賀文娟 賈丙靜

(安徽科技學院 理學院計算機公共教學部，安徽鳳陽 233100)

隨著計算機網絡技術的快速發(fā)展，我們的日常生活已離不開網絡。網絡的確給我們的生活和工作都帶來很多便利，但是網絡在快速發(fā)展的過程中，其安全問題也日益凸顯，甚至威脅到正常的工作和生活。傳統(tǒng)的網絡安全技術都采用的是被動防御的理念，對已知的攻擊有著較好的防御作用，但是對于層出不窮的黑客攻擊手段和攻擊工具，對于新的攻擊就沒有辦法識別，可能會造成損害正常系統(tǒng)的運行。

蜜罐技術采用主動防御的方式，在監(jiān)測網絡入侵、保護網絡客體、信息學習反饋、提高完善反擊入侵能力等網絡安全方面有極大的優(yōu)勢［1］。蜜網技術是蜜罐的高級形式，通過搭建蜜網可以監(jiān)視和跟蹤攻擊者的行為，進而分析數(shù)據(jù)得到攻擊方法，攻擊工具和攻擊目的，更好地保護網絡安全。

1 蜜罐與蜜網技術

蜜罐創(chuàng)始人Lance Spitzner 給出蜜罐的定義是: “Honeypot 是一個資源，它的價值在于它會受到探測、攻擊或攻陷”［2］。從定義可以看出蜜罐只是一種工具，利用蜜罐可搭建出蜜網，利用蜜網本身帶有的漏洞吸引攻擊者，可以捕獲到攻擊者的各種信息，對這些數(shù)據(jù)進行分析就可以得知攻擊者的攻擊手段、方法和工具，并依此建立預警，保護正常網絡的工作。將攻擊者引入蜜罐，消耗攻擊者的資源，拖延攻擊者的時間，蜜罐采取這樣的方式保護網絡的正常運行。

蜜網是將多個蜜罐結合防火墻、入侵檢測系統(tǒng)以及其他網絡安全設備構架成一個系統(tǒng)，形成一個誘捕環(huán)境，吸引攻擊者的入侵，它允許所有的入站鏈接，控制向外鏈接的數(shù)目，這樣可以防止攻擊者攻陷蜜罐之后，將其作為跳板攻擊正常的產品網絡。蜜網是一個網絡系統(tǒng)，而不是單一的蜜罐主機［3］，因此構架蜜網系統(tǒng)就更加復雜，蜜網的檢測，響應，分析，恢復的能力也很大程度上有所提高。

2 蜜網功能

蜜網系統(tǒng)形成一個誘捕環(huán)境，吸引攻擊者的攻擊，任何進入蜜網的鏈接都是可疑的，都會被記錄下來，因為蜜網本身沒有正常的工作流量，因此捕捉到的數(shù)據(jù)量很少，但是具有很高的研究價值。任何從蜜網發(fā)出的向外鏈接，則說明該蜜網系統(tǒng)被攻陷。一個蜜網具有3 大核心功能:數(shù)據(jù)捕獲，數(shù)據(jù)控制和數(shù)據(jù)分析。

2.1 數(shù)據(jù)捕獲

蜜網系統(tǒng)采用三種層次捕獲數(shù)據(jù)，分別是防火墻，IDS 和蜜罐主機。防火墻位于蜜網系統(tǒng)的前面，所有進入蜜網的數(shù)據(jù)都必須經過防火墻，因此防火墻日志是蜜網系統(tǒng)的第一層數(shù)據(jù)。入侵檢測系統(tǒng)IDS在數(shù)據(jù)鏈路層監(jiān)視整個網絡的流量，對可疑行為進行匹配，還可以及時預警可能發(fā)生的攻擊。最后一層就是蜜罐主機，發(fā)生在蜜罐主機上的活動都將被蜜罐日志記錄下了，并且這些日志可以通過網絡發(fā)送到安全的日志服務器上。采用三層數(shù)據(jù)捕獲機制，相比一層數(shù)據(jù)捕獲，它的風險性更低，捕獲到的數(shù)據(jù)更加完整，體現(xiàn)了蜜網強大的數(shù)據(jù)捕獲功能。

2.2 數(shù)據(jù)控制

蜜網系統(tǒng)采用兩種層次控制數(shù)據(jù)，分別是防火墻和路由器。第一層就是防火墻，防火墻允許所有的入站鏈接，但是對向外的連接數(shù)目進行控制，實驗證明，每小時5 到10 個出站連接比較好，不僅使黑客一直保持興趣，而且還保護其他系統(tǒng)免受攻擊［4］。路由器是數(shù)據(jù)保護的第二層，路由器用來防止IP地址欺騙攻擊，ICMP 攻擊等等。如果第一層防火墻失效了，路由器就執(zhí)行防火墻的主要功能。

2.3 數(shù)據(jù)分析

對蜜網系統(tǒng)的三層數(shù)據(jù)捕獲機制捕獲的數(shù)據(jù)進行采集和分析就是蜜網系統(tǒng)的重要功能之一。采集數(shù)據(jù)必須爆炸數(shù)據(jù)的完整性，安全性和可靠性，對數(shù)據(jù)進行分析，從而獲得攻擊者的攻擊意圖，攻擊方式和攻擊工具。

3 利用Honeyd 對抗蠕蟲病毒

蠕蟲病毒具有獨立存在，自動傳播的特點。當一臺計算機感染上蠕蟲病毒之后，蠕蟲病毒就會隨機選取一段IP 地址，然后掃描該段地址上的主機，一旦發(fā)現(xiàn)某臺主機存在漏洞，就會對其發(fā)起進攻，也就是說，只要有一臺計算機感染上了蠕蟲病毒，那么這個蠕蟲病毒很快就會在網絡中蔓延開來，感染網絡中數(shù)以百計的計算機，輕者影響網絡的正常運行，重者使網絡癱瘓。

現(xiàn)有的網絡安全工具，比如防火墻，入侵檢測系統(tǒng)，在對抗蠕蟲病毒時都存在缺陷。防火墻需要進行正確的配置才能抵抗已知類型的蠕蟲病毒，IDS 也必須不斷更新知識庫，才能有效抵抗已知類型的蠕蟲病毒，IDS 具有的異常檢測功能雖然能夠發(fā)現(xiàn)網絡中的異常狀況，但是誤報現(xiàn)象經常存在，也不能抑制蠕蟲病毒的快速傳播。

3.1 實現(xiàn)原理

蠕蟲病毒傳播的算法，帶有漏洞的主機的數(shù)量和網絡地址空間的大小決定蠕蟲病毒傳播的概率。蜜罐部署的數(shù)量決定了蜜罐收到蠕蟲病毒掃描入侵的可能性。蜜罐部署得越多，蜜罐就越容易受到蠕蟲病毒的刺探，這樣對網絡中有價值主機的保護效果就越好［5］。采用一臺配置比較高的計算機，安裝honeyd 軟件，并虛擬出大量蜜罐進行配置，將這些蜜罐和網絡中未使用`的IP 地址綁定在一起，并使其存在系統(tǒng)漏洞，利用這些漏洞吸引蠕蟲病毒。利用Honeyd 構建虛擬蜜網對抗蠕蟲病毒需要的硬件資源少，配置簡單，一但被攻破，恢復也容易。

3.2 實現(xiàn)過程

利用honeyd 虛擬出大量的虛擬蜜罐，然后通過下面幾個步驟實現(xiàn)對抗蠕蟲病毒，如圖1 所示。

3.3 模擬實驗

利用honeyd 模擬虛擬蜜罐在校園網內捕捉沖擊波蠕蟲病毒。沖擊波蠕蟲的特點是隨機掃描系統(tǒng)的TCP135 端口，只要發(fā)現(xiàn)Windows RPCDCOM 系統(tǒng)漏洞就對該主機發(fā)起攻擊。根據(jù)該特點配置Honeyd 模板，讓虛擬蜜罐具有該Windows 漏洞并吸引沖擊波蠕蟲病毒，致使沖擊波蠕蟲病毒攻擊虛擬蜜罐，以達到轉移攻擊流量拖延時間的目的［6］。Honeyd 模板的配置如下:

圖1 利用honeyd 對抗蠕蟲病毒實現(xiàn)過程

TCP4444 端口調用WormCatcher. sh 腳本，該腳本的作用是能對蠕蟲提出的遠程請求做出回答，使得虛擬蜜罐的欺騙性更加真實。WormCatcher. sh 腳本如下:

配置如下模板利用虛擬蜜罐反攻被沖擊波蠕蟲病毒感染的主機:

我們在TCP4444 端口調用strikeback. sh 腳本，這個腳本文件的作用是首先殺死被感染主機中的沖擊波蠕蟲病毒，然后將蠕蟲病毒的二進制代碼清除，最后從注冊表中刪除自動啟動項目，修補系統(tǒng)漏洞，重啟主機。strikeback. sh 腳本內容如下:

3.4 實驗結果

采用一臺計算機，其IP 地址為192.168.52.170，讓其感染沖擊波蠕蟲病毒。虛擬蜜罐系統(tǒng)運行一段時間之后，我們查看Honeyd日志，并截取其中一段如下圖2，該日志保存的是蠕蟲病毒的掃描信息。

圖2 一段Honey日志記錄

從該日志可以分析出135 端口的Windows 漏洞被虛擬蜜罐打開，虛擬蜜罐以此在比較段的時間內成功成功誘惑了沖擊波蠕蟲病毒。

4 結語

利用Honeyd 構建的虛擬蜜罐系統(tǒng)對抗蠕蟲病毒，該系統(tǒng)具有所需的硬件成本低，恢復也較容易的特點。通過配置模板，編寫腳本代碼，使得Honeyd 能夠與攻擊者進行交互，可以獲得更多的數(shù)據(jù)，用于更好地研究蠕蟲病毒的傳播行為，追蹤蠕蟲病毒的根源。虛擬蜜罐系統(tǒng)能夠彌補傳統(tǒng)的網絡安全工具的缺陷，作為新型的主動的防御工具用于捕獲未知的蠕蟲病毒。

［1］夏春和，吳震，趙勇，等.入侵誘騙模型的研究與建立［J］.計算機應用研究，2002(4):76－79.

［2］Lance Spiizner.Honeypot:追蹤黑客［M］.北京:清華大學出版社，2004:20－50.

［3］曹愛娟，劉寶旭，許榕生.網絡陷阱與誘捕防御技術綜述［J］.計算機工程，2004，30(9):1－3.

［4］馬傳龍，鄧亞平.Honeynets 及其最新技術［J］.計算機應用研究，2004(7):11－12.

［5］張運凱，郭永宏，王浩.網絡蠕蟲的傳播與控制［J］.網絡安全技術與應用，2004(6):16－18.

［6］Know Your Enemy(KYE)series of paper［EB/OL］.http://www.honeynet.org/papers/kye.html，2005.