鈕永莉

（滁州職業(yè)技術(shù)學(xué)院，安徽 滁州 239000）

陷阱系統(tǒng)分析與實(shí)現(xiàn)

鈕永莉

（滁州職業(yè)技術(shù)學(xué)院，安徽 滁州 239000）

文章介紹了目前網(wǎng)絡(luò)安全的現(xiàn)狀和有關(guān)技術(shù)，重點(diǎn)分析了陷阱技術(shù)，并提出了一種陷阱系統(tǒng)在網(wǎng)絡(luò)中的部署方案，討論了此種結(jié)構(gòu)的優(yōu)點(diǎn)及其中防火墻、路由器與入侵檢測系統(tǒng)發(fā)揮的重要作用。

防火墻；入侵檢測；陷阱系統(tǒng)

計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)為人們提供了各種方便和機(jī)會(huì)，然而網(wǎng)絡(luò)帶來便利的同時(shí)也帶來了各種各樣的問題，特別是網(wǎng)絡(luò)安全問題，與人們的生活和工作息息相關(guān)。目前網(wǎng)絡(luò)安全主要技術(shù)包括：防火墻、入侵檢測、加密技術(shù)、漏洞掃描等，但是這些防御措施都是在已發(fā)現(xiàn)的各種攻擊方式的基礎(chǔ)上去推測和防御黑客的攻擊，都是被動(dòng)的；但是，由于黑客采用的技術(shù)不斷更新變化，我們的應(yīng)對(duì)措施總是滯后于各種攻擊模式，這種情況對(duì)于網(wǎng)絡(luò)安全是非常不利的。因此，人們又開始研究一種新型的與傳統(tǒng)安全思想完全不同的網(wǎng)絡(luò)安全技術(shù)—陷阱。不同于原有的網(wǎng)絡(luò)安全策略，陷阱技術(shù)是通過模擬真實(shí)網(wǎng)絡(luò)，吸引黑客主動(dòng)攻擊，從而學(xué)習(xí)了解入侵者的思路、目的和工具[1]。通過這種方式，可以更好地理解網(wǎng)絡(luò)所遇到的威脅，在學(xué)習(xí)如何防御這些威脅時(shí)也有了更好的依據(jù)。

1 陷阱技術(shù)

陷阱技術(shù)是一種記錄黑客攻擊過程的技術(shù)，它使用各種監(jiān)控技術(shù)來捕獲攻擊者的行為，其實(shí)是用來欺騙攻擊者，使他們進(jìn)入受控環(huán)境中，并在此過程中生成對(duì)于當(dāng)前攻擊行為、工具、技術(shù)的數(shù)據(jù)，把攻擊者引入到并不重要的虛擬環(huán)境中，降低黑客攻擊重要系統(tǒng)的可能性，從而減少對(duì)重要系統(tǒng)和網(wǎng)絡(luò)的威脅。

陷阱系統(tǒng)是通過陷阱技術(shù)實(shí)現(xiàn)的一種主機(jī)或網(wǎng)絡(luò)，是預(yù)設(shè)的環(huán)境，它使用相應(yīng)的技術(shù)手段把黑客等侵入系統(tǒng)的一切信息記錄下來，包括攻擊的過程、使用工具等，可以保護(hù)主機(jī)的正常運(yùn)行，更為重要的是，它可以混淆黑客等入侵者的攻擊目標(biāo)，從而保護(hù)關(guān)鍵主機(jī)。陷阱系統(tǒng)收集的信息可以追蹤和查找入侵者的資料；可以作為培訓(xùn)教案提高安全人員防范黑客攻擊的能力，還可以作為證據(jù)起訴入侵者。陷阱系統(tǒng)實(shí)質(zhì)上是模擬真實(shí)系統(tǒng)或網(wǎng)絡(luò)，但一般不包含有價(jià)值的數(shù)據(jù)和信息，但在攻擊者看來要有吸引力，迷惑攻擊者，同時(shí)不能威脅到重要系統(tǒng)和數(shù)據(jù)的安全。

當(dāng)前，實(shí)現(xiàn)陷阱的技術(shù)主要有兩大類：蜜罐技術(shù)（Honeypot）和蜜網(wǎng)系統(tǒng)（Honeynet System）。

1.1 蜜罐技術(shù)

蜜罐實(shí)際上是一種網(wǎng)絡(luò)資源，它存在的價(jià)值就在于被探測和被攻擊[2]。所以Honeypot會(huì)模擬不同系統(tǒng)或一些常見的漏洞，在某個(gè)系統(tǒng)上做相應(yīng)設(shè)置使其誘騙入侵者的攻擊，比如Honeyd，BOF和Specter等。蜜罐系統(tǒng)的目的是通過額外開銷浪費(fèi)攻擊者的精力和時(shí)間，以減少關(guān)鍵系統(tǒng)被攻擊的風(fēng)險(xiǎn)，還可以通過記錄攻擊者的攻擊方法和路徑，為提高重要系統(tǒng)的安全策略提供依據(jù)。

一般來說，Honeypot應(yīng)通過路由器或防火墻放置在靠近正常服務(wù)區(qū)的地方以吸引入侵者的注意，這里正常服務(wù)區(qū)指的是提供服務(wù)和存放重要數(shù)據(jù)的系統(tǒng)或服務(wù)器。這時(shí)在路由器或防火墻中需要使用端口重定向功能隱藏真正的目標(biāo)IP，使入侵者感覺是在訪問服務(wù)區(qū)。

另外一種方法是把Honeypot布置在提供服務(wù)的系統(tǒng)與系統(tǒng)之間。這種方式更適合于來自網(wǎng)絡(luò)外部的隨機(jī)攻擊，這是因?yàn)榇蟛糠智闆r下外部人員很難知曉內(nèi)部網(wǎng)絡(luò)分布的詳細(xì)情況，發(fā)動(dòng)的攻擊也就帶有一定的隨機(jī)性。當(dāng)入侵者以全網(wǎng)掃描的方式尋找脆弱主機(jī)時(shí)，就有極大的可能找到Honeypot，因?yàn)槠浔旧砭捅辉O(shè)計(jì)為具有一些常見漏洞，以吸引黑客的注意，這樣就能大大降低正常系統(tǒng)被攻擊的風(fēng)險(xiǎn)[3]。

1.2 蜜網(wǎng)工程

現(xiàn)在有一些安全組織和科研人員正轉(zhuǎn)向研究蜜網(wǎng)工程，蜜網(wǎng)與傳統(tǒng)的Honeypot不同，其不但用來對(duì)入侵者的行為進(jìn)行誘騙或報(bào)警，更重要的是它是一個(gè)學(xué)習(xí)工具，又稱為研究型蜜網(wǎng)。

與Honeypot相比較，Honeynet有所不同，其是一個(gè)網(wǎng)絡(luò)系統(tǒng)而不是某臺(tái)單一主機(jī)。一般來說，Honeynet是隱藏在防火墻后面的，因?yàn)榉阑饓Φ倪^濾功能，使得所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都要通過防火墻的捕獲及控制。當(dāng)獲得這些數(shù)據(jù)后，就可以采用相應(yīng)的方法加以研究，從而得出入侵者所使用的方法、工具和動(dòng)機(jī)。在Honeynet中，可使用多種不同的操作系統(tǒng)及設(shè)備，比如Linux Windows Server，Unix等；還可以在不同的平臺(tái)上運(yùn)行不同的服務(wù)，如Windows Server的DNS，DHCP，Webserver，F(xiàn)TP 等，這樣可以使建立的網(wǎng)絡(luò)系統(tǒng)看上去更真實(shí)，可以更多地學(xué)習(xí)入侵者所使用的不同工具及策略，揭示出他們的一些習(xí)慣和特性。

建立Honeynet的目的是人為地建立一種環(huán)境，在這個(gè)環(huán)境中，入侵者所用的工具以及他們的行為都可以被監(jiān)控和捕捉。要達(dá)到這個(gè)要求，信息操控和信息捕獲是蜜網(wǎng)的設(shè)計(jì)者要解決的兩個(gè)問題。信息操控代表著一種約束規(guī)則，即我們必須要確定系統(tǒng)信息包的發(fā)送地址，這樣才能保證在Honeynet里的Honeypot主機(jī)被入侵后，該主機(jī)不會(huì)被用來攻擊在蜜網(wǎng)以外的系統(tǒng)或主機(jī)，也就是說，所有進(jìn)出Honeynet的數(shù)據(jù)流都必須被控制而不會(huì)被入侵者有所察覺。信息捕獲則是要通過不同方法獲取進(jìn)出Honeynet的所有信息并記錄入侵者的各種行為，通過捕獲的數(shù)據(jù)可以分析了解黑客使用的工具、策略及方法，從而防患于未然。

另外，對(duì)于那些在分布式環(huán)境中有多個(gè)Honeynet系統(tǒng)的研究機(jī)構(gòu)或公司來說，還有第3件事要做，那就是信息收集。在完成信息捕獲的任務(wù)后，有必要把各個(gè)不同蜜網(wǎng)所收集到的信息集中起來，進(jìn)行匯總分析，這樣能夠更好地研究黑客，加快安全技術(shù)的發(fā)展。

2 系統(tǒng)部署

在建立Honeynet的過程中，需要綜合應(yīng)用各種知識(shí)、技術(shù)及設(shè)備，如防火墻、路由器、入侵檢測系統(tǒng)等。如果是一個(gè)比較大型的網(wǎng)絡(luò)，則可以專門設(shè)置一個(gè)完整的陷阱區(qū)域，將陷阱系統(tǒng)布置在該區(qū)域中。通過這樣的布局，不但可以方便陷阱系統(tǒng)的管理，同時(shí)還可以有效防止因大規(guī)模的入侵者攻擊而影響正常系統(tǒng)。陷阱系統(tǒng)看起來就像正常系統(tǒng)一樣，其所提供的服務(wù)，包括主機(jī)、系統(tǒng)軟硬件的配置都與正常系統(tǒng)類似，最大的區(qū)別只是數(shù)據(jù)信息的真?zhèn)尾煌?。在正常服?wù)區(qū)中，還可同時(shí)安裝提供正常服務(wù)的系統(tǒng)和蜜罐主機(jī)，這樣不但可以提高陷阱成功的可能性，還可以在一定程度上減少防火墻以及IDS系統(tǒng)不能識(shí)別的攻擊包對(duì)正常服務(wù)區(qū)域進(jìn)行攻擊的危險(xiǎn)。

本文提出的一種Honeynet在網(wǎng)絡(luò)中的部署方案如圖1所示，從中可以看出：防火墻、路由器、入侵檢測系統(tǒng)（Intrusion Detection System，IDS）各自發(fā)揮著不可替代的重要作用。

圖1 Honeynet在網(wǎng)絡(luò)中部署示意

2.1 防火墻的作用

將防火墻放置在Honeynet的前端，最大的好處是所有的信息包都要經(jīng)過防火墻才能進(jìn)入系統(tǒng)。當(dāng)防火墻發(fā)現(xiàn)攻擊行為時(shí)，對(duì)于一般的掃描數(shù)據(jù)包，是直接將這些數(shù)據(jù)包轉(zhuǎn)發(fā)到陷阱區(qū)，而不是丟棄這些包；如果是一些破壞性較強(qiáng)的攻擊包，如廣播攻擊、Dos攻擊等，就一定要將其阻擋在外。除此之外，該防火墻還要具有追蹤功能，對(duì)于所有從Honeypot機(jī)器往外信息包進(jìn)行跟蹤，當(dāng)數(shù)量超過一定值時(shí)，防火墻將會(huì)把這些信息包阻塞，禁止發(fā)送；只是阻擋而不是直接將包都丟棄的目的是為了不引起入侵者的懷疑，同時(shí)也可以避免攻擊者利用Honeypot主機(jī)對(duì)內(nèi)部系統(tǒng)進(jìn)行探測和攻擊。

2.2 路由器的作用

在防火墻與Honeynet之間放置的路由器，有兩個(gè)作用：首先，路由器的存在隱藏了防火墻，當(dāng)Honeypot被攻擊時(shí)，入侵者從這里察看往外的路由，會(huì)感覺更像一個(gè)真實(shí)的網(wǎng)絡(luò)環(huán)境而不是蜜罐環(huán)境；除了這點(diǎn)以外，路由器還限制網(wǎng)絡(luò)訪問，作為防火墻的功能的擴(kuò)充，做到層層保護(hù)，目的是確保Honeypot不會(huì)被用來攻擊真實(shí)服務(wù)器或其他系統(tǒng)。

這里有一點(diǎn)要注意，陷阱系統(tǒng)畢竟是為了吸引黑客攻擊而開發(fā)，為了在不被黑客發(fā)現(xiàn)的情況下得到盡可能多的數(shù)據(jù)信息，有可能需要對(duì)系統(tǒng)進(jìn)行一些必要的修改，盡管這種修改是非常必要的，但是為了不引起入侵者的懷疑，修改要盡可能的少。除此之外，捕獲到的數(shù)據(jù)也要有安全的存放地點(diǎn)，不能存放在Honeypot主機(jī)上，因?yàn)檫@樣做非常不安全，極有可能會(huì)被黑客注意到，從而發(fā)現(xiàn)該系統(tǒng)是一個(gè)陷阱系統(tǒng)。為避免此種情況發(fā)生，我們需要把數(shù)據(jù)放在遠(yuǎn)程安全的主機(jī)上。

2.3 IDS的作用

IDS主要工作就是對(duì)網(wǎng)絡(luò)中的信息流量進(jìn)行監(jiān)控分析和記錄，IDS可以捕獲系統(tǒng)中的幾乎所有舉動(dòng)，在本設(shè)計(jì)中，IDS的放置方式使得所有機(jī)器都可以被監(jiān)控到。IDS會(huì)把信息包中的特征字符串與自身的入侵檢測特征庫中的某一項(xiàng)進(jìn)行比較驗(yàn)證，如果相同或相似，它就會(huì)發(fā)出警告消息。IDS還可有效地保護(hù)日志文件。因?yàn)閷?duì)于較高“水平”的黑客來說，在入侵系統(tǒng)后，一般都會(huì)刪除或修改日志文件，因此有必要對(duì)日志文件進(jìn)行備份，除了在本機(jī)上保存日志文件之外，還應(yīng)該發(fā)一份到遠(yuǎn)程日志服務(wù)器上。即便入侵者還想要登錄遠(yuǎn)程服務(wù)器，他們也不能對(duì)日志產(chǎn)生太大影響，因?yàn)檫@時(shí)IDS會(huì)繼續(xù)捕獲Honeynet的信息包，檢測出入侵者的活動(dòng)，并寫入遠(yuǎn)程日志系統(tǒng)，保證了日志的完整性。

從另一方面來說，陷阱技術(shù)的發(fā)展也將促進(jìn)IDS技術(shù)的發(fā)展，通過陷阱系統(tǒng)獲取黑客的最新入侵方法，可以幫助我們更好地設(shè)計(jì)IDS的特征數(shù)據(jù)庫，從而提高IDS系統(tǒng)的檢測效率。從這一點(diǎn)來說，IDS的發(fā)展與陷阱技術(shù)的發(fā)展是相輔相成的。

3 結(jié)語

傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如防火墻和入侵檢測系統(tǒng)等是應(yīng)用技術(shù)手段將攻擊者趕走，而隱蔽的陷阱則可以收集攻擊者的攻擊信息和各種數(shù)據(jù)包，通過分析其可能的攻擊目標(biāo)和攻擊方式，從而達(dá)到保護(hù)攻擊目標(biāo)的作用，降低正常系統(tǒng)被攻破的危險(xiǎn)，是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域加強(qiáng)應(yīng)用研究的重要方向，對(duì)于下階段進(jìn)一步研究動(dòng)態(tài)蜜罐技術(shù)的廣泛應(yīng)用有積極意義[4]。它克服了傳統(tǒng)安全技術(shù)的預(yù)防能力不夠的弱點(diǎn)，除進(jìn)行入侵監(jiān)測外，更重要的是可以用來學(xué)習(xí)了解入侵者的思路、行為和目的，使人們在與入侵者的斗爭中獲取主動(dòng)權(quán)。

[1]金淦，張晶.蜜罐技術(shù)系統(tǒng)在局域網(wǎng)安全中研究與設(shè)計(jì)[J].信息與電腦（理論版），2010（3）：84-86.

[2]劉猛.Honeynet原型系統(tǒng)的研究與設(shè)計(jì)[J].電腦知識(shí)與技術(shù)，2006（10）：57-58.

[3]魏辰.“蜜罐”技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用[J].青海師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2011（3）：66-68.

[4]程靜.基于動(dòng)態(tài)蜜罐技術(shù)的虛擬網(wǎng)絡(luò)設(shè)計(jì)[J].韶關(guān)學(xué)院學(xué)報(bào)，2014（4）：24-28.

Analysis and realization of Decoy system

Niu YongLi
（Chuzhou Vocational and Technical College, Chuzhou 239000, China）

This paper introduces the present situation of network security and related technologies, analyzes the decoy technology emphatically, puts forward a scheme of Deploy System in network, and discusses the advantages of this kind of structure and its important role in fi rewall, router and intrusion detection system.

fi rewall; IDS; Decoy System

鈕永莉（1977— ），女，安徽滁州。