A. 蜜罐的意思什麼
一個網路攻防的安全系統,蜜罐用來誘惑入侵者的攻擊,在入侵攻擊過程中,蜜罐將會記錄一系列的操作,包括網路入侵行為,主機操作等等。所以說,蜜罐第一功能是誘騙入侵者攻擊蜜罐,蜜罐第二功能是記錄入侵者的入侵手段、入侵蜜罐後的操作等等。
B. 企業級Web伺服器安全該怎麼做主動出擊!
不但企業的門戶網站被篡改、資料被竊取,而且還成為了病毒與木馬的傳播者。有些Web管理員採取了一些措施,雖然可以保證門戶網站的主頁不被篡改,但是卻很難避免自己的網站被當作肉雞,來傳播病毒、惡意插件、木馬等等。筆者認為,這很大一部分原因是管理員在Web安全防護上太被動。他們只是被動的防禦。為了徹底提高Web伺服器的安全,筆者認為,Web安全要主動出擊。具體的來說,需要做到如下幾點。
一、在代碼編寫時就要進行漏洞測試
現在的企業網站做的越來越復雜、功能越來越強。不過這些都不是憑空而來的,是通過代碼堆積起來的。如果這個代碼只供企業內部使用,那麼不會帶來多大的安全隱患。但是如果放在互聯網上使用的話,則這些為實現特定功能的代碼就有可能成為攻擊者的目標。筆者舉一個簡單的例子。在網頁中可以嵌入SQL代碼。而攻擊者就可以利用這些SQL代碼來發動攻擊,來獲取管理員的密碼等等破壞性的動作。有時候訪問某些網站還需要有某些特定的控制項。用戶在安裝這些控制項時,其實就有可能在安裝一個木馬(這可能訪問者與被訪問者都沒有意識到)。
為此在為網站某個特定功能編寫代碼時,就要主動出擊。從編碼的設計到編寫、到測試,都需要認識到是否存在著安全的漏洞。筆者在日常過程中,在這方面對於員工提出了很高的要求。各個員工必須對自己所開發的功能負責。至少現在已知的病毒、木馬不能夠在你所開發的插件中有機可乘。通過這層層把關,就可以提高代碼編寫的安全性。
二、對Web伺服器進行持續的監控
冰凍三尺、非一日之寒。這就好像人生病一樣,都有一個過程。病毒、木馬等等在攻擊Web伺服器時,也需要一個過程。或者說,在攻擊取得成功之前,他們會有一些試探性的動作。如對於一個採取了一定安全措施的Web伺服器,從攻擊開始到取得成果,至少要有半天的時間。如果Web管理員對伺服器進行了全天候的監控。在談基發現有異常行為時,及早的採取措施,將病毒與木馬阻擋在門戶之外。這種主動出擊的方式,就可以大大的提高Web伺服器的安全性。
筆者現在維護的Web伺服器有好幾十個。現在專門有一個小組,來全天候的監控伺服器的訪問。平均每分鍾都可以監測到一些試探性的攻擊行為。其中99%以上的攻擊行為,由於伺服器已經採取了對應的安全措施,都無功而返。不過每天仍然會遇到一些攻擊行為。這些攻擊行為可能是針對新的漏洞,或者採取了新的攻擊方式。在伺服器上原先沒有採取對應的安全措施。如果沒有及時的發現這種行為,那麼他們就很有可能最終實現他們的非法目的。相反,現在及早的發現了他們的攻擊手段,那麼我們就可以在他們採取進一步行動之前,就在伺服器上關掉這扇門,補上這個漏洞。
筆者在這里也建議,企業用戶在選擇互聯網Web伺服器提供商的時候,除了考慮性能等因素之外,還要評估服務提供商能否提供全天候的監控機制。在Web安全上主動出擊,及時發現攻擊者的攻擊行為。在他們採取進一步攻擊措施之前,就他們消除在萌芽狀態。
三、設置蜜罐,將攻擊者引向錯誤的方向
在軍隊中,有時候會給軍人一些「偽裝」,讓敵人分不清真偽。其實在跟病毒、木馬打交道時,本身就是一場無硝煙的戰爭。為此對於Web伺服器採取一些偽裝,也能夠將攻擊者引向錯誤的方向。等到供給者發現自己的目標錯誤時,管理員已經鎖定了攻擊者,從而可以及早的採取相應的措施。筆者有時候將這種主動出擊的行為叫做蜜罐效應。簡單的說,就是設置兩個伺服器。其中一個是真正的伺服器,另外一個是蜜罐。現在需要擾漏做的是,如何將真正的伺服器偽裝起來,含李謹而將蜜罐推向公眾。讓攻擊者認為蜜罐伺服器才是真正的伺服器。要做到這一點的話,可能需要從如下幾個方面出發。
一是有真有假,難以區分。如果要瞞過攻擊者的眼睛,那麼蜜罐伺服器就不能夠做的太假。筆者在做蜜罐伺服器的時候,80%以上的內容都是跟真的伺服器相同的。只有一些比較機密的信息沒有防治在蜜罐伺服器上。而且蜜罐伺服器所採取的安全措施跟真的伺服器事完全相同的。這不但可以提高蜜罐伺服器的真實性,而且也可以用來評估真實伺服器的安全性。一舉兩得。
二是需要有意無意的將攻擊者引向蜜罐伺服器。攻擊者在判斷一個Web伺服器是否值得攻擊時,會進行評估。如評估這個網站的流量是否比較高。如果網站的流量不高,那麼即使被攻破了,也沒有多大的實用價值。攻擊者如果沒有有利可圖的話,不會花這么大的精力在這個網站伺服器上面。如果要將攻擊者引向這個蜜罐伺服器的話,那麼就需要提高這個蜜罐伺服器的訪問量。其實要做到這一點也非常的容易。現在有很多用來交互流量的團隊。只要花一點比較小的投資就可以做到這一點。
四、專人對Web伺服器的安全性進行測試
俗話說,靠人不如靠自己。在Web伺服器的攻防戰上,這一個原則也適用。筆者建議,如果企業對於Web服務的安全比較高,如網站伺服器上有電子商務交易平台,此時最好設置一個專業的團隊。他們充當攻擊者的角色,對伺服器進行安全性的測試。這個專業團隊主要執行如下幾個任務。
一是測試Web管理團隊對攻擊行為的反應速度。如可以採用一些現在比較流行的攻擊手段,對自己的Web伺服器發動攻擊。當然這個時間是隨機的。預先Web管理團隊並不知道。現在要評估的是,Web管理團隊在多少時間之內能夠發現這種攻擊的行為。這也是考驗管理團隊全天候跟蹤的能力。一般來說,這個時間越短越好。應該將這個時間控制在可控的范圍之內。即使攻擊最後沒有成功,Web管理團隊也應該及早的發現攻擊的行為。畢竟有沒有發現、與最終有沒有取得成功,是兩個不同的概念。
二是要測試伺服器的漏洞是否有補上。畢竟大部分的攻擊行為,都是針對伺服器現有的漏洞所產生的。現在這個專業團隊要做的就是,這些已發現的漏洞是否都已經打上了安全補丁或者採取了對應的安全措施。有時候我們都沒有發現的漏洞是無能為力,但是對於這些已經存在的漏洞不能夠放過。否則的話,也太便宜那些攻擊者了。
C. 蜜罐的發展歷程和目前的主流分類有哪些
蜜罐技術的發展歷程
從九十年代初蜜罐概念的提出直到1998 年左右,「蜜罐」還僅僅限於一種思想,通常由網路管理人員應用,通過欺騙黑客達到追蹤的目的。這一階段的蜜罐實質上是一些真正被黑客所攻擊的主機和系統。從1998 年開始,蜜罐技術開始吸引了一些安全研究人員的注意,並開發出一些專門用於欺騙黑客的開源工具,如Fred Cohen 所開發的DTK(欺騙工具包)、Niels Provos 開發的Honeyd 等,同時也出現了像KFSensor、Specter 等一些商業蜜罐產品。這一階段的蜜罐可以稱為是虛擬蜜罐,即開發的這些蜜罐工具能夠模擬成虛擬的操作系統和網路服務,並對黑客的攻擊行為做出回應,從而欺騙黑客。
虛擬蜜罐工具的出現也使得部署蜜罐也變得比較方便。但是由於虛擬蜜罐工具存在著交互程度低,較容易被黑客識別等問題,從2000年之後,安全研究人員更傾向於使用真實的主機、操作系統和應用程序搭建蜜罐,但與之前不同的是,融入了更強大的數據捕獲、數據分析和數據控制的工具,並且將蜜罐納入到一個完整的蜜網體系中,使得研究人員能夠更方便地追蹤侵入到蜜網中的黑客,並對他們的攻擊行為進行分析。
、蜜罐的分類
世界上不會有非常全面的事物,蜜罐也一樣。根據管理員的需要,蜜罐的系統和漏洞設置要求也不盡相同,蜜罐是有針對性的,而不是盲目設置的,因此,就產生了多種多樣的蜜罐……根據蜜罐與攻擊者的交互程度,可以分為三類:低交互蜜罐、中交互蜜罐及高交互蜜罐。
1、低交互蜜罐
低交互蜜罐最大的特點是模擬(設計簡單且功能有限,安裝配置和維護都很容易)。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產品系統,而是對各種系統及其提供的服務的模擬。由於它的服務都是模擬的行為,所以蜜罐可以獲得的信息非常有限,只能對攻擊者進行簡單的應答,它是最安全的蜜罐類型。
這種蜜罐沒有真實的操作系統,它的價值主要在於檢測,也就是對未授權掃描或者未授權連接嘗試的檢測。他只提供了有限的功能,因此大部分可以用一個程序來模擬。只需將該程序安裝在一台主機系統中,配置管理希望提供的服務就可以了,管理員所要做的工作就是維護程序的補丁並監視所有的預警機制。這種蜜罐所提供的功能少,出錯少,風險低,同時它能夠為我們提供的關於攻擊者的信息量也有限,只能捕獲已知的攻擊行為,並且以一種預定的方式進行響應,這樣容易被攻擊者識破,不管模擬服務做得多好,技術高明的黑客最終都能檢測到他的存在。
2、中交互蜜罐
中交互蜜罐是對真正的操作系統的各種行為的模擬,它提供了更多的交互信息,同時也可以從攻擊者的行為中獲得更多的信息,與低交互蜜罐相比,它的部署和維護更為復雜。在這個模擬行為的系統中,蜜罐可以看起來和一個真正的操作系統沒有區別,攻擊者可以得到更多的交互。它們是比真正系統還要誘人的攻擊目標,因此必須要以一個安全的方式來部署這種交互。必須開發相應的機制以確保攻擊者不會危害其他系統,並且這種增加的功能不會成為攻擊者進行攻擊的易受攻擊環節。攻擊者可能會訪問到實際操作系統,但他們的能力是受限的,這種類型的蜜罐必須要進行日常維護,以應對新的攻擊。由於它具有較大的復雜度,所以出錯的風險也相應的增大,另一方面他可以收集到更多攻擊者的信息。
3、高交互蜜罐
高交互蜜罐具有一個真實的操作系統,它的優點體現在對攻擊者提供真實的系統,當攻擊者獲得ROOT許可權後,受系統數據真實性的迷惑,他的更多活動和行為將被記錄下來。缺點是被攻擊的可能性很高,如果整個高交互蜜罐被攻擊,那麼它就會成為攻擊者下一步攻擊的跳板,構建和維護它們是極為耗時的。目前在國內外的主要蜜罐產品有DTK,空系統,BOF,SPECTER,HOME-MADE蜜罐,HONEYD,SMOKEDETECTOR,BIGEYE,LABREA TARPIT,NETFACADE,KFSENSOR,TINY蜜罐,MANTRAP,HONEYNET十四種。
最為常見的高交互蜜罐往往被放置在一種受控環境中,如防火牆之後。藉助於這些訪問控制設備來控制攻擊者使用該蜜罐啟動對外的攻擊。這種架構的部署和維護十分的復雜,而且這種類型的蜜罐還要求對防火牆有一個恰當的過濾規則庫。同時還要求配合IDS的功能,要求IDS的簽名資料庫進行更新,且要不停監視蜜罐的活動。它為攻擊提供的交互越多出錯的地方就越多。一旦進行了正確的實現,高交互度的蜜罐就能夠最大程度的洞察攻擊者。例如想在一個Linux蜜罐上運行一個FTP伺服器,那麼你見里一個真正的Linux系統來運行FTP服務。這種解決方案優勢是雙重的,首先,你能夠捕獲大量信息。這可以通過給攻擊者提供真實的系統與之交互來實現,你能夠了解到攻擊者的整個攻擊行為,從新的工具包到IRC的會話的整個過程。高交互的第二個優勢是對攻擊者如何攻擊不是假設,它們提供一個能夠捕獲行為的開放的環境,高交互度解決方法將使得我們能學到以外的攻擊行為,例如:一個蜜罐在一個非標準的IP協議上捕獲密碼後門命令。然而,這也增加了蜜罐的風險,因為攻擊者能夠用這些真實的操作系統來攻擊非蜜罐系統。結果,要採用附加技術來組織對非蜜罐系統的攻擊。高交互蜜罐雖然優於前兩種交互蜜罐,但是開發和維護過於復雜。
D. 蜜罐技術的工作原理
蜜罐的主要原理包括以下幾個方面:
第一,網路欺騙。
使入侵者相信存在有價值的、可利用的安全弱點,蜜罐的價值就是在其被探測、攻擊或者攻陷的時候得以體現,網路欺騙技術是蜜罐技術體系中最為關鍵的核心技術,常見的有模擬服務埠、模擬系統漏洞和應用服務、流量模擬等。
第二,數據捕獲。
一般分三層實現:最外層由防火牆來對出入蜜罐系統的網路連接進行日誌記錄;中間層由入侵檢測系統(IDS)來完成,抓取蜜罐系統內所有的網路包;最里層的由蜜罐主機來完成,捕獲蜜罐主機的所有系統日誌、用戶擊鍵序列和屏幕顯示。
第三,數據分析。
要從大量的網路數據中提取出攻擊行為的特徵和模型是相當困難的,數據分析是蜜罐技術中的難點,主要包括網路協議分析、網路行為分析、攻擊特徵分析和入侵報警等。數據分析對捕獲的各種攻擊數據進行融合與挖掘,分析黑客的工具、策略及動機,提取未知攻擊的特徵,或為研究或管理人員提供實時信息。
第四,數據控制。
數據控制是蜜罐的核心功能之一,用於保障蜜罐自身的安全。蜜罐作為網路攻擊者的攻擊目標,若被攻破將得不到任何有價值的信息,還可能被入侵者利用作為攻擊其他系統的跳板。雖然允許所有對蜜罐的訪問,但卻要對從蜜罐外出的網路連接進行控制,使其不會成為入侵者的跳板危害其他系統。
首先我們要弄清楚一台蜜罐和一台沒有任何防範措施的計算機的區別,雖然這兩者都有可能被入侵破壞,但是本質卻完全不同,蜜罐是網路管理員經過周密布置而設下的「黑匣子」,看似漏洞百出卻盡在掌握之中,它收集的入侵數據十分有價值;而後者,根本就是送給入侵者的禮物,即使被入侵也不一定查得到痕跡……因此,蜜罐的定義是:「蜜罐是一個安全資源,它的價值在於被探測、攻擊和損害。」
設計蜜罐的初衷就是讓黑客入侵,藉此收集證據,同時隱藏真實的伺服器地址,因此我們要求一台合格的蜜罐擁有這些功能:發現攻擊、產生警告、強大的記錄能力、欺騙、協助調查。另外一個功能由管理員去完成,那就是在必要時候根據蜜罐收集的證據來起訴入侵者。
E. 關於網路中所說的密罐是什麼意思
1.蜜罐的定義。關於蜜罐,到目前為止還沒有一個完整的定義。「蜜網項目組」的創始人Lance Spitzner對蜜罐給出了一個比較權威的定義:蜜罐是一種安全資源,其價值在於被掃描、攻擊和攻陷。這個定義表明蜜罐並沒有其他的實際作用,所有流人和流出蜜罐的網路流量都可能預示著掃描、攻擊和攻陷。而蜜罐的核心價值就在於對這些攻擊活動進行監視、檢測和分析。實際上,蜜罐中只有一些虛假的敏感數據,不用於對外的正常服務。所以,它可以是一個網路、一台主機、一項服務,也可以是資料庫中的某些無用的數據或者偽裝的用戶名及其弱口令等,因此任何與它交互的行為都可以被認為是攻擊行為,這樣就簡化了檢測過程,它可以部署在各個內部子網或關鍵主機上,檢測來自網路系統外部和內部的各種攻擊,用一種以檢測、監視和捕獲攻擊行為和保護真實主機為目標的誘騙技術。
2.蜜罐的基本原理。蜜罐系統是一個陷阱系統,它通過設置一個具有很多漏洞的系統吸引黑客入侵,收集入侵者信息,為其他安全技術提供更多的知識。蜜罐採用監視器和事件日誌兩個工具對訪問蜜罐系統的行為進行監控。由於蜜罐是一個很具有誘惑力的系統,能夠分散黑客的注意力和精力,所以對真正的網路資源起到保護作用。
3.蜜罐的主要技術。蜜罐系統主要涉及網路欺騙技術、數據捕獲技術、數據控制技術p湍1:3重定向)、攻擊分析與特徵提取等主要技術。(1)網路欺騙技術:是蜜罐的核心技術,利用各種欺騙手段和安全弱點和系統漏洞,引誘黑客的攻擊。(2)數據捕獲技術:主要目的是盡可能多的捕獲攻擊信息,而不被黑客發現,包括輸入、輸出及鍵盤和屏幕的捕獲。(3)數據控制技術:主要目的是防止黑客將蜜罐作為跳板去攻擊其他系統或危害別的主機,因此必須控制進出系統的數據流量而不被黑客懷疑。(4)攻擊分析與特徵提取:蜜罐系統設置一個數據分析模塊,在同一控制台對收集到的所有信息進行分析、綜合和關聯,完成對蜜罐攻擊信息的分析。