[摘要]信息時(shí)代的到來需要計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)由被動(dòng)防御轉(zhuǎn)為主動(dòng)防御，從而使蜜罐技術(shù)在網(wǎng)絡(luò)對(duì)抗中日益受到重視。蜜罐是深入了解黑客的一種有效手段，并且可以提高網(wǎng)絡(luò)安全防護(hù)水平。本文通過分析校園網(wǎng)安全現(xiàn)狀和安全設(shè)計(jì)原則，通過Winsock編程，構(gòu)建設(shè)計(jì)校園網(wǎng)蜜罐系統(tǒng)，并通過測(cè)試驗(yàn)證了蜜罐系統(tǒng)在校園網(wǎng)中部署的可行性。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 蜜罐技術(shù) 系統(tǒng)設(shè)計(jì)

一、校園網(wǎng)絡(luò)安全現(xiàn)狀與安全設(shè)計(jì)原則

（一）校園網(wǎng)絡(luò)安全現(xiàn)狀

從網(wǎng)絡(luò)安全的角度來看，整個(gè)網(wǎng)絡(luò)分為三大部分，第一部分為重點(diǎn)信息安全保護(hù)區(qū)；第二部分為校園網(wǎng)普通網(wǎng)絡(luò)區(qū)域；第三部分為外部網(wǎng)絡(luò)區(qū)域。國(guó)內(nèi)校園網(wǎng)的安全問題有其歷史原因，因?yàn)橐庾R(shí)與資金的原因，以及對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，常常只是在內(nèi)部網(wǎng)與互連網(wǎng)之間放一個(gè)防火墻就萬事大吉，有些甚至直接連接互連網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。

校園網(wǎng)現(xiàn)在的工作系統(tǒng)大多是基于客戶/服務(wù)器模式和Intenret/Intranet網(wǎng)絡(luò)計(jì)算模式的分布式應(yīng)用。在這樣一個(gè)分布式應(yīng)用的環(huán)境中，學(xué)校的數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、WWW服務(wù)器、文件服務(wù)器、應(yīng)用服務(wù)器等等每一個(gè)都是一個(gè)供人出入的“門戶”，只要有一個(gè)“門戶”沒有完全保護(hù)好，“黑客”就會(huì)通過這道門進(jìn)入系統(tǒng)，竊取或破壞所有系統(tǒng)資源。如何保證和加強(qiáng)網(wǎng)絡(luò)的安全性和保密性對(duì)于校園網(wǎng)的正常、安全運(yùn)行至關(guān)重要。

（二）校園網(wǎng)安全設(shè)計(jì)原則

1．安全性。網(wǎng)絡(luò)應(yīng)在具有開放性的同時(shí)，保證其安全性。要制定合適的安全策略，建立有效的網(wǎng)絡(luò)安全制度；對(duì)資源訪問控制進(jìn)行實(shí)時(shí)有效的監(jiān)控，保證通信傳遞的安全性。

2．高可靠性。為保證信息能夠及時(shí)可靠地發(fā)布，信息中心的系統(tǒng)應(yīng)能保障不間斷運(yùn)行，在系統(tǒng)設(shè)計(jì)上應(yīng)考慮關(guān)鍵部件采用冗余設(shè)計(jì)和容錯(cuò)技術(shù)，通訊子網(wǎng)間應(yīng)留有備用信道。

3．開放性。網(wǎng)絡(luò)信息中心所采用的技術(shù)遵循國(guó)際標(biāo)準(zhǔn)，不僅要和現(xiàn)有的設(shè)備能夠完全互連互通，而且能與未來網(wǎng)絡(luò)技術(shù)發(fā)展相適應(yīng)，因此網(wǎng)絡(luò)系統(tǒng)須采用支持局域網(wǎng)、廣域網(wǎng)、路由等國(guó)際標(biāo)準(zhǔn)協(xié)議。

4．可擴(kuò)展性。要充分考慮到今后網(wǎng)絡(luò)的發(fā)展，在網(wǎng)絡(luò)、服務(wù)器以及軟件系統(tǒng)的設(shè)計(jì)上保證系統(tǒng)性能能夠平滑升級(jí)，保護(hù)現(xiàn)有投資。

二、基于蜜罐系統(tǒng)若干關(guān)鍵技術(shù)研究

（一）蜜罐的分類

犧牲型蜜罐就是一臺(tái)簡(jiǎn)單的為某種特定攻擊設(shè)計(jì)的計(jì)算機(jī)。犧牲型蜜罐實(shí)際上是放置在易受攻擊地點(diǎn)，假扮為攻擊的受害者，它為攻擊者提供了極好的攻擊目標(biāo)。

外觀型蜜罐技術(shù)僅僅對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行仿真而不會(huì)導(dǎo)致機(jī)器真正被攻擊，從而蜜罐的安全不會(huì)受到威脅。外觀型蜜罐也具有犧牲型蜜罐的弱點(diǎn)，但是它們不會(huì)提供犧牲型蜜罐那么多的數(shù)據(jù)。

測(cè)量型蜜罐建立在犧牲型蜜罐和外觀型蜜罐的基礎(chǔ)之上，測(cè)量型蜜罐為攻擊者提供高度可信的系統(tǒng)。由于記錄攻擊信息的原因，測(cè)量型蜜罐非常容易訪問但是很難繞過。與此同時(shí)，高級(jí)的測(cè)量型蜜罐還防止攻擊者將系統(tǒng)作為進(jìn)一步攻擊的跳板。

（二）蜜罐系統(tǒng)設(shè)計(jì)思想

蜜罐系統(tǒng)要確定蜜罐的交互級(jí)別，因?yàn)檠芯啃兔酃奘歉呓换サ拿酃尴到y(tǒng)。使用蜜罐的目的是希望了解黑客的攻擊方式，這就要求采集盡量完整的黑客活動(dòng)信息。顯然，仿真技術(shù)不適合的需要，它所采集的到信息量太少、太單一。在高交互級(jí)別上應(yīng)當(dāng)提供給攻擊者一個(gè)真實(shí)的操作系統(tǒng)與之交互，這樣黑客不易發(fā)覺蜜罐主機(jī)的身份。

（三）蜜罐系統(tǒng)設(shè)計(jì)關(guān)鍵技術(shù)

1．端口重定向技術(shù)。端口重定向的特性允許終端會(huì)話期間運(yùn)行的應(yīng)用程序訪問客戶端上的串行與并行端口。重定向技術(shù)可以分為兩類，一類是客戶端重定向，一類是服務(wù)器端重定向。實(shí)現(xiàn)重定向是為了讓Hacker進(jìn)入一個(gè)模擬的服務(wù)，從而使Hacker入侵的是一個(gè)蜜罐系統(tǒng)，而真實(shí)操作系統(tǒng)的服務(wù)并沒有開啟。

2．?dāng)?shù)據(jù)控制。蜜罐系統(tǒng)本身就可以模擬成一個(gè)操作系統(tǒng)，可以把其本身設(shè)定成為易攻破的一臺(tái)主機(jī)，例如，開放一些端口和設(shè)置脆弱口令，并設(shè)定出相應(yīng)的回應(yīng)程序，如在LINUX中的SHELL，和FTP程序，當(dāng)攻擊者“入侵”進(jìn)入系統(tǒng)（這里所指是HONEYPOT虛擬出來的系統(tǒng)）后，就相當(dāng)于攻擊者進(jìn)入一個(gè)設(shè)定“陷阱”，那么攻擊者所做一切都在其監(jiān)視之中。

3．?dāng)?shù)據(jù)捕獲。數(shù)據(jù)捕獲是蜜罐系統(tǒng)的意義所在，完整的數(shù)據(jù)可以清楚地再現(xiàn)入侵者的一舉一動(dòng)。在入侵者們不發(fā)現(xiàn)的情況下，捕獲盡可能多的數(shù)據(jù)信息。另外，捕獲到的數(shù)據(jù)不能放在欺騙主機(jī)上，否則很可能會(huì)被入侵者們發(fā)現(xiàn)，從而得知該系統(tǒng)是一個(gè)陷阱平臺(tái)。

三、校園網(wǎng)絡(luò)蜜罐系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

（一）系統(tǒng)概述

在對(duì)校園網(wǎng)絡(luò)調(diào)研的基礎(chǔ)上，基于Windows操作系統(tǒng)設(shè)計(jì)，采用C語言開發(fā)，系統(tǒng)向校園網(wǎng)內(nèi)和外界開放了虛擬的Linux操作系統(tǒng)下的Telnet服務(wù)，引誘黑客進(jìn)入，這有利于保護(hù)真實(shí)的系統(tǒng)資源，同時(shí)獲取黑客的攻擊行為信息。整個(gè)系統(tǒng)由信息預(yù)處理模塊、信息處理模塊和日志記錄模塊三部分組成，其中信息預(yù)處理模塊和信息處理模塊構(gòu)成了虛擬Telnet服務(wù)。

（二）功能模塊設(shè)計(jì)與實(shí)現(xiàn)

1．信息預(yù)處理模塊

設(shè)計(jì)的蜜罐功能是虛擬Linux系統(tǒng)下的Telnet服務(wù)，信息預(yù)處理模塊需要實(shí)現(xiàn)三個(gè)方面的功能：

（1）利用端口重定向技術(shù)綁定虛擬的Linux的Telnet的系統(tǒng)服務(wù)端口，在黑客侵入時(shí)，將黑客發(fā)送的命令導(dǎo)向虛擬系統(tǒng)。

（2）系統(tǒng)啟動(dòng)時(shí)創(chuàng)建一個(gè)線程啟動(dòng)監(jiān)聽服務(wù)程序，等待有入侵者發(fā)送的指令，當(dāng)黑客發(fā)送入侵指令的時(shí)候，提供連接給入侵者，并返回虛擬系統(tǒng)的假信息迷惑入侵者，使入侵者在未察覺的情況下，繼續(xù)入侵行為，并留下使用痕跡，同時(shí)創(chuàng)建一個(gè)新的線程等待另一個(gè)黑客入侵連接。

（3）當(dāng)黑客入侵建立連接后，接受黑客的攻擊信息，同時(shí)發(fā)送相應(yīng)模塊的響應(yīng)信息給黑客。

2．信息處理模塊

主要實(shí)現(xiàn)模擬系統(tǒng)中的模擬信息能根據(jù)黑客的指令進(jìn)行正確的顯示，以使黑客不會(huì)發(fā)現(xiàn)系統(tǒng)的虛假性，而誘使黑客繼續(xù)入侵行為。如入侵者在某臺(tái)終端輸入Linux指令后，信息處理模塊將根據(jù)輸入的指令，將虛擬系統(tǒng)的虛擬信息返回給入侵者，使入侵者感受到是進(jìn)入了真實(shí)的用戶環(huán)境，因?yàn)槭沁M(jìn)行蜜罐系統(tǒng)的功能測(cè)試，所以只虛擬了部分Linux的指令，主要目的是通過這些指令來實(shí)驗(yàn)蜜罐系統(tǒng)的功能是否能達(dá)到預(yù)期的目標(biāo)。在能正確實(shí)現(xiàn)蜜罐功能后，通過增加關(guān)鍵字來實(shí)現(xiàn)更真實(shí)的Linux命令，使系統(tǒng)具有更強(qiáng)更大的迷惑性

3．日志記錄模塊

數(shù)據(jù)捕獲能夠獲得所有入侵者的行動(dòng)記錄，這些記錄最終將有助于分析黑客所使用的工具、策略以及攻擊目的。這就實(shí)現(xiàn)日志記錄模塊的目的，它的主要功能就是收集和記錄黑客的攻擊行為。具體實(shí)現(xiàn)過程是捕獲蜜罐和黑客之間通信的數(shù)據(jù)包、為每一個(gè)黑客創(chuàng)建記錄文件（記錄文件名為黑客的IP地址）并記錄數(shù)據(jù)包包含的信息。由于虛擬的服務(wù)不提供任何實(shí)際的作用，因此其收集到的數(shù)據(jù)很少。

系統(tǒng)開發(fā)完成后，選定在校園網(wǎng)內(nèi)進(jìn)行蜜罐系統(tǒng)功能的測(cè)試，通過在一臺(tái)機(jī)器上運(yùn)行服務(wù)程序，模擬出虛擬系統(tǒng)后，通過其他幾臺(tái)終端對(duì)蜜罐所在機(jī)器進(jìn)行連接測(cè)試，并輸入操作命令，整個(gè)測(cè)試過程，蜜罐能夠及時(shí)響應(yīng)輸入的命令，并能將使用痕跡進(jìn)行準(zhǔn)確的記錄，打開記錄文件，能看到與系統(tǒng)屏幕上實(shí)時(shí)監(jiān)視的信息相同的內(nèi)容，每一個(gè)黑客的不同連接能夠?qū)崿F(xiàn)分開記錄。通過以上測(cè)試，驗(yàn)證了蜜罐系統(tǒng)在校園網(wǎng)中部署的可行性，因此較好的實(shí)現(xiàn)了網(wǎng)絡(luò)蜜罐系統(tǒng)的功能。

參考文獻(xiàn)：

[1]王艷平著.Windows程序設(shè)計(jì).北京:人民郵電出版社，2005.421-427．

[2]胡建偉，楊紹全．欺騙網(wǎng)絡(luò)體系框架研究．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004（3）：20-23．

[3]熊明輝，蔡皖東．高交互型蜜罐的設(shè)計(jì)與實(shí)現(xiàn)．信息安全與通信保密，2005（2）：80-82．

（作者單位：浙江工業(yè)大學(xué)，溫州樂清中學(xué)）