王 軍，李 莉

（沈陽化工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，遼寧沈陽 110142）

虛擬多入口路由的蜜罐網(wǎng)絡(luò)構(gòu)建

王 軍，李 莉

（沈陽化工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，遼寧沈陽 110142）

為了防止黑客對內(nèi)部網(wǎng)絡(luò)的破壞，利用Honeyd構(gòu)建一個(gè)具有迷惑性的蜜罐網(wǎng)絡(luò)，包括虛擬出多入口路由的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)延遲及網(wǎng)絡(luò)丟包等網(wǎng)絡(luò)特性，來干擾黑客攻擊和收集攻擊信息.構(gòu)建的多入口路由的蜜罐網(wǎng)絡(luò)對外界形成了兩個(gè)入口，并可進(jìn)入不同網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，這種蜜罐網(wǎng)絡(luò)不僅提供了二次防御能力，而且可以更有效地延長入侵時(shí)間，進(jìn)而獲得更全面的攻擊信息.

蜜罐；多入口路由；虛擬網(wǎng)絡(luò)；入侵檢測；Honeyd；拓?fù)浣Y(jié)構(gòu)；二次防御；黑客

隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的日益廣泛，其安全問題變得尤為重要，相關(guān)領(lǐng)域?qū)＜?、學(xué)者及企業(yè)為保護(hù)網(wǎng)絡(luò)安全，防范網(wǎng)絡(luò)黑客入侵正在不斷改、升級現(xiàn)有設(shè)備、機(jī)制和方法，以保證應(yīng)對不斷出現(xiàn)的新的安全問題、網(wǎng)絡(luò)攻擊方法和入侵手法等［1-2］.

目前針對網(wǎng)絡(luò)安全方面的技術(shù)主要分為以下幾個(gè)大類：虛擬網(wǎng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)、認(rèn)證和數(shù)字簽名技術(shù)、VPN技術(shù)及應(yīng)用系統(tǒng)的相關(guān)安全技術(shù).而蜜罐與大部分安全工具或技術(shù)的不同之處在于：它可以具有不同的表現(xiàn)形式，而不像現(xiàn)階段所用一些其他的安全技術(shù)或設(shè)備大多數(shù)是針對特定的安全問題而設(shè)計(jì)的.而蜜罐并不限于解決某一個(gè)具體的問題.相反，它是一個(gè)可以應(yīng)用于大量不同場合的高度靈活的工具.這也是蜜罐最初讓人覺得很模糊的原因所在，因?yàn)榭梢允褂盟鼘?shí)現(xiàn)很多不同的目標(biāo)，并且其形式也是多樣化的.例如，蜜罐可以用來阻止各種網(wǎng)絡(luò)攻擊，與防火墻技術(shù)類似；可以用于檢測攻擊，這類似于入侵檢測系統(tǒng)的功能；可以用于捕獲和分析自動化的攻擊（如蠕蟲）；可以充當(dāng)先期的指示或者預(yù)警傳感器；還可以研究黑客界的活動、捕獲攻擊者們擊鍵信息或者對話信息的能力［3-5］.

1 Honeyd的技術(shù)特點(diǎn)分析

利用Honeyd軟件仿真網(wǎng)絡(luò)中的虛擬主機(jī)，一直都是構(gòu)建蜜罐網(wǎng)絡(luò)的首選方案之一.在蜜罐網(wǎng)絡(luò)的研究中，Honeyd的典型角色是通過它建立起多臺用于迷惑敵人的虛擬蜜罐［6-9］.

1.1 網(wǎng)絡(luò)仿真特性

Honeyd軟件工具可以模擬出各類不同網(wǎng)絡(luò)，包括多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備.其中關(guān)于網(wǎng)絡(luò)設(shè)備，Honeyd軟件工具還可以模擬出絕大多數(shù)市場主流品牌或類型的設(shè)備特點(diǎn)來.而對于許多主流操作系統(tǒng)的特征也能夠模擬出來.而且還可以提供多種TCP服務(wù)，如HTTP、Email、SMTP、FTP等，進(jìn)而模擬網(wǎng)絡(luò)連接的延時(shí)和丟包等現(xiàn)象.

通常情況下，使用Honeyd軟件工具虛擬出來的網(wǎng)絡(luò)拓?fù)涫且粋€(gè)樹形結(jié)構(gòu)，該樹的樹根就是仿真網(wǎng)絡(luò)拓?fù)涞娜肟冢W(wǎng)絡(luò)數(shù)據(jù)包由此進(jìn)入整個(gè)虛擬網(wǎng)絡(luò)，即這種虛擬網(wǎng)絡(luò)叫做單入口路由的蜜罐網(wǎng)絡(luò).其中樹形結(jié)構(gòu)中的每個(gè)分支為一個(gè)子網(wǎng)，內(nèi)部節(jié)點(diǎn)代表網(wǎng)絡(luò)中的路由器，每一條邊均代表具有延時(shí)、丟包等網(wǎng)絡(luò)通信特點(diǎn)的一條鏈路.樹形結(jié)構(gòu)中的終端節(jié)點(diǎn)與網(wǎng)絡(luò)上的主機(jī)節(jié)點(diǎn)是一一對應(yīng)的.總體來說，Honeyd軟件工具的特性如下［10］：

（1）可通過參數(shù)設(shè)定和編程設(shè)置虛擬出指定型號的設(shè)備特點(diǎn)，也可以對如延遲、丟包率和帶寬等網(wǎng)絡(luò)特性進(jìn)行靈活設(shè)置，使其更接近于真實(shí)設(shè)備特點(diǎn).

（2）虛擬出來的網(wǎng)絡(luò)能與真實(shí)網(wǎng)絡(luò)無縫連接；

（3）Honeyd本身支持GRE隧道協(xié)議，利用GRE隧道協(xié)議可建立分布式網(wǎng)絡(luò).

（4）不僅可以虛擬中、小型網(wǎng)絡(luò)，也可以通過其靈活的編程設(shè)置完成對大型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的仿真.另外，由于Honeyd架構(gòu)支持平行共存的多個(gè)網(wǎng)絡(luò)入口，支持多重路由器、不對稱路由等，因此在構(gòu)建大型虛擬網(wǎng)絡(luò)時(shí)可以形成具有多入口路由效果的虛擬網(wǎng)絡(luò).

1.2 工作原理

當(dāng)使用Honeyd軟件工具構(gòu)建成的蜜罐網(wǎng)絡(luò)受到攻擊時(shí)，其實(shí)質(zhì)上就是一個(gè)在系統(tǒng)上并不存在的IP地址受到了攻擊.Honeyd所在的主機(jī)會承擔(dān)起扮演受害者（虛擬出來的網(wǎng)絡(luò)）的身份并與攻擊者進(jìn)行交互.當(dāng)然，為了實(shí)現(xiàn)這一效果，整個(gè)虛擬網(wǎng)絡(luò)只使用一個(gè)IP地址即可.而這個(gè)IP地址直接分配給Honeyd所在的主機(jī)中的一個(gè)接口，該接口就是用來管理蜜罐的接口.Honeyd所在的主機(jī)正是使用這個(gè)唯一的接口駐留在網(wǎng)絡(luò)中，并監(jiān)視著所有能夠收到的可疑的活動.

蜜罐網(wǎng)絡(luò)投入工作后，當(dāng)接收數(shù)據(jù)包的時(shí)候，系統(tǒng)會找到合適的入口路由，即從虛擬網(wǎng)絡(luò)的根部開始，周游路由樹，直到找到包含數(shù)據(jù)包目標(biāo)IP地址的節(jié)點(diǎn).每條網(wǎng)絡(luò)鏈路上的丟包率和延時(shí)會被累積計(jì)算以確定一個(gè)包是否該被丟棄或被推遲多長時(shí)間后再傳遞.因此，如果實(shí)現(xiàn)多入口路由則虛擬網(wǎng)絡(luò)將具有多個(gè)根部，其復(fù)雜度和迷惑性將呈指數(shù)上升.

數(shù)據(jù)包每經(jīng)過一個(gè)路由器，Honeyd框架就會消耗一次該數(shù)據(jù)包的TTL.當(dāng)一個(gè)包的TTL變?yōu)?的時(shí)候，根據(jù)網(wǎng)絡(luò)協(xié)議該數(shù)據(jù)包就會被自動丟棄，Honeyd系統(tǒng)將生成一個(gè)ICMP的超時(shí)消息發(fā)送出去，該消息會包含使該包TTL送到0的路由器的IP地址.

Honeyd運(yùn)作的原則為［11-12］：Honeyd會將每一次針對它虛擬出來的網(wǎng)絡(luò)進(jìn)行探測或者連接的情況，假定是惡意的連接企圖，而實(shí)際上這也極可能是一次探測、掃描或者攻擊.當(dāng)Honeyd接收到此類流量時(shí)，它會假定自己的IP地址就是所針對的目的地址（使其自己成為受害者）.然后它就會對連接所嘗試的端口啟動一次相應(yīng)的模擬服務(wù).攻擊者如果誤認(rèn)為這是真實(shí)網(wǎng)絡(luò)，它就會和Honeyd系統(tǒng)進(jìn)行交互，而Honeyd系統(tǒng)就可以捕獲攻擊者的一切活動.當(dāng)攻擊者活動完成時(shí)，模擬服務(wù)退出并不再運(yùn)行.然后，Honeyd就會繼續(xù)等待針對虛擬網(wǎng)絡(luò)的更多流量或者連接嘗試.需要指出的是，Honeyd只在探測到它虛擬出來的網(wǎng)絡(luò)被探測或者連接的情況下，才會承擔(dān)起該IP地址并運(yùn)行模擬服務(wù).

2 虛擬多入口路由的蜜罐網(wǎng)絡(luò)

一般在使用Honeyd構(gòu)建蜜罐網(wǎng)絡(luò)時(shí)，為了方便和提高構(gòu)建速度，多是構(gòu)建一個(gè)具有單臺或多臺路由器的蜜罐網(wǎng)絡(luò).而無論哪種情況其入口僅有一個(gè)，如圖1和圖2所示.

圖1 單臺路由器的蜜罐網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)Fig.1 The topology of honeypot network based on single router

圖2 多臺路由器的蜜罐網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)Fig.2 The topology of honeypot network based on multiple router

3 Honeyd仿真

3.1 仿真網(wǎng)絡(luò)延遲及網(wǎng)絡(luò)丟包

仿真網(wǎng)絡(luò)由六臺虛擬主機(jī)和三臺Cisco路由器組成，其拓?fù)浣Y(jié)構(gòu)如圖3所示.路由器R1將網(wǎng)絡(luò)192.168.0.0／24與10.0.1.0／24隔離開來，R2將網(wǎng)絡(luò)10.0.1.0／24、10.1.0.0／16、10.1.0.0／24隔離開來，R3將網(wǎng)絡(luò)10.1.0.0／24與10.1.1.0／24隔離開來；路由器R1入口地址為192. 168.0.x／24，R2入口地址為10.0.1.x／24，R3入口地址為10.1.0.x／24；虛擬主機(jī)1、2是網(wǎng)絡(luò)10.0.1.0／24內(nèi)的兩臺主機(jī)，虛擬主機(jī)3、4是網(wǎng)絡(luò)10.1.0.0／16內(nèi)的兩臺主機(jī)，虛擬主機(jī)5、6是網(wǎng)絡(luò)10.1.1.0／24內(nèi)的兩臺主機(jī).通過路由器R1可直接訪問網(wǎng)絡(luò)10.0.1.0／24，通過路由器R2可直接訪問網(wǎng)絡(luò)10.1.0.0／16，通過路由器R3可直接訪問網(wǎng)絡(luò)10.1.1.0／24.

圖3 單入口蜜罐網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)Fig.3 The topology of single entry honeypot network

Honeyd配置文件編寫如下：

3.2 虛擬多入口路由

在仿真網(wǎng)絡(luò)延遲及網(wǎng)絡(luò)丟包的基礎(chǔ)上，本節(jié)將使用Honeyd仿真網(wǎng)絡(luò)實(shí)現(xiàn)多入口路由.仿真網(wǎng)絡(luò)由十臺虛擬主機(jī)、五臺Cisco路由器和一臺真實(shí)主機(jī)組成，其拓?fù)浣Y(jié)構(gòu)如圖4所示.路由器R1將網(wǎng)絡(luò)192.168.0.0／24與10.0.1.0／24隔離開來，R2將網(wǎng)絡(luò)10.0.1.0／24、10.1.0.0／16、10.1.0.0／24隔離開來，R3將網(wǎng)絡(luò)10.1.0.0／24與10.1.1.0／24隔離開來，R4將真實(shí)網(wǎng)絡(luò)192.168.0.0／24與10.2.0.0／24隔離開來，R5將網(wǎng)絡(luò)10.2.0.0／24與10.2.1.0／24隔離開來；路由器R1入口地址為192.168.0.x／24，R2入口地址為10.0.1.x／24，R3入口地址為10.1.0.x／24，R4入口地址192.168.0.x／24，R5入口地址10.2.0.x／24；虛擬主機(jī)1、2是網(wǎng)絡(luò)10.0.1.0／24內(nèi)的兩臺主機(jī)，虛擬主機(jī)3、4是網(wǎng)絡(luò)10.1.0.0／16內(nèi)的兩臺主機(jī)，虛擬主機(jī)5、6是網(wǎng)絡(luò)10.1.1.0／24內(nèi)的兩臺主機(jī)，虛擬主機(jī)7、8是網(wǎng)絡(luò)10.2.0.0／24內(nèi)的兩臺主機(jī)，虛擬主機(jī)9、10是網(wǎng)絡(luò)10.2.1.0／24內(nèi)的兩臺主機(jī).

圖4 多入口蜜罐網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)Fig.4 The topology of multi-entry honeypot network

Honeyd配置文件編寫如下：

4 入侵實(shí)驗(yàn)測試

為了驗(yàn)證我們提出的構(gòu)建多入口路由蜜罐網(wǎng)絡(luò)的策略防范效果，對圖3單入口蜜罐網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)和圖4多入口蜜罐網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)進(jìn)行了攻擊.針對這兩種不同拓?fù)浣Y(jié)構(gòu)的蜜罐網(wǎng)絡(luò)，分別使用了口令破解技術(shù)和漏洞掃描技術(shù)進(jìn)行網(wǎng)絡(luò)入侵攻擊.

4.1 口令破解

利用木馬程序入侵蜜罐網(wǎng)絡(luò)并利用字典破解工具（LC5）進(jìn)行對網(wǎng)絡(luò)主機(jī)進(jìn)行口令破解，其破解規(guī)則設(shè)置如圖5所示：

圖5 密碼破解規(guī)則設(shè)置Fig.5 Setting the password cracking rule

經(jīng)過24h后，查看LC5的破解信息統(tǒng)計(jì)如表1所示：

表1 密碼破解信息統(tǒng)計(jì)Table 1 The password cracking information statistics

從破解信息統(tǒng)計(jì)中可以看出多入口路由蜜罐網(wǎng)絡(luò)無論是在延長攻擊時(shí)間還是抗攻擊性方面都優(yōu)于單入口路由蜜罐網(wǎng)絡(luò).

4.2 漏洞掃描

利用Zenmap工具對網(wǎng)絡(luò)進(jìn)行漏洞掃描，如果掃描到漏洞，嘗試使用“遠(yuǎn)程桌面”方式登錄到目標(biāo)主機(jī).部分掃描結(jié)果如下：

如果顯示為入侵失敗，如圖6所示.經(jīng)過24h后，信息統(tǒng)計(jì)如表2所示：

圖6 入侵失敗Fig.6 The invasion failed

表2 信息統(tǒng)計(jì)Table 2 The information statistics

從信息統(tǒng)計(jì)中可以看出多入口路由蜜罐網(wǎng)絡(luò)為攻擊者設(shè)置了更多的漏洞信息，并可以有效擾亂攻擊者攻擊路徑，延長攻擊過程以實(shí)現(xiàn)被動防御.

5 結(jié) 語

多入口路由的蜜罐網(wǎng)絡(luò)比單入口路由的蜜罐網(wǎng)絡(luò)的仿真效果更為全面和真實(shí)，其防范效果更好.更重要的是它提供了二次防御能力，從一個(gè)入口進(jìn)入并被識別后，就可防御用同一手段進(jìn)入另一個(gè)入口，即使換用其他方法入侵后，仍得不到真實(shí)網(wǎng)絡(luò)數(shù)據(jù).為此，本文利用Honeyd軟件構(gòu)建了多入口路由的蜜罐網(wǎng)絡(luò)，該方法會使入侵者更容易認(rèn)為進(jìn)入了真實(shí)網(wǎng)絡(luò)，具有一定的欺騙性.

［1］Wang P，Wu L，Cunningham R，et al.Honeypot detection in advanced botnet attacks［J］.International Journal of Information and Computer Security，2010，4（1）：30-51.

［2］文偉平，卿斯?jié)h，蔣建春，等.網(wǎng)絡(luò)蠕蟲研究與進(jìn)展［J］.軟件學(xué)報(bào)，2004，15（8）：1208-1219.

［3］邊林潔.Honey-pot技術(shù)在校園網(wǎng)入侵檢測系統(tǒng)中的應(yīng)用［J］.信息系統(tǒng)工程，2011（6）：67-68.

［4］劉昭斌，劉文芝，魏俊穎.基于INTRANET的入侵防御系統(tǒng)模型的研究［J］.化工自動化及儀表，2006，33（2）：45-47.

［5］翟繼強(qiáng)，葉飛.利用HONEYD構(gòu)建虛擬網(wǎng)絡(luò)［J］.計(jì)算機(jī)安全，2006，3（5）：46-48.

［6］崇劼人.基于虛擬蜜網(wǎng)的入侵檢測系統(tǒng)的研究［D］.上海：上海交通大學(xué)，2010.

［7］Khattab S，Melhem R，MosséD，et al.Honeypot backpropagation for mitigating spoofing distributed Denial-of-Service attacks［J］.Journal of Parallel and Distributed Computing，2006，66（9）：1152-1164.

［8］朱思奇.基于Honeyd的蜜罐系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］.上海：上海交通大學(xué)，2010.

［9］Gupta A，Gupta S K，Ganesh I M，et al.Opaqueness characteristic of a context honeypot system［J］.Information Security Journal，2010，19（3）：142-152.

［10］Marchese M，Surlinelli R，Zappatore S.Monitoring unauthorized internet accesses through a＇honeypot＇system［J］.International Journal of Communication Systems，2011，24（1）：75-93.

［11］Sardana A，Joshi R C，Kim T H，et al.Deciding optimal entropic thresholds to calibrate the detection mechanism for variable rate DDoS attacks in ISP domain：Honeypot based approach［J］.Journal of Intelligent Manufacturing，2010，21（5）：623-634.

［12］Wicherski Georg.Placing a low-interaction honeypot inthe-wild：A review of mwcollectd［J］.Network Security，2010（3）：7-8.

Construction of Virtual Multi-entry Routes Honeypot Network

WANG Jun，LI Li

（Department of Computer Science and Technology，Shenyang University of Chemical Technology，Shenyang 110016，China）

In order to prevent damage to the internal network，a honeypot network is built for confusion jamming by Honeyd.It includes network topology of multi-routing，and network features of latency and packet loss，etc.The honeypot network can interfere with the hackers and collect attack information.A virtual honeypot network has two entrances to the external world.The two entrances will lead to their different network of different topology.The honeypot network provides the double defense defensive ability，and can extend intrusion time effectively.And then more attack information will be got.

boneypot；multi-entry routes；virtual network；intrusion detection；Honeyd；topology；double defense；hacker

TP 393.08

A

1008-9225（2012）04-0052-06

2012-02-28

國家自然科學(xué)基金資助項(xiàng)目（61102041）；遼寧省自然科學(xué)基金資助項(xiàng)目（20101278）.

王 軍（1978-），男，遼寧大連人，沈陽化工大學(xué)副教授，博士；李 莉（1978-），女，吉林吉林人，沈陽化工大學(xué)副教授，博士.

李 艷】