◆陳偉

（中國電子科技集團公司第五十八研究所 江蘇 214000）

嵌入式Linux 因其優(yōu)異的性能，多CPU 架構(gòu)的支持，可裁剪，可配置，豐富的軟件資源及活躍的社區(qū)支持，越來越廣泛地應(yīng)用于邊緣計算、機器視覺、數(shù)字孿生等物聯(lián)網(wǎng)設(shè)備中，是收集、生產(chǎn)、處理和傳輸有價值數(shù)據(jù)的實際載體，而未加安全防范的嵌入式Linux 設(shè)備的漏洞和攻擊點無處不在，成為惡意攻擊的重要目標[1]。利用Shodan搜索引擎，可以發(fā)現(xiàn)大量的基于嵌入式Linux 系統(tǒng)的IPC、NVR、NAS、打印機、路由器等設(shè)備以默認密碼、弱密碼或空密碼的形式暴露在互聯(lián)網(wǎng)上，時刻遭受被入侵的威脅。物聯(lián)網(wǎng)蜜罐技術(shù)通過構(gòu)建安全可控的誘餌環(huán)境，主動引誘入侵者攻擊，捕捉入侵者信息并進行入侵行為審計，為后續(xù)的攻擊組織畫像及溯源工作提供情報支撐，同時與具有真實服務(wù)的物聯(lián)網(wǎng)設(shè)備建立情報共享，及時阻斷入侵行為，盡可能地減少損失。

1 物聯(lián)網(wǎng)蜜罐定義

物聯(lián)網(wǎng)蜜罐是指以物聯(lián)網(wǎng)計算、網(wǎng)絡(luò)、感知及執(zhí)行等資源為誘餌，部署于真實物聯(lián)網(wǎng)設(shè)備周邊，具有物聯(lián)網(wǎng)安全威脅發(fā)現(xiàn)、捕獲、分析和告警功能，保護真實物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)欺騙技術(shù)[2]。區(qū)別于常規(guī)蜜罐，物聯(lián)網(wǎng)蜜罐硬件平臺多源異構(gòu)，例如基于不同的CPU 架構(gòu)（ARM64、ARMv7、MIPS32）、運行不同的操作系統(tǒng)（Ubuntu-core、Debian、Fedora IoT）以及具有多樣的硬件資源（LTE、Wi-Fi、Ethernet、RS232、RS485），使得物聯(lián)網(wǎng)蜜罐誘餌環(huán)境多樣化，通用性有所限制。雖然物聯(lián)網(wǎng)蜜罐誘餌環(huán)境多樣，架構(gòu)封閉且構(gòu)建難度高，但由于物聯(lián)網(wǎng)蜜罐改變了傳統(tǒng)入侵防御的被動局面，其所帶來的優(yōu)勢也是顯而易見的[3]。

2 物聯(lián)網(wǎng)蜜罐結(jié)構(gòu)形態(tài)

物聯(lián)網(wǎng)蜜罐組成結(jié)構(gòu)主要分為誘餌模塊、數(shù)據(jù)處理模塊、安全控制模塊3 個部分。

誘餌模塊實現(xiàn)與入侵者交互的系統(tǒng)資源或服務(wù)，用于吸引和誘惑入侵者，主要分為3 個部分：

（1）建立誘餌環(huán)境，包含一些生產(chǎn)服務(wù)所需的且存在安全漏洞的應(yīng)用，如使用弱密碼的SSH、Telnet 以及未加安全防范的HTTP、MySQL 服務(wù)等。

（2）建立盡可能真實且可交互的系統(tǒng)環(huán)境，包括文件系統(tǒng)環(huán)境、程序執(zhí)行環(huán)境、底層硬件環(huán)境甚至網(wǎng)絡(luò)環(huán)境，如模擬出系統(tǒng)的文件系統(tǒng)信息、進程信息、網(wǎng)絡(luò)狀態(tài)等。

（3）建立物聯(lián)網(wǎng)設(shè)備的業(yè)務(wù)模型，包括物聯(lián)網(wǎng)設(shè)備的物理信息感知、執(zhí)行器的物理操作和狀態(tài)變化。

3 主動防御系統(tǒng)實現(xiàn)

3.1 物聯(lián)網(wǎng)蜜罐部署

我們使用HFish 作為物聯(lián)網(wǎng)蜜罐框架，HFish 是一款基于Golang開發(fā)的跨平臺輕量級多功能主動誘導(dǎo)型蜜罐平臺，非常適合于基于嵌入式Linux 系統(tǒng)的物聯(lián)網(wǎng)設(shè)備部署應(yīng)用，作為物聯(lián)網(wǎng)中的情報收集者，HFish 能夠時刻捕捉網(wǎng)絡(luò)中的攻擊行為，竊聽入侵者之間的聯(lián)系，收集入侵者所用的種種工具，甚至掌握他們的社交網(wǎng)絡(luò)。

3.2 情報共享

HFish 提供API 接口，將捕獲到的入侵信息與各種不同平臺進行情報共享，包括入侵時間、入侵類型、入侵者IP 等信息。

因此可以很方便地通過編寫程序，以輪詢的方式實時向多個HFish 蜜罐查詢是否存在入侵行為，由于蜜罐系統(tǒng)并不存在真實有效的應(yīng)用服務(wù)，任何試圖連接蜜罐系統(tǒng)的行為都可以簡單地判定為攻擊行為，從而將入侵者IP 地址加入防火墻規(guī)則或利用TCP Wrappers 訪問控制及時進行阻攔，實現(xiàn)主動防御.

3.3 測試驗證

通常在網(wǎng)絡(luò)攻防過程中，入侵者在入侵最初階段主要利用探測、掃描等手段對目標網(wǎng)絡(luò)進行信息獲取，分析目標網(wǎng)絡(luò)中存在的脆弱點及漏洞，找出最合適的網(wǎng)絡(luò)攻擊策略，使網(wǎng)絡(luò)攻擊效益最大化。因此我們使用Kali Linux（IP 地址為192.168.0.101），并使用網(wǎng)絡(luò)探測工具nmap 以及SSH 暴力破解工具Hydra 來模擬攻擊測試，Ubuntu18.04（IP 地址為192.168.0.103）作為具有真實服務(wù)資源的物聯(lián)網(wǎng)設(shè)備，安裝有SSH 服務(wù)、HTTP 服務(wù)，嵌入式Linux 平臺i.MX6UL（分配兩個IP 地址，分別為192.168.0.102、192.168.0.104，操作系統(tǒng)為Debian 10.5）作為蜜罐，部署兩套HFish 蜜罐，測試示意如圖1所示。

圖1 測試示意

（1）運行HFish 蜜罐，在Kali Linux（IP 地址為192.168.0.101）上用nmap 工具掃描192.168.0.0/24 網(wǎng)絡(luò)，使用命令為：

nmap 192.168.0.0/24

從掃描結(jié)果中可以看出IP 地址為192.168.0.103 開啟了SSH 服務(wù)（端口22）和HTTP 服務(wù)（端口80），同時可以看到其中一個蜜罐（IP 地址為192.168.0.102）虛擬出了SSH 服務(wù)（端口22），另外一個蜜罐（IP 地址為192.168.0.104）虛擬出了Telnet（端口23）及MySQL服務(wù)（端口3306）。

（2）在Kali Linux（IP 地址為192.168.0.101）上模擬入侵者使用SSH 暴力破解工具Hydra 攻擊其中一個蜜罐（IP 地址為192.168.0.102），執(zhí)行命令：

hydra -l root -P /usr/share/wordlists/dirb/small.txt -t 2 -vV -e ns 192.168.0.102 ssh

此時，物聯(lián)網(wǎng)設(shè)備（IP 地址為192.168.0.103）立刻獲取到了蜜罐共享的攻擊信息，圖2所示。

圖2 攻擊信息

（3）在Kali Linux（IP 地址為192.168.0.101）上再次用nmap工具掃描192.168.0.0/24 網(wǎng)絡(luò)，從掃描結(jié)果中可以看出，真實物聯(lián)網(wǎng)設(shè)備（IP 地址為192.168.0.103）未顯示出任何服務(wù)，即使嘗試進行SSH 連接也是拒絕服務(wù)。攻擊蜜罐前后nmap 探測網(wǎng)絡(luò)結(jié)果如圖3所示。

圖3 攻擊蜜罐前后nmap 探測網(wǎng)絡(luò)結(jié)果

經(jīng)過多次測試驗證，HFish 蜜罐都能夠第一時間將捕獲的入侵信息共享給具有真實物聯(lián)網(wǎng)服務(wù)的設(shè)備，實現(xiàn)主動防御，通過部署更多的HFish 蜜罐，可以極大降低具有真實服務(wù)的物聯(lián)網(wǎng)設(shè)備被直接攻擊的概率，從而達到設(shè)計要求。

4 總結(jié)

俗話說“凡事預(yù)則立，不預(yù)則廢”，面對日益嚴峻的網(wǎng)絡(luò)安全形式，我們更需要做出充分的準備加以應(yīng)對，而基于嵌入式Linux 平臺的物聯(lián)網(wǎng)蜜罐技術(shù)能夠改變以往被動防御的局面，主動發(fā)現(xiàn)網(wǎng)絡(luò)中正在發(fā)生的攻擊行為，實現(xiàn)對各類攻擊行為的主動防御，有效保護了物聯(lián)網(wǎng)設(shè)備的安全運行。