然能应用特定程序观察共享库的依赖性和进程的相关性。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社主动的信息收集v信息也可以主动获得，使用第三方的机器或服务信息也可以主动获得，使用第三方的机器或服务甚至直接针对攻击者反探测甚至直接针对攻

8、击者反探测n如Whois，Portscan等。v这种方式很危险，容易被攻击者察觉并离开蜜罐，这种方式很危险，容易被攻击者察觉并离开蜜罐，而且不是蜜罐所研究的主要范畴。而且不是蜜罐所研究的主要范畴。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社风险控制风险控制v在运行蜜罐时，将存在的风险分为三个方面：在运行蜜罐时，将存在的风险分为三个方面：n未发现黑客对蜜罐的接管n蜜罐被黑客控制并接管是非常严重的，这样的蜜罐已毫无意义且充满危险。n对蜜罐失去控制n一个优秀的蜜罐应该可以随时安全地终止进出蜜罐的任何通信，随时备份系统状态以备以后分析。要做到即使蜜罐被完全攻陷，也仍在控制之中。n对第三

9、方的损害n攻击者可能利用蜜罐去攻击第三方，如把蜜罐作为跳板攻击其他系统。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社蜜罐主机的部署v根据所需要的服务，蜜罐主机既可以放置于互联根据所需要的服务，蜜罐主机既可以放置于互联网中，也可以放置在内联网中。网中，也可以放置在内联网中。v如果你更加关心互联网，那么蜜罐主机可以放置如果你更加关心互联网，那么蜜罐主机可以放置在另外的地方：在另外的地方：n防火墙外面(Internet)nDMZ(非军事区)n防火墙后面(Intranet)网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社蜜罐主机的部署网网络攻防原理攻防原理与与实践践高等教育

10、出版社高等教育出版社防火墙前v将蜜罐系统置于防火墙前的位置将蜜罐系统置于防火墙前的位置(1)(1)，不用调整防，不用调整防火墙的设置，因为可以将防火墙外部的蜜罐系统火墙的设置，因为可以将防火墙外部的蜜罐系统看成是外部网络的一个机器。看成是外部网络的一个机器。v蜜罐会吸引像端口扫描等大量的攻击，而这些攻蜜罐会吸引像端口扫描等大量的攻击，而这些攻击不会被防火墙记录也不让内部击不会被防火墙记录也不让内部IDSIDS系统产生警告，系统产生警告，只会由蜜罐本身来记录。只会由蜜罐本身来记录。v内部局域网的攻击者无法定位蜜罐系统，是这个内部局域网的攻击者无法定位蜜罐系统，是这个方案的最大弊端。方案的最大弊端

11、。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社DMZv位置位置(2)(2)，由于，由于DMZDMZ内其他系统和蜜罐系统一起被内其他系统和蜜罐系统一起被安全控制，是个较好的解决方案。安全控制，是个较好的解决方案。v蜜罐运行在自己的蜜罐运行在自己的DMZDMZ内，同时保证内，同时保证DMZDMZ内的其他内的其他服务器是安全的，只提供所必需的服务，蜜罐通服务器是安全的，只提供所必需的服务，蜜罐通常会伪装尽可能多的服务。常会伪装尽可能多的服务。v惟一的缺点就是增加了硬件要求。惟一的缺点就是增加了硬件要求。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社防火墙后v位置位置(3

12、)(3)，可能给内部网络引入新的安全威胁，特，可能给内部网络引入新的安全威胁，特别是如果蜜罐和内部网络之间没有额外的防火墙别是如果蜜罐和内部网络之间没有额外的防火墙保护。保护。v蜜罐系统通常都提供大量的伪装服务。蜜罐系统通常都提供大量的伪装服务。v将蜜罐系统置于防火墙后一个最大的原因就是能将蜜罐系统置于防火墙后一个最大的原因就是能探测内部的攻击者。探测内部的攻击者。v缺点是一旦蜜罐被外部攻击者攻陷就会危害整个缺点是一旦蜜罐被外部攻击者攻陷就会危害整个内网。内网。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社蜜罐网络蜜罐网络v蜜网体系结构具有三大关键需求：蜜网体系结构具有三大关键需

13、求：n数据控制：对攻击者在蜜网中对第三方发起的攻击行为进行限制，以降低部署蜜网所带来的安全风险。n数据捕获：监控和记录黑客在蜜网内的所有行为。n数据分析：对捕获到的攻击数据进行整理和融合，从中分析出其中蕴涵的攻击工具、方法、技术和动机。v虚拟蜜网是指在同一硬件平台上运行多个操作系虚拟蜜网是指在同一硬件平台上运行多个操作系统和多种网络服务的虚拟网络环境。统和多种网络服务的虚拟网络环境。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社虚拟蜜网分类v独立虚拟蜜网独立虚拟蜜网n搭建在一台计算机上的一个完整的蜜网网络。n网络内包括不定数量的虚拟蜜罐，数据控制和数据捕获也由这台机器来完成，一般是要使用软件防火墙和基于主机的入侵检测系统。v混合虚拟蜜网混合虚拟蜜网n将传统蜜网技术和虚拟软件技术结合在一起组成的蜜罐网络。n网内蜜罐可以是真实的机器和服务，也可以是虚拟蜜罐，而数据控制和信息收集系统，如防火墙、入侵检测系统传感器和日志纪录机制则封闭在隔离系统中。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社本章要点 2.2.蜜罐的实现技术蜜罐的实现技术 1.1.蜜罐概述蜜罐概述 3.3.蜜罐主机的部署蜜罐主机的部署 4.4.蜜罐网络蜜罐网络网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社