劉松

摘 要：當(dāng)前，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在校園中被普遍應(yīng)用，校園網(wǎng)絡(luò)安全日益受到人們的重視。對(duì)此，對(duì)基于蜜網(wǎng)技術(shù)的校園網(wǎng)絡(luò)安全防御展開(kāi)了研究，對(duì)蜜網(wǎng)技術(shù)進(jìn)行了概述，并詳細(xì)介紹了校園網(wǎng)絡(luò)安全防御中蜜網(wǎng)技術(shù)的實(shí)現(xiàn)，旨在為有關(guān)方面提供幫助。

關(guān)鍵詞：蜜網(wǎng)技術(shù)；校園網(wǎng)絡(luò)；安全防御；數(shù)據(jù)控制

中圖分類號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.15913/j.cnki.kjycx.2016.16.092

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)深入到社會(huì)的方方面面中，計(jì)算機(jī)網(wǎng)絡(luò)安全也成為了社會(huì)廣泛關(guān)注的問(wèn)題，而校園網(wǎng)絡(luò)安全問(wèn)題更是人們關(guān)注的重點(diǎn)。在校園網(wǎng)絡(luò)安全防御系統(tǒng)中，應(yīng)用蜜網(wǎng)技術(shù)能夠?qū)σ阎臀粗男滦腿肭质侄芜M(jìn)行預(yù)警、有效地防護(hù)和主動(dòng)預(yù)防，具有主動(dòng)防御功能，能夠有效地保證校園網(wǎng)絡(luò)的安全。基于此，筆者對(duì)基于蜜網(wǎng)技術(shù)的校園網(wǎng)絡(luò)安全防御進(jìn)行介紹。

1 蜜網(wǎng)技術(shù)

蜜網(wǎng)（Honeynet）技術(shù)是由Honeynet項(xiàng)目組（The Honeynet Project）提出并倡導(dǎo)的一種對(duì)攻擊行為進(jìn)行捕獲和分析的新技術(shù)，從本質(zhì)上來(lái)講，仍然是一種蜜罐技術(shù)。要成功地建立一個(gè)Honeynet，需要面臨數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析3個(gè)問(wèn)題。

數(shù)據(jù)控制代表一種規(guī)則，你必須能夠確定你的信息包能夠發(fā)送到什么地方。數(shù)據(jù)控制是對(duì)攻擊者在Honeynet中對(duì)第三方發(fā)起的攻擊行為進(jìn)行限制的機(jī)制，用以降低部署Honeynet所帶來(lái)的安全風(fēng)險(xiǎn)。數(shù)據(jù)捕獲，即監(jiān)控和記錄攻擊者在Honeynet內(nèi)的所有行為，最大的挑戰(zhàn)在于搜集盡可能多的數(shù)據(jù)，而又不被攻擊者所察覺(jué)。數(shù)據(jù)分析則是對(duì)捕獲到的攻擊數(shù)據(jù)進(jìn)行整理和融合，以輔助安全專家從中分析出這些數(shù)據(jù)背后蘊(yùn)涵的攻擊工具、方法、技術(shù)和動(dòng)機(jī)。

2 蜜罐技術(shù)在網(wǎng)絡(luò)安全防御中的實(shí)現(xiàn)

在本文的研究中，根據(jù)我院校園網(wǎng)絡(luò)環(huán)境的實(shí)際要求，通過(guò)使用虛擬軟件（VMWare）和物理計(jì)算機(jī)建立一個(gè)混合虛擬Honeynet，從而減少了物理計(jì)算機(jī)的需要。VMWare宿主主機(jī)（物理計(jì)算機(jī)）配置Honeywall網(wǎng)關(guān)和控制機(jī)，在主機(jī)中的虛擬機(jī)中配置2臺(tái)基于Linux和Windows的蜜罐，并使用一臺(tái)物理計(jì)算機(jī)部署為Windows的蜜罐。部署的虛擬Honeynet如圖1所示。

2.1 數(shù)據(jù)控制的實(shí)現(xiàn)

數(shù)據(jù)控制的策略主要是對(duì)流經(jīng)系統(tǒng)的數(shù)據(jù)進(jìn)行控制。首先，讓攻擊者順利進(jìn)入并攻擊系統(tǒng)是部署虛擬Honeynet的目的之一，因此對(duì)流入的虛擬Honeynet的數(shù)據(jù)不作任何限制；然而，為了降低虛擬Honeynet的風(fēng)險(xiǎn)，防止攻擊者將虛擬Honeynet作為跳板攻擊其他正常系統(tǒng)，應(yīng)對(duì)虛擬Honeynet外出的連接作流量限制，并且還要分析數(shù)據(jù)包抑制攻擊數(shù)據(jù)包的傳播。

在部署的Honeynet中，數(shù)據(jù)控制的第一個(gè)策略是將所有流向192.168.x.0/24的數(shù)據(jù)都導(dǎo)向Honeywall宿主主機(jī)。虛擬Honeynet中的2個(gè)蜜罐對(duì)于攻擊者是隱蔽的，攻擊者在攻擊時(shí)不知道哪個(gè)是真實(shí)的系統(tǒng)。在防火墻中，所有主機(jī)訪問(wèn)校園內(nèi)網(wǎng)路由器中192.168.0.x/24字段的數(shù)據(jù)均通過(guò)eth0導(dǎo)向Honeywall宿主主機(jī)（192.168.216.5），通過(guò)設(shè)置Iptables模塊完成數(shù)據(jù)流量導(dǎo)向，設(shè)置如下：

[root@hnroot]#Iptables-PINPUTDROP

[root@hnroot]#Iptables-PFORWARDDROP

[root@hnroot]#Iptables-POUTPUTACCEPT

[root@hnroot]#Iptables-AFORWARD-Ieth0-d192.168.0.2/24 -jACCEPT

數(shù)據(jù)控制的第二個(gè)策略是在部署的虛擬Honeynet中對(duì)流出的數(shù)據(jù)流量進(jìn)行了限制，每分鐘流出的TCP、UDP、ICMP和其他協(xié)議數(shù)據(jù)包不超過(guò)20個(gè)，同時(shí)，防火墻是否將包發(fā)給Snort-inline，Snort-inline對(duì)已知攻擊包設(shè)置方式為Replace。如果流出數(shù)據(jù)流量超過(guò)20個(gè)/min或發(fā)現(xiàn)已知攻擊時(shí)，系統(tǒng)將通過(guò)Swatch產(chǎn)生Email報(bào)警發(fā)送給宿主主機(jī)（管理機(jī)）。具體實(shí)現(xiàn)如圖2數(shù)據(jù)控制機(jī)制所示。

2.2 數(shù)據(jù)捕獲的實(shí)現(xiàn)

數(shù)據(jù)捕獲是蜜網(wǎng)的一個(gè)重要目的。如果沒(méi)有捕獲到數(shù)據(jù)，那么蜜網(wǎng)只能是一堆浪費(fèi)網(wǎng)絡(luò)帶寬、金錢的廢鐵而已。蜜網(wǎng)通過(guò)3個(gè)層次來(lái)捕獲數(shù)據(jù)，即Honeywall的日志記錄、Snort記錄的網(wǎng)絡(luò)流和Sebek捕獲的系統(tǒng)活動(dòng)。

把蜜墻、Snort及sebek上收集到的數(shù)據(jù)捕獲，經(jīng)過(guò)處理后放到數(shù)據(jù)庫(kù)和pcap文件中，為后續(xù)的數(shù)據(jù)分析提供資料。

2.2.1 Honeywall的日志記錄

Honeywall的日志可以輕松捕獲經(jīng)過(guò)Honeywall的數(shù)據(jù)，通過(guò)配置rc.honeywall腳本就可以實(shí)現(xiàn)，在Honeywall日志記錄中的所有進(jìn)入和外出的連接均被記錄到/var/log/messages。這樣可以從整體的角度來(lái)看系統(tǒng)干了些什么。

2.2.2 網(wǎng)絡(luò)原始數(shù)據(jù)流

Snort進(jìn)程捕獲所有的網(wǎng)絡(luò)活動(dòng)和內(nèi)部網(wǎng)絡(luò)接口（eth1）的數(shù)據(jù)包的數(shù)據(jù)流量信息，包括所有用UDP包來(lái)發(fā)送的Sebek活動(dòng)。當(dāng)Snort運(yùn)行在數(shù)據(jù)包記錄器模式下時(shí)，它會(huì)把所有抓取的數(shù)據(jù)包按IP分類存放到log_directory中。可用-h指定本地網(wǎng)絡(luò)，以使Snort記錄與本地網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)包。命令如下：Snort-vde-llog_directory-h192.168.1.0/24.

2.2.3 Sebek捕獲的系統(tǒng)活動(dòng)

雖然蜜罐對(duì)于攻擊者是不可見(jiàn)的，但是產(chǎn)生在蜜罐上的大量數(shù)據(jù)應(yīng)被捕獲，Sebek就是一個(gè)在數(shù)據(jù)加密情況下進(jìn)行數(shù)據(jù)捕獲的工具。Sebek有2個(gè)組成部分，即客戶端和服務(wù)端?？蛻舳税惭b在虛擬Honeynet的蜜罐上，蜜罐里攻擊者行為被捕獲后發(fā)送到網(wǎng)絡(luò)（對(duì)攻擊者是不可見(jiàn)的），并且由Honeywall網(wǎng)關(guān)被動(dòng)地收集。

在本次研究中，在Honeywall網(wǎng)關(guān)上自動(dòng)配置了Sebek的服務(wù)端，在蜜罐192.168.0.4、蜜罐192.168.0.5和蜜罐192.168.0.6中配置了Sebek客戶端。

2.3 數(shù)據(jù)分析的實(shí)現(xiàn)

當(dāng)數(shù)據(jù)捕獲后，如果不對(duì)其進(jìn)行分析，則捕獲的數(shù)據(jù)沒(méi)有任何意義。在本文部署的Honeynet中，采用自動(dòng)報(bào)警機(jī)制與輔助分析機(jī)制2種機(jī)制。Swatch工具為蜜網(wǎng)中的Snort日志文件與IPTables提供了視功能，同時(shí)在被攻擊時(shí)能夠發(fā)出自動(dòng)報(bào)警。在蜜網(wǎng)中，主機(jī)被攻擊者攻陷，然后它會(huì)向外部發(fā)起連接，Swatch工具根據(jù)指定特征的配置文件進(jìn)行匹配并自動(dòng)向安全管理人員發(fā)出報(bào)警郵件。

2.4 對(duì)Honeypot的滲透攻擊

工作人員常用Metasploit來(lái)檢測(cè)系統(tǒng)的安全性。在linux平臺(tái)上，版本比較舊的samba服務(wù)的smbd守護(hù)進(jìn)程由于對(duì)外部輸入缺少正確的邊界緩沖區(qū)檢查，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞以root用戶權(quán)限在系統(tǒng)上執(zhí)行任意指令。本系統(tǒng)利用這個(gè)漏洞來(lái)滲透攻擊。安全漏洞檢測(cè)工具選擇開(kāi)源免費(fèi)的Metasploit。滲透攻擊步驟為：①在宿主主機(jī)上安裝Metasploit。②Metasploit滲透攻擊測(cè)試。將宿主主機(jī)的防火墻打開(kāi)，使其能夠接收4444端口的連入。在Honeypot上開(kāi)放samba服務(wù)，然后運(yùn)行MSFConsole，輸入滲透攻擊命令，獲得反向shell。③對(duì)攻擊數(shù)據(jù)進(jìn)行分析，驗(yàn)證蜜網(wǎng)數(shù)據(jù)捕獲和分析功能。

漏洞滲透攻擊成功，我們通過(guò)Walleye分析工具來(lái)查看蜜網(wǎng)網(wǎng)關(guān)捕獲的數(shù)據(jù)和分析結(jié)果，發(fā)現(xiàn)數(shù)據(jù)記錄。

我們?cè)倏匆幌聦?duì)攻擊數(shù)據(jù)包的解碼結(jié)果，可以看到有很長(zhǎng)一段數(shù)據(jù)是重復(fù)的“A”或“0”。這是典型的緩沖區(qū)溢出的包的特征，可以判斷這是一次緩沖區(qū)溢出的攻擊。

攻擊結(jié)果是得到了一個(gè)反向的Shell。在這里，輸入ls和cd命令僅作為測(cè)試，可以看到有相應(yīng)的結(jié)果輸出。

本文詳細(xì)介紹了蜜罐技術(shù)三大核心機(jī)制（數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析）的實(shí)現(xiàn)，通過(guò)在校園內(nèi)網(wǎng)中的實(shí)際攻擊測(cè)試，驗(yàn)證了所部署的蜜網(wǎng)對(duì)這些攻擊測(cè)試數(shù)據(jù)的捕獲和分析能力。結(jié)果證明，本次部署的各功能均達(dá)到了預(yù)期效果。只要進(jìn)行簡(jiǎn)單設(shè)置調(diào)整，就可以廣泛應(yīng)用于實(shí)際互聯(lián)網(wǎng)中，從而降低網(wǎng)絡(luò)被攻擊的概率。

3 結(jié)束語(yǔ)

綜上所述，蜜網(wǎng)技術(shù)在校園網(wǎng)絡(luò)安全防御系統(tǒng)中的應(yīng)用能夠檢測(cè)出一些已知和未知的入侵，并采取主動(dòng)防御措施對(duì)這些入侵進(jìn)行有效的阻止和抑制，從而有效地保證校園網(wǎng)絡(luò)的安全，提高網(wǎng)絡(luò)安全防御系統(tǒng)的防御功能。因此，蜜網(wǎng)技術(shù)值得在類似的網(wǎng)絡(luò)安全防御系統(tǒng)中推廣應(yīng)用。

參考文獻(xiàn)

[1]趙宏，王靈霞.基于蜜罐技術(shù)的校園網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].自動(dòng)化與儀器儀表，2015（03）.

[2]薛飛.蜜網(wǎng)設(shè)計(jì)及其在校園網(wǎng)應(yīng)用研究[J].科教文匯（中旬刊），2015（12）.

〔編輯：劉曉芳〕