《蜜罐技术》PPT课件.ppt

第第14章章 蜜罐技术蜜罐技术本章主要内容本章主要内容l l蜜罐技术提出与发展历程蜜罐技术提出与发展历程l l蜜罐技术概念及分类蜜罐技术概念及分类l l蜜罐技术原理蜜罐技术原理l l蜜罐技术实例蜜罐技术实例网络攻防技术网络攻防技术互联网安全状况 l l安全基础薄弱安全基础薄弱安全基础薄弱安全基础薄弱 l l操作系统操作系统操作系统操作系统/软件存在大量漏洞软件存在大量漏洞软件存在大量漏洞软件存在大量漏洞l l安全意识弱、缺乏安全技术能力安全意识弱、缺乏安全技术能力安全意识弱、缺乏安全技术能力安全意识弱、缺乏安全技术能力l l任何主机都是攻击目标！任何主机都是攻击目标！任何主机都是攻击目标！任何主机都是攻击目标！l lDDoSDDoS、跳板攻击需要大量僵尸主机、跳板攻击需要大量僵尸主机、跳板攻击需要大量僵尸主机、跳板攻击需要大量僵尸主机l l蠕虫、病毒的泛滥蠕虫、病毒的泛滥蠕虫、病毒的泛滥蠕虫、病毒的泛滥l l并不再仅仅为了炫耀：并不再仅仅为了炫耀：并不再仅仅为了炫耀：并不再仅仅为了炫耀：Spamming,PhishingSpamming,Phishingl l攻击者不需要太多技术攻击者不需要太多技术攻击者不需要太多技术攻击者不需要太多技术 l l攻击工具的不断完善攻击工具的不断完善攻击工具的不断完善攻击工具的不断完善n n Metasploit:40+ExploitsMetasploit:40+Exploitsl l攻击脚本和工具可以很容易得到和使用攻击脚本和工具可以很容易得到和使用攻击脚本和工具可以很容易得到和使用攻击脚本和工具可以很容易得到和使用n n 0-day exploits:packetstorm0-day exploits:packetstorm网络攻防技术网络攻防技术网络攻防的非对称博弈 l l工作量不对称工作量不对称工作量不对称工作量不对称 l l攻击方：夜深人静攻击方：夜深人静攻击方：夜深人静攻击方：夜深人静,攻其弱点攻其弱点攻其弱点攻其弱点l l防守方：防守方：防守方：防守方：24*7,24*7,全面防护全面防护全面防护全面防护l l信息不对称信息不对称信息不对称信息不对称 l l攻击方：通过网络扫描、探测、踩点对攻击目标攻击方：通过网络扫描、探测、踩点对攻击目标攻击方：通过网络扫描、探测、踩点对攻击目标攻击方：通过网络扫描、探测、踩点对攻击目标全面了解全面了解全面了解全面了解l l防守方：对攻击方一无所知防守方：对攻击方一无所知防守方：对攻击方一无所知防守方：对攻击方一无所知l l后果不对称后果不对称后果不对称后果不对称 l l攻击方：任务失败，极少受到损失攻击方：任务失败，极少受到损失攻击方：任务失败，极少受到损失攻击方：任务失败，极少受到损失l l防守方：安全策略被破坏，利益受损防守方：安全策略被破坏，利益受损防守方：安全策略被破坏，利益受损防守方：安全策略被破坏，利益受损l l攻击方掌握主动权攻击方掌握主动权攻击方掌握主动权攻击方掌握主动权 网络攻防技术网络攻防技术传统安全防护机制的不足 l l被动安全防护机制被动安全防护机制被动安全防护机制被动安全防护机制l l加密、加密、加密、加密、VPNVPNl l防火墙防火墙防火墙防火墙:配置问题、针对开放业务端口的攻击、配置问题、针对开放业务端口的攻击、配置问题、针对开放业务端口的攻击、配置问题、针对开放业务端口的攻击、内部攻击内部攻击内部攻击内部攻击l l入侵检测系统入侵检测系统入侵检测系统入侵检测系统IDS:IDS:已知攻击特征库、高误报率已知攻击特征库、高误报率已知攻击特征库、高误报率已知攻击特征库、高误报率l l反病毒软件反病毒软件反病毒软件反病毒软件:病毒特征库在线升级，延迟病毒特征库在线升级，延迟病毒特征库在线升级，延迟病毒特征库在线升级，延迟l l“主动主动主动主动”安全防护机制安全防护机制安全防护机制安全防护机制l l漏洞扫描与补丁分发工具漏洞扫描与补丁分发工具漏洞扫描与补丁分发工具漏洞扫描与补丁分发工具:扫描脚本、补丁延迟扫描脚本、补丁延迟扫描脚本、补丁延迟扫描脚本、补丁延迟l l入侵防御系统入侵防御系统入侵防御系统入侵防御系统IPS:IPS:已知攻击特征库、已知攻击特征库、已知攻击特征库、已知攻击特征库、“傻瓜式傻瓜式傻瓜式傻瓜式”网络攻防技术网络攻防技术蜜罐技术的提出蜜罐技术的提出l l防御方尝试改变攻防博弈不对称性而提出的一防御方尝试改变攻防博弈不对称性而提出的一防御方尝试改变攻防博弈不对称性而提出的一防御方尝试改变攻防博弈不对称性而提出的一种种种种 主动防护技术主动防护技术主动防护技术主动防护技术 l l对攻击者的欺骗技术增加攻击代价、减少对实际对攻击者的欺骗技术增加攻击代价、减少对实际对攻击者的欺骗技术增加攻击代价、减少对实际对攻击者的欺骗技术增加攻击代价、减少对实际系统的安全威胁系统的安全威胁系统的安全威胁系统的安全威胁l l了解攻击者所使用的攻击工具和攻击方法了解攻击者所使用的攻击工具和攻击方法了解攻击者所使用的攻击工具和攻击方法了解攻击者所使用的攻击工具和攻击方法l l追踪攻击源、攻击行为审计取证追踪攻击源、攻击行为审计取证追踪攻击源、攻击行为审计取证追踪攻击源、攻击行为审计取证l l蜜罐技术的提出蜜罐技术的提出蜜罐技术的提出蜜罐技术的提出 l lHoneypot:Honeypot:首次出现在首次出现在首次出现在首次出现在Cliff StollCliff Stoll的小说的小说的小说的小说“The The Cuckoos Egg”(1990)Cuckoos Egg”(1990)l l著名计算机安全专家著名计算机安全专家著名计算机安全专家著名计算机安全专家Fred CohenFred Cohen网络攻防技术网络攻防技术蜜罐技术发展历程蜜罐技术发展历程l l蜜罐技术蜜罐技术蜜罐技术蜜罐技术 l l19981998年后，出现年后，出现年后，出现年后，出现DTKDTK、HoneydHoneyd等大量开源蜜罐工具等大量开源蜜罐工具等大量开源蜜罐工具等大量开源蜜罐工具l l同期出现一些商业产品，但并未得到市场普及同期出现一些商业产品，但并未得到市场普及同期出现一些商业产品，但并未得到市场普及同期出现一些商业产品，但并未得到市场普及l l蜜网技术蜜网技术蜜网技术蜜网技术 l l19991999年由蜜网项目组年由蜜网项目组年由蜜网项目组年由蜜网项目组(The Honeynet Project)(The Honeynet Project)提出提出提出提出并实现并实现并实现并实现l l目前已发展到第三代蜜网技术目前已发展到第三代蜜网技术目前已发展到第三代蜜网技术目前已发展到第三代蜜网技术l l蜜场技术蜜场技术蜜场技术蜜场技术 l l20032003年由年由年由年由Lance SpitznerLance Spitzner首次提出首次提出首次提出首次提出Honeypot Honeypot farmsfarms思想思想思想思想l l目前仍未有实际的工具、产品和应用目前仍未有实际的工具、产品和应用目前仍未有实际的工具、产品和应用目前仍未有实际的工具、产品和应用网络攻防技术网络攻防技术蜜罐技术概念蜜罐技术概念l l定义：定义：honeypot:“A security resource whos value lies in being probed,attacked or compromised”Lance Spitzner（The Honeynet Project 的创的创始人）始人）l l蜜罐是一类安全资源，其价值就在于被探蜜罐是一类安全资源，其价值就在于被探测、被攻击及被攻陷。测、被攻击及被攻陷。网络攻防技术网络攻防技术蜜罐技术分类蜜罐技术分类l l系统功能（产品型蜜罐、研究型蜜罐）系统功能（产品型蜜罐、研究型蜜罐）l l交互程度（低交互蜜罐、高交互蜜罐）交互程度（低交互蜜罐、高交互蜜罐）网络攻防技术网络攻防技术产品型蜜罐产品型蜜罐l l目标目标:有效防护业务网络有效防护业务网络l l间接性防护通过诱骗增大攻击者代价，混间接性防护通过诱骗增大攻击者代价，混间接性防护通过诱骗增大攻击者代价，混间接性防护通过诱骗增大攻击者代价，混淆关键业务资源，了解并规避安全威胁淆关键业务资源，了解并规避安全威胁淆关键业务资源，了解并规避安全威胁淆关键业务资源，了解并规避安全威胁l l直接性防护蜜场技术直接性防护蜜场技术直接性防护蜜场技术直接性防护蜜场技术l l较具代表性的产品型蜜罐包括较具代表性的产品型蜜罐包括较具代表性的产品型蜜罐包括较具代表性的产品型蜜罐包括DTKDTK、honeydhoneyd等开源工具和等开源工具和等开源工具和等开源工具和KFSensorKFSensor、ManTrap ManTrap 等一系等一系等一系等一系列的商业产品。列的商业产品。列的商业产品。列的商业产品。网络攻防技术网络攻防技术研究型蜜罐研究型蜜罐l l目标目标:研究对手，了解自身面临的安全威研究对手，了解自身面临的安全威胁胁l l知己知彼、百战不殆知己知彼、百战不殆知己知彼、百战不殆知己知彼、百战不殆l l蜜网技术蜜网技术蜜网技术蜜网技术(Know Your Enemy)(Enemy)(Know Your Enemy)(Enemy)目目目目前更多意义上属于研究型蜜罐技术前更多意义上属于研究型蜜罐技术前更多意义上属于研究型蜜罐技术前更多意义上属于研究型蜜罐技术l l具有代表性的工具是具有代表性的工具是具有代表性的工具是具有代表性的工具是“蜜网项目组蜜网项目组蜜网项目组蜜网项目组”所推出所推出所推出所推出的第二代蜜网技术的第二代蜜网技术的第二代蜜网技术的第二代蜜网技术网络攻防技术网络攻防技术低交互式蜜罐技术低交互式蜜罐技术l l交互性：攻击者在蜜罐中活动的交互性级别交互性：攻击者在蜜罐中活动的交互性级别交互性：攻击者在蜜罐中活动的交互性级别交互性：攻击者在蜜罐中活动的交互性级别l l低交互式蜜罐技术低交互式蜜罐技术低交互式蜜罐技术低交互式蜜罐技术 l l具有与攻击源主动交互的能力具有与攻击源主动交互的能力具有与攻击源主动交互的能力具有与攻击源主动交互的能力l l模拟网络服务响应，模拟漏洞模拟网络服务响应，模拟漏洞模拟网络服务响应，模拟漏洞模拟网络服务响应，模拟漏洞l l容易部署，容易控制攻击容易部署，容易控制攻击容易部署，容易控制攻击容易部署，容易控制攻击l l低交互式交互级别由于模拟能力而受限，数据获低交互式交互级别由于模拟能力而受限，数据获低交互式交互级别由于模拟能力而受限，数据获低交互式交互级别由于模拟能力而受限，数据获取能力和伪装性较弱，一般仅能捕获已知攻击取能力和伪装性较弱，一般仅能捕获已知攻击取能力和伪装性较弱，一般仅能捕获已知攻击取能力和伪装性较弱，一般仅能捕获已知攻击l l例例例例:Honeyd:Honeydl l商业产品商业产品商业产品商业产品:KFSensorKFSensor,Specter,:KFSensorKFSensor,Specter,HoneyPointHoneyPointHoneyPointHoneyPoint网络攻防技术网络攻防技术高交互式蜜罐技术高交互式蜜罐技术l l高交互式蜜罐技术高交互式蜜罐技术高交互式蜜罐技术高交互式蜜罐技术 l l使用真实的操作系统、网络服务与攻击源进行交互使用真实的操作系统、网络服务与攻击源进行交互使用真实的操作系统、网络服务与攻击源进行交互使用真实的操作系统、网络服务与攻击源进行交互l l高度的交互等级对未知漏洞、安全威胁具有天然高度的交互等级对未知漏洞、安全威胁具有天然高度的交互等级对未知漏洞、安全威胁具有天然高度的交互等级对未知漏洞、安全威胁具有天然的可适性，数据获取能力、伪装性均较强的可适性，数据获取能力、伪装性均较强的可适性，数据获取能力、伪装性均较强的可适性，数据获取能力、伪装性均较强l l弱势资源需求较大，可扩展性较弱，部署安全风弱势资源需求较大，可扩展性较弱，部署安全风弱势资源需求较大，可扩展性较弱，部署安全风弱势资源需求较大，可扩展性较弱，部署安全风险较高险较高险较高险较高l l虚拟机蜜罐虚拟机蜜罐虚拟机蜜罐虚拟机蜜罐 VS.VS.物理蜜罐物理蜜罐物理蜜罐物理蜜罐l l虚拟机虚拟机虚拟机虚拟机(Virtual Machine)/(Virtual Machine)/仿真器仿真器仿真器仿真器(Emulator)(Emulator)技术技术技术技术l l节省硬件资源、容易部署和控制、容易恢复、安全节省硬件资源、容易部署和控制、容易恢复、安全节省硬件资源、容易部署和控制、容易恢复、安全节省硬件资源、容易部署和控制、容易恢复、安全风险降低风险降低风险降低风险降低l l高交互式蜜罐工具高交互式蜜罐工具高交互式蜜罐工具高交互式蜜罐工具 l lHoneynet Honeynet 蜜网项目组蜜网项目组蜜网项目组蜜网项目组(The Honeynet Project)(The Honeynet Project)网络攻防技术网络攻防技术蜜罐技术优缺点蜜罐技术优缺点l l优点优点优点优点l l收集到的数据很大可能就是由于黑客攻击造成的，收集到的数据很大可能就是由于黑客攻击造成的，收集到的数据很大可能就是由于黑客攻击造成的，收集到的数据很大可能就是由于黑客攻击造成的，不依赖于任何复杂的检测技术等，因此减少了漏报不依赖于任何复杂的检测技术等，因此减少了漏报不依赖于任何复杂的检测技术等，因此减少了漏报不依赖于任何复杂的检测技术等，因此减少了漏报率和误报率。率和误报率。率和误报率。率和误报率。l l能够收集到新的攻击工具和攻击方法。能够收集到新的攻击工具和攻击方法。能够收集到新的攻击工具和攻击方法。能够收集到新的攻击工具和攻击方法。l l不需要强大的资源支持。不需要强大的资源支持。不需要强大的资源支持。不需要强大的资源支持。l l缺点缺点缺点缺点l l需要较多的时间和精力投入。需要较多的时间和精力投入。需要较多的时间和精力投入。需要较多的时间和精力投入。l l只能对针对蜜罐的攻击行为进行监视和分析，其视只能对针对蜜罐的攻击行为进行监视和分析，其视只能对针对蜜罐的攻击行为进行监视和分析，其视只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限。图较为有限。图较为有限。图较为有限。l l不能直接防护有漏洞的信息系统。不能直接防护有漏洞的信息系统。不能直接防护有漏洞的信息系统。不能直接防护有漏洞的信息系统。l l会带来一定的安全风险。会带来一定的安全风险。会带来一定的安全风险。会带来一定的安全风险。网络攻防技术网络攻防技术蜜罐技术原理蜜罐技术原理l l蜜罐技术原理蜜罐技术原理“蜜罐公理蜜罐公理”l l无任何业务用途无任何业务用途无任何业务用途无任何业务用途 没有任何的正常活动没有任何的正常活动没有任何的正常活动没有任何的正常活动 任何任何任何任何活动都是恶意的活动都是恶意的活动都是恶意的活动都是恶意的l l攻击诱骗、安全威胁预警攻击诱骗、安全威胁预警攻击诱骗、安全威胁预警攻击诱骗、安全威胁预警l l绕过攻击检测问题区分正常业务和攻击行绕过攻击检测问题区分正常业务和攻击行绕过攻击检测问题区分正常业务和攻击行绕过攻击检测问题区分正常业务和攻击行为为为为n n 防火墙：定义安全策略保证正常业务防火墙：定义安全策略保证正常业务防火墙：定义安全策略保证正常业务防火墙：定义安全策略保证正常业务n n入侵检测系统：根据已知攻击特征进行检测入侵检测系统：根据已知攻击特征进行检测入侵检测系统：根据已知攻击特征进行检测入侵检测系统：根据已知攻击特征进行检测n n反病毒软件：根据已知病毒特征码反病毒软件：根据已知病毒特征码反病毒软件：根据已知病毒特征码反病毒软件：根据已知病毒特征码网络攻防技术网络攻防技术蜜罐技术如何实施诱骗？l l欺骗环境欺骗环境(Pot)的构建的构建:黑洞黑洞VS.模拟模拟VS.真实真实l l零交互式蜜罐零交互式蜜罐零交互式蜜罐零交互式蜜罐:黑洞，没有任何响应黑洞，没有任何响应黑洞，没有任何响应黑洞，没有任何响应l l低交互式蜜罐虚拟蜜罐低交互式蜜罐虚拟蜜罐低交互式蜜罐虚拟蜜罐低交互式蜜罐虚拟蜜罐:模拟网络拓扑、协模拟网络拓扑、协模拟网络拓扑、协模拟网络拓扑、协议栈、服务议栈、服务议栈、服务议栈、服务(Honeyd/Nepenthes)(Honeyd/Nepenthes)；模拟；模拟；模拟；模拟；OS(Sandbox)OS(Sandbox)l l高交互式蜜罐高交互式蜜罐高交互式蜜罐高交互式蜜罐n n物理蜜罐物理蜜罐物理蜜罐物理蜜罐 :完全真实的硬件、完全真实的硬件、完全真实的硬件、完全真实的硬件、OSOS、应用、服务、应用、服务、应用、服务、应用、服务n n虚拟机蜜罐虚拟机蜜罐虚拟机蜜罐虚拟机蜜罐 :模拟的硬件模拟的硬件模拟的硬件模拟的硬件(VMWare)/(VMWare)/真实的真实的真实的真实的OSOS、应用、服务应用、服务应用、服务应用、服务网络攻防技术网络攻防技术蜜罐技术如何实施诱骗？l l部署陷阱部署陷阱,诱骗攻击者诱骗攻击者(Honey)l l安全漏洞针对扫描式攻击安全漏洞针对扫描式攻击安全漏洞针对扫描式攻击安全漏洞针对扫描式攻击l l散播陷阱信息引诱攻击者散播陷阱信息引诱攻击者散播陷阱信息引诱攻击者散播陷阱信息引诱攻击者(Google(Google Hacking Honeypot,HoneyEmail)Hacking Honeypot,HoneyEmail)l l重定向技术重定向技术重定向技术重定向技术(Honey farm)(Honey farm)l l主动出击主动出击主动出击主动出击:利用爬虫技术客户端蜜罐利用爬虫技术客户端蜜罐利用爬虫技术客户端蜜罐利用爬虫技术客户端蜜罐(HoneyClawer(HoneyClawer 恶意网站监测恶意网站监测恶意网站监测恶意网站监测)网络攻防技术网络攻防技术蜜罐技术诱骗之后 l l欺骗环境的核心功能需求欺骗环境的核心功能需求l l数据控制数据控制数据控制数据控制l l数据捕获数据捕获数据捕获数据捕获l l数据分析数据分析数据分析数据分析l l欺骗环境的配置管理欺骗环境的配置管理欺骗环境的配置管理欺骗环境的配置管理 网络攻防技术网络攻防技术蜜罐技术实例蜜罐技术实例(Honeyd)l lHoneydl l是一种针对UNIX系统设计、开源、低交互的Honeypot，用于对可疑活动的检测、捕获和预警。网络攻防技术网络攻防技术Honeydl l支持同时模拟多个支持同时模拟多个支持同时模拟多个支持同时模拟多个IPIP地址主机地址主机地址主机地址主机l l经过测试，最多同时支持经过测试，最多同时支持经过测试，最多同时支持经过测试，最多同时支持6553565535个个个个IPIP地址地址地址地址l l支持模拟任意的网络拓扑结构支持模拟任意的网络拓扑结构支持模拟任意的网络拓扑结构支持模拟任意的网络拓扑结构l l通过服务模拟脚本可以模拟任意通过服务模拟脚本可以模拟任意通过服务模拟脚本可以模拟任意通过服务模拟脚本可以模拟任意TCP/UDPTCP/UDP网络网络网络网络服务服务服务服务l lIIS,Telnet,pop3IIS,Telnet,pop3l l支持支持支持支持ICMPICMPl l对对对对pingping和和和和traceroutestraceroutes做出响应做出响应做出响应做出响应l l通过代理机制支持对真实主机、网络服务的整通过代理机制支持对真实主机、网络服务的整通过代理机制支持对真实主机、网络服务的整通过代理机制支持对真实主机、网络服务的整合合合合网络攻防技术网络攻防技术Honeyd与其虚拟的系统之间的关系与其虚拟的系统之间的关系网络攻防技术网络攻防技术Honeyd体系结构网络攻防技术网络攻防技术Honeyd体系结构l l路由模块l l中央数据包分发器l l将输入的数据包分发到相应的协议处理器将输入的数据包分发到相应的协议处理器 l l协议处理器l lServiceService模拟脚本模拟脚本 l l个性化引擎l l配置数据库配置数据库l l存储网络协议栈的个性化特征网络攻防技术网络攻防技术Honeyd功能l l接收网络流量接收网络流量l l模拟蜜罐系统模拟蜜罐系统l l仅模拟网络协议栈层次，而不涉及操作系统各个层仅模拟网络协议栈层次，而不涉及操作系统各个层仅模拟网络协议栈层次，而不涉及操作系统各个层仅模拟网络协议栈层次，而不涉及操作系统各个层面面面面l l可以模拟任意的网络拓扑可以模拟任意的网络拓扑可以模拟任意的网络拓扑可以模拟任意的网络拓扑l lHoneyd宿主主机的安全性宿主主机的安全性l l限制只能在网络层面与蜜罐进行交互限制只能在网络层面与蜜罐进行交互限制只能在网络层面与蜜罐进行交互限制只能在网络层面与蜜罐进行交互l l捕获网络连接和攻击企图捕获网络连接和攻击企图l l日志功能日志功能日志功能日志功能网络攻防技术网络攻防技术路由拓扑实现路由拓扑实现l lHoneyd支持创建任意的网络拓扑结构支持创建任意的网络拓扑结构l l对路由树的模拟对路由树的模拟对路由树的模拟对路由树的模拟uu配置一个路由进入点配置一个路由进入点配置一个路由进入点配置一个路由进入点 uu可配置链路时延和丢包率可配置链路时延和丢包率可配置链路时延和丢包率可配置链路时延和丢包率 uu模拟任意的路由路径模拟任意的路由路径模拟任意的路由路径模拟任意的路由路径 l l扩展扩展扩展扩展uu将物理主机融合入模拟的网络拓扑将物理主机融合入模拟的网络拓扑将物理主机融合入模拟的网络拓扑将物理主机融合入模拟的网络拓扑 uu通过通过通过通过 GREGREGREGRE隧道模式支持分布式部署隧道模式支持分布式部署隧道模式支持分布式部署隧道模式支持分布式部署网络攻防技术网络攻防技术个性化引擎个性化引擎l不同的操作系统有不同的网络协议栈行为不同的操作系统有不同的网络协议栈行为l攻击者通常会运行指纹识别工具，如攻击者通常会运行指纹识别工具，如Xprobe和和Nmap获得目标系统的进一步信息获得目标系统的进一步信息l个性化引擎使得虚拟蜜罐看起来像真实的个性化引擎使得虚拟蜜罐看起来像真实的目标目标为什么需要个性化引擎？为什么需要个性化引擎？网络攻防技术网络攻防技术个性化引擎个性化引擎l l每个由每个由 Honeyd产生的包都通过个性化引产生的包都通过个性化引擎擎l l引入操作系统特定的指纹，让引入操作系统特定的指纹，让引入操作系统特定的指纹，让引入操作系统特定的指纹，让Nmap/XprobeNmap/Xprobe进行识别进行识别进行识别进行识别l l使用使用使用使用NmapNmap指纹库作为指纹库作为指纹库作为指纹库作为TCP/UDPTCP/UDP连接的参考连接的参考连接的参考连接的参考l l使用使用使用使用XprobeXprobe指纹库作为指纹库作为指纹库作为指纹库作为ICMPICMP包的参考包的参考包的参考包的参考网络攻防技术网络攻防技术日志功能日志功能l lHoneyd的日志功能l lHoneydHoneyd对任何协议创建网络连接日志，报告对任何协议创建网络连接日志，报告试图发起的、或完整的网络连接试图发起的、或完整的网络连接l l在网络协议模拟实现中可以进行相关信息收在网络协议模拟实现中可以进行相关信息收集集网络攻防技术网络攻防技术蜜罐网络蜜罐网络Honeynetl l蜜网技术蜜网技术l l实质上是一种研究型、高交互型的蜜罐技术实质上是一种研究型、高交互型的蜜罐技术实质上是一种研究型、高交互型的蜜罐技术实质上是一种研究型、高交互型的蜜罐技术l l一个体系框架一个体系框架一个体系框架一个体系框架l l包括一个或多个蜜罐包括一个或多个蜜罐包括一个或多个蜜罐包括一个或多个蜜罐l l多层次的数据控制机制高度可控多层次的数据控制机制高度可控多层次的数据控制机制高度可控多层次的数据控制机制高度可控l l全面的数据捕获机制全面的数据捕获机制全面的数据捕获机制全面的数据捕获机制l l辅助研究人员对攻击数据进行深入分析辅助研究人员对攻击数据进行深入分析辅助研究人员对攻击数据进行深入分析辅助研究人员对攻击数据进行深入分析网络攻防技术网络攻防技术虚拟蜜网l l在一台机器上部署蜜网的解决方案在一台机器上部署蜜网的解决方案l lVMware&User Mode LinuxVMware&User Mode Linuxl l优势优势l l减少部署成本减少部署成本减少部署成本减少部署成本l l更容易管理更容易管理更容易管理更容易管理l l劣势劣势l l虚拟机的指纹虚拟硬件的配置信息虚拟机的指纹虚拟硬件的配置信息虚拟机的指纹虚拟硬件的配置信息虚拟机的指纹虚拟硬件的配置信息网络攻防技术网络攻防技术蜜网项目组l l非赢利性研究机构非赢利性研究机构非赢利性研究机构非赢利性研究机构l l目标目标目标目标l lTo learn the tools,tactics,and motives of the To learn the tools,tactics,and motives of the blackhat community and share these lessons blackhat community and share these lessons learnedlearnedl l历史历史历史历史l l1999 1999 非正式的邮件列表非正式的邮件列表非正式的邮件列表非正式的邮件列表l lJune 2000 June 2000 演变为蜜网项目组演变为蜜网项目组演变为蜜网项目组演变为蜜网项目组l lJan.2002 Jan.2002 发起蜜网研究联盟发起蜜网研究联盟发起蜜网研究联盟发起蜜网研究联盟l lDec.2002 10Dec.2002 10个活跃的联盟成员个活跃的联盟成员个活跃的联盟成员个活跃的联盟成员l l创始人及主席创始人及主席创始人及主席创始人及主席l lLance Spitzner(Sun Microsystems)Lance Spitzner(Sun Microsystems)网络攻防技术网络攻防技术蜜网技术的发展历程l lI:1999-2001I:1999-2001l lGen I Gen I 蜜网技术蜜网技术:概念验证概念验证l lII:2001-2003II:2001-2003l lGen II Gen II 蜜网技术蜜网技术:初步成熟的蜜网技术方案初步成熟的蜜网技术方案l lIII:2003-2004III:2003-2004l lHoneyWall HoneyWall Eeyore Eeyore:可引导的可引导的CDROMCDROM，集成数据控制和数，集成数据控制和数据捕获工具据捕获工具l l IV:2004-2005 IV:2004-2005l l对分布式的蜜网捕获的数据进行收集和关联的集中式系统对分布式的蜜网捕获的数据进行收集和关联的集中式系统kangakangal lV:2005-V:2005-l lGen 3 Gen 3 蜜网技术蜜网技术l l 数据捕获机制的改进数据捕获机制的改进argusargus、l lData Analysis Framework Data Analysis Framework WalleyeWalleyel lNew HoneyWall CDROM New HoneyWall CDROM RooRool lEd Balas,Indiana UniversityEd Balas,Indiana University网络攻防技术网络攻防技术蜜网的体系结构蜜网的体系结构网络攻防技术网络攻防技术蜜网技术核心需求l l数据控制机制数据控制机制l l防止蜜网被黑客防止蜜网被黑客防止蜜网被黑客防止蜜网被黑客/恶意软件利用攻击第三方恶意软件利用攻击第三方恶意软件利用攻击第三方恶意软件利用攻击第三方l l数据捕获机制数据捕获机制l l获取黑客攻击获取黑客攻击获取黑客攻击获取黑客攻击/恶意软件活动的行为数据恶意软件活动的行为数据恶意软件活动的行为数据恶意软件活动的行为数据l l网络行为数据网络连接、网络流网络行为数据网络连接、网络流网络行为数据网络连接、网络流网络行为数据网络连接、网络流l l系统行为数据进程、命令、打开文件、发系统行为数据进程、命令、打开文件、发系统行为数据进程、命令、打开文件、发系统行为数据进程、命令、打开文件、发起连接起连接起连接起连接l l数据分析机制数据分析机制l l理解捕获的黑客攻击理解捕获的黑客攻击理解捕获的黑客攻击理解捕获的黑客攻击/恶意软件活动的行为恶意软件活动的行为恶意软件活动的行为恶意软件活动的行为网络攻防技术网络攻防技术Gen I 蜜网蜜网l l第一代蜜网技术是一个简单地使用防火墙、第一代蜜网技术是一个简单地使用防火墙、入侵检测系统和日志入侵检测系统和日志/报警服务器构建的报警服务器构建的受控环境，使用路由器转发会消耗数据包受控环境，使用路由器转发会消耗数据包的的TTL 值（路由跳数），因此对攻击者来值（路由跳数），因此对攻击者来是可见的，容易被攻击者所察觉。是可见的，容易被攻击者所察觉。网络攻防技术网络攻防技术Gen I 蜜网体系结构蜜网体系结构网络攻防技术网络攻防技术Gen II蜜网蜜网l lGen II蜜网体系结构中最关键的部件是称蜜网体系结构中最关键的部件是称为为HoneyWall 的蜜网网关，包括三个网的蜜网网关，包括三个网络接口，络接口，eth0 接入外网，接入外网，eth1 连接蜜网，连接蜜网，而而eth2 作为一个秘密通道，连接到一个作为一个秘密通道，连接到一个监控网络。监控网络。网络攻防技术网络攻防技术Gen II蜜网体系结构蜜网体系结构网络攻防技术网络攻防技术Gen III 蜜网蜜网l l加强了辅助分析功能，协助安全研究人员加强了辅助分析功能，协助安全研究人员更好地对所捕获的攻击数据进行深入分析更好地对所捕获的攻击数据进行深入分析并尽量减少工作量。并尽量减少工作量。l l发布了一个基于发布了一个基于Web 界面的非常友好的界面的非常友好的数据辅助分析工具数据辅助分析工具Walleye，这使得蜜网，这使得蜜网技术更加完整。技术更加完整。网络攻防技术网络攻防技术Gen III 蜜网蜜网网络攻防技术网络攻防技术