摘要：蜜罐技術(shù)提供一種更有效的發(fā)現(xiàn)入侵行為的手段，通過(guò)設(shè)置低交互蜜罐定量發(fā)現(xiàn)入侵行為或惡意代碼，使用高交互蜜罐可以更全面跟蹤入侵行為，發(fā)現(xiàn)“零日攻擊”。本文主要闡述了蜜罐的作用及分類(lèi)、涉及的法律問(wèn)題，探討了蜜罐技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用。

關(guān)鍵詞：網(wǎng)絡(luò)安全；蜜罐技術(shù)；漏洞；實(shí)系統(tǒng)蜜罐

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712 (2012) 06-0082-01

我們對(duì)于已知的計(jì)算機(jī)網(wǎng)絡(luò)安全威脅往往容易防范，而對(duì)于未知的安全漏洞及威脅，往往難以抵御。大家熟悉的防火墻和入侵檢測(cè)系統(tǒng)都是根據(jù)人定義的規(guī)則、模式阻止非授權(quán)訪(fǎng)問(wèn)或入侵網(wǎng)絡(luò)資源的行為，其前提即已知非法訪(fǎng)問(wèn)規(guī)則和入侵模式，否則容易產(chǎn)生誤判。如何在不確定攻擊者手段和方法的前提下發(fā)現(xiàn)攻擊、發(fā)現(xiàn)自身系統(tǒng)已知（但未修補(bǔ)）未知（未意識(shí)到）的漏洞和弱點(diǎn)呢？蜜罐技術(shù)提供了一種有效的手段。

蜜罐技術(shù)可以看成是一種誘導(dǎo)技術(shù)，目的是發(fā)現(xiàn)惡意攻擊和入侵。通過(guò)設(shè)置一個(gè)“希望被探測(cè)、攻擊甚至攻陷”系統(tǒng)，模擬正常計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)環(huán)境，引誘攻擊者入侵蜜罐系統(tǒng)，從而發(fā)現(xiàn)甚至定位入侵者，發(fā)現(xiàn)攻擊模式、手段和方法，進(jìn)而發(fā)現(xiàn)配置系統(tǒng)的缺陷和漏洞，以便完善安全配置管理，消除安全隱患。

一、蜜罐的類(lèi)型

蜜罐可以運(yùn)行任何的操作系統(tǒng)和任意數(shù)量的服務(wù)，蜜罐上配置的服務(wù)決定了攻擊者可用的損害和探測(cè)系統(tǒng)的媒介。根據(jù)蜜罐實(shí)現(xiàn)機(jī)制的不同，以及配置蜜罐環(huán)境的不同，蜜罐可以分為高交互蜜罐和代交互蜜罐兩種。

（一）高交互蜜罐

一個(gè)高交互蜜罐是一個(gè)常規(guī)的計(jì)算機(jī)系統(tǒng)，如使用一臺(tái)標(biāo)準(zhǔn)計(jì)算機(jī)、路由器等，即高交互蜜罐實(shí)際上是一個(gè)配置了真實(shí)操作系統(tǒng)和服務(wù)的系統(tǒng)，為攻擊者提供一個(gè)可以交互的真實(shí)系統(tǒng)。而這一系統(tǒng)在網(wǎng)絡(luò)中沒(méi)有常規(guī)任務(wù)，也沒(méi)有固定的活動(dòng)用戶(hù)，因此，系統(tǒng)上只運(yùn)行正常守護(hù)進(jìn)程或服務(wù)，不應(yīng)該有任何不正常的進(jìn)程，也不產(chǎn)生任何網(wǎng)絡(luò)流量。這一假設(shè)是檢測(cè)攻擊的基礎(chǔ)：每個(gè)與高交互蜜罐的交互都是可疑的，因?yàn)樗惶峁┤魏畏?wù)，不應(yīng)主動(dòng)訪(fǎng)問(wèn)網(wǎng)絡(luò)也不應(yīng)被訪(fǎng)問(wèn)，可以指向一個(gè)可能的惡意行為。因此，所有出入蜜罐的網(wǎng)絡(luò)流量、系統(tǒng)的活動(dòng)都被記錄下來(lái)，以備日后分析。

高交互蜜罐可以完全被攻陷，它們運(yùn)行真實(shí)的操作系統(tǒng)，可能帶有所有已知和未知的安全漏洞，攻擊者與真實(shí)的系統(tǒng)和真實(shí)的服務(wù)交互，使得我們能夠捕獲大量的威脅信息。當(dāng)攻擊者獲得對(duì)蜜罐的非授權(quán)訪(fǎng)問(wèn)時(shí)，我們可以捕捉他們對(duì)漏洞的利用，監(jiān)視他們的按鍵，找到他們的工具，搞清他們的動(dòng)機(jī)。因此，即使攻擊者使用了我們尚不知道的未知漏洞，通過(guò)分析其入侵過(guò)程和行為，可以發(fā)現(xiàn)其使用的方法和手段，即所謂發(fā)現(xiàn)“零日攻擊”。

（二）低交互蜜罐

低交互蜜罐則是使用特定軟件工具模擬操作系統(tǒng)、網(wǎng)絡(luò)堆?；蚰承┨厥鈶?yīng)用程序的一部分功能，例如具有網(wǎng)絡(luò)堆棧、提供TCP連接、提供HTTP模擬服務(wù)等。低交互蜜罐允許攻擊者與目標(biāo)系統(tǒng)有限交互，允許管理員了解關(guān)于攻擊的主要的定量信息。例如，一個(gè)模擬的HTTP服務(wù)器可以只響應(yīng)對(duì)某個(gè)特定文件的請(qǐng)求，只實(shí)現(xiàn)整個(gè)HTTP規(guī)范的一個(gè)子集。低交互蜜罐提供的交互程度應(yīng)該是“剛好夠用”欺騙攻擊者或自動(dòng)化工具——如一個(gè)尋找特定文件而危害服務(wù)器的蠕蟲(chóng)。

低交互蜜罐的優(yōu)點(diǎn)是簡(jiǎn)單、易安裝、易維護(hù)，通常只需要安裝和配置一個(gè)工具軟件即可，典型的低交互蜜罐工具軟件如Tiny Honypot、Honeyd、Nepentbes等，以及用于Web欺騙的Google入侵蜜罐GHH、PHP.HoP等，它們都可以用于收集惡意代碼，收集的數(shù)據(jù)可以是正在傳播的網(wǎng)絡(luò)蠕蟲(chóng)，或者是垃圾郵件發(fā)送者對(duì)開(kāi)放式網(wǎng)絡(luò)中繼的掃描等信息。

二、蜜罐技術(shù)的應(yīng)用

既然蜜罐不是隨隨便便做來(lái)玩的，管理員自然就不會(huì)做個(gè)蜜罐然后讓它賦閑在家，那么蜜罐做來(lái)到底怎么用呢?

（一）迷惑入侵者，保護(hù)服務(wù)器

一般的客戶(hù)/服務(wù)器模式里，瀏覽者是直接與網(wǎng)站服務(wù)器連接的，換句話(huà)說(shuō)，整個(gè)網(wǎng)站服務(wù)器都暴露在入侵者面前，如果服務(wù)器安全措施不夠，那么整個(gè)網(wǎng)站數(shù)據(jù)都有可能被入侵者輕易毀滅。但是如果在客戶(hù)/服務(wù)器模式里嵌入蜜罐，讓蜜罐作為服務(wù)器角色，真正的網(wǎng)站服務(wù)器作為一個(gè)內(nèi)部網(wǎng)絡(luò)在蜜罐上做網(wǎng)絡(luò)端口映射，這樣可以把網(wǎng)站的安全系數(shù)提高，入侵者即使?jié)B透了位于外部的“服務(wù)器”，他也得不到任何有價(jià)值的資料，因?yàn)樗肭值氖敲酃薅选ｋm然入侵者可以在蜜罐的基礎(chǔ)上跳進(jìn)內(nèi)部網(wǎng)絡(luò)，但那要比直接攻下一臺(tái)外部服務(wù)器復(fù)雜得多，許多水平不足的入侵者只能望而卻步。蜜罐也許會(huì)被破壞，可是不要忘記了，蜜罐本來(lái)就是被破壞的角色。

在這種用途上，蜜罐不能再設(shè)計(jì)得漏洞百出了。蜜罐既然成了內(nèi)部服務(wù)器的保護(hù)層，就必須要求它自身足夠堅(jiān)固，否則，整個(gè)網(wǎng)站都要拱手送人了。

（二）抵御入侵者，加固服務(wù)器

入侵與防范一直都是熱點(diǎn)問(wèn)題，而在其間插入一個(gè)蜜罐環(huán)節(jié)將會(huì)使防范變得有趣，這臺(tái)蜜罐被設(shè)置得與內(nèi)部網(wǎng)絡(luò)服務(wù)器一樣，當(dāng)一個(gè)入侵者費(fèi)盡力氣入侵了這臺(tái)蜜罐的時(shí)候，管理員已經(jīng)收集到足夠的攻擊數(shù)據(jù)來(lái)加固真實(shí)的服務(wù)器。

采用這個(gè)策略去布置蜜罐，需要管理員配合監(jiān)視，否則入侵者攻破了第一臺(tái)，就有第二臺(tái)接著承受攻擊了……

（三）誘捕網(wǎng)絡(luò)罪犯

當(dāng)管理員發(fā)現(xiàn)一個(gè)普通的客戶(hù)/服務(wù)器模式網(wǎng)站服務(wù)器已經(jīng)犧牲成肉雞的時(shí)候，如果技術(shù)能力允許，管理員會(huì)迅速修復(fù)服務(wù)器。既然入侵者已經(jīng)確信自己把該服務(wù)器做成了肉雞，他下次必然還會(huì)來(lái)查看戰(zhàn)果，一些企業(yè)的管理員會(huì)設(shè)置一個(gè)蜜罐模擬出已經(jīng)被入侵的狀態(tài)，做起了姜太公。同樣，一些企業(yè)為了查找惡意入侵者，也會(huì)故意設(shè)置一些有不明顯漏洞的蜜罐，讓入侵者在不起疑心的情況下乖乖被記錄下一切行動(dòng)證據(jù)，通過(guò)與電信局的配合，可以輕易揪出IP源頭的那雙黑手。

總之，安全問(wèn)題始終是“魔高一尺，道高一丈”，在攻擊者與安全管理專(zhuān)家之間的博弈中，時(shí)而藍(lán)軍占上風(fēng)，時(shí)而紅軍占上風(fēng)。因此，我們要更好地利用蜜罐技術(shù)做好計(jì)算機(jī)網(wǎng)絡(luò)安全工作。

參考文獻(xiàn)：

[1]張浩軍.信息安全技術(shù)基礎(chǔ)[M].北京:中國(guó)水利水電出版社，2011

[2]陳克非.信息安全技術(shù)導(dǎo)論[M].北京:電子工業(yè)出版社，2007

[3]弗萊格.信息安全原理與應(yīng)用[M].李毅超.北京:電子工業(yè)出版社，2009

[4]斯廷森.密碼學(xué)原理與實(shí)踐[M].馮登國(guó).北京:電子工業(yè)出版社，2009