蜜罐技術(shù)介紹

設(shè)置蜜罐并不難，只要在外部因特網(wǎng)上有一臺(tái)計(jì)算機(jī)運(yùn)行沒有打上補(bǔ)丁的微軟Windows或者Red Hat Linux即行。因?yàn)楹诳涂赡軙?huì)設(shè)陷阱，以獲取計(jì)算機(jī)的日志和審查功能，你就要在計(jì)算機(jī)和因特網(wǎng)連接之間安置一套網(wǎng)絡(luò)監(jiān)控系統(tǒng)，以便悄悄記錄下進(jìn)出計(jì)算機(jī)的所有流量。然后只要坐下來(lái)，等待攻擊者自投羅網(wǎng)。不過，設(shè)置蜜罐并不是說(shuō)沒有風(fēng)險(xiǎn)。這是因?yàn)?，大部分安全遭到危及的系統(tǒng)會(huì)被黑客用來(lái)攻擊其它系統(tǒng)。這就是下游責(zé)任（downstream liability），由此引出了蜜網(wǎng)（honeynet）這一話題。

蜜網(wǎng)是指另外采用了技術(shù)的蜜罐，從而以合理方式記錄下黑客的行動(dòng)，同時(shí)盡量減小或排除對(duì)因特網(wǎng)上其它系統(tǒng)造成的風(fēng)險(xiǎn)。建立在反向防火墻后面的蜜罐就是一個(gè)例子。防火墻的目的不是防止入站連接，而是防止蜜罐建立出站連接。不過，雖然這種方法使蜜罐不會(huì)破壞其它系統(tǒng)，但同時(shí)很容易被黑客發(fā)現(xiàn)。

數(shù)據(jù)收集是設(shè)置蜜罐的另一項(xiàng)技術(shù)挑戰(zhàn)。蜜罐監(jiān)控者只要記錄下進(jìn)出系統(tǒng)的每個(gè)數(shù)據(jù)包，就能夠?qū)诳偷乃魉鶠橐磺宥Ｃ酃薇旧砩厦娴娜罩疚募彩呛芎玫臄?shù)據(jù)來(lái)源。但日志文件很容易被攻擊者刪除，所以通常的辦法就是讓蜜罐向在同一網(wǎng)絡(luò)上但防御機(jī)制較完善的遠(yuǎn)程系統(tǒng)日志服務(wù)器發(fā)送日志備份。（務(wù)必同時(shí)監(jiān)控日志服務(wù)器。如果攻擊者用新手法闖入了服務(wù)器，那么蜜罐無(wú)疑會(huì)證明其價(jià)值。）

近年來(lái)，由于黑帽子群體越來(lái)越多地使用加密技術(shù)，數(shù)據(jù)收集任務(wù)的難度大大增強(qiáng)。如今，他們接受了眾多計(jì)算機(jī)安全專業(yè)人士的建議，改而采用SSH等密碼協(xié)議，確保網(wǎng)絡(luò)監(jiān)控對(duì)自己的通訊無(wú)能為力。蜜網(wǎng)對(duì)付密碼的計(jì)算就是修改目標(biāo)計(jì)算機(jī)的操作系統(tǒng)，以便所有敲入的字符、傳輸?shù)奈募捌渌畔⒍加涗浀搅硪粋€(gè)監(jiān)控系統(tǒng)的日志里面。因?yàn)楣粽呖赡軙?huì)發(fā)現(xiàn)這類日志，蜜網(wǎng)計(jì)劃采用了一種隱蔽技術(shù)。譬如說(shuō)，把敲入字符隱藏到NetBIOS廣播數(shù)據(jù)包里面。

蜜罐技術(shù)的優(yōu)勢(shì)

蜜罐系統(tǒng)的優(yōu)點(diǎn)之一就是它們大大減少了所要分析的數(shù)據(jù)。對(duì)于通常的網(wǎng)站或郵件服務(wù)器，攻擊流量通常會(huì)被合法流量所淹沒。而蜜罐進(jìn)出的數(shù)據(jù)大部分是攻擊流量。因而，瀏覽數(shù)據(jù)、查明攻擊者的實(shí)際行為也就容易多了。

自1999年啟動(dòng)以來(lái)，蜜網(wǎng)計(jì)劃已經(jīng)收集到了大量信息，你可以在www.honeynet.org上找到。部分發(fā)現(xiàn)結(jié)果包括：攻擊率在過去一年增加了一倍；攻擊者越來(lái)越多地使用能夠堵住漏洞的自動(dòng)點(diǎn)擊工具（如果發(fā)現(xiàn)新漏洞，工具很容易更新）；盡管虛張聲勢(shì)，但很少有黑客采用新的攻擊手法。

蜜罐主要是一種研究工具，但同樣有著真正的商業(yè)應(yīng)用。把蜜罐設(shè)置在與公司的Web或郵件服務(wù)器相鄰的IP地址上，你就可以了解它所遭受到的攻擊。

當(dāng)然，蜜罐和蜜網(wǎng)不是什么“射后不理”（fire and forget）的安全設(shè)備。據(jù)蜜網(wǎng)計(jì)劃聲稱，要真正弄清楚攻擊者在短短30分鐘內(nèi)造成的破壞，通常需要分析30到40個(gè)小時(shí)。系統(tǒng)還需要認(rèn)真維護(hù)及測(cè)試。有了蜜罐，你要不斷與黑客斗智斗勇。可以這么說(shuō)：你選擇的是戰(zhàn)場(chǎng)，而對(duì)手選擇的是較量時(shí)機(jī)。因而，你必須時(shí)時(shí)保持警惕。

蜜罐領(lǐng)域最讓人興奮的發(fā)展成果之一就是出現(xiàn)了虛擬蜜網(wǎng)。虛擬計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行在使用VMware或User-Mode Linux等虛擬計(jì)算機(jī)系統(tǒng)的單一機(jī)器之上。虛擬系統(tǒng)使你可以在單一主機(jī)系統(tǒng)上運(yùn)行幾臺(tái)虛擬計(jì)算機(jī)（通常是4到10臺(tái)）。虛擬蜜網(wǎng)大大降低了成本、機(jī)器占用空間以及管理蜜罐的難度。此外，虛擬系統(tǒng)通常支持“懸掛”和“恢復(fù)”功能，這樣你就可以凍結(jié)安全受危及的計(jì)算機(jī)，分析攻擊方法，然后打開TCP/IP連接及系統(tǒng)上面的其它服務(wù)。

對(duì)大組織的首席安全官（CSO）來(lái)說(shuō)，運(yùn)行蜜網(wǎng)最充分的理由之一就是可以發(fā)現(xiàn)內(nèi)部不懷好意的人。

蜜罐技術(shù)的法律問題

出乎意料的是，監(jiān)控蜜罐也要承擔(dān)相應(yīng)的法律后果，譬如說(shuō)，有可能違反《反竊聽法》。雖然目前沒有判例法，但熟悉這方面法律的人士大多數(shù)認(rèn)為，雙方同意的標(biāo)語(yǔ)是出路所在。也就是說(shuō)，給每個(gè)蜜罐打上這樣的標(biāo)語(yǔ)：“使用該系統(tǒng)的任何人同意自己的行為受到監(jiān)控，并透露給其他人，包括執(zhí)法人員。”

蜜罐技術(shù)的介紹就到此為止了，希望大家已經(jīng)掌握。

【編輯推薦】

1. 校園網(wǎng)中蜜罐技術(shù)應(yīng)用方案
2. 深入解析蜜罐技術(shù)之概念介紹
3. 電腦特技與虛擬演員--計(jì)算機(jī)蜜罐技術(shù) 上篇