杨铭
摘 要:随着网络入侵事件的增加和黑客攻击水平的提高,网络安全问题日趋严重。为了有效的解决新型的网络安全威胁,本文介绍一个新型网络安全防御系统—虚拟蜜罐。文章首先讲述蜜罐的定义、分类、虚拟蜜罐的结构、路由拓扑,并对其进行测试和总结。
关键词:蜜罐;Honeypot;路由拓扑
1 蜜罐(Honeypot)的定义
信息化的社会中,网络安全问题越来越严重。学者们多年的研究,制定了一系列的网络安全体系。然而,黑客可以利用大规模的漏洞扫描工具,使计算机系统遭受破坏,我们仍然保证不了网络系统的安全,甚至无法准确评估它们的安全性。这里笔者介绍一种新型网络安全防御系统:蜜罐(Honeypot)。
蜜罐就像一个情报收集系统。它伪装成故意让人攻击的目标,引诱黑客前来攻击。一旦攻击者入侵后,我们就可以分析其攻击行为和过程,掌握黑客针对服务器发动的最新的攻击和漏洞。也能通过窃听黑客之间的联系,获取黑客采用的工具,掌握其技术及社交网络。
2 蜜罐(Honeypot)的分类
Honeypot可以分为低交互性蜜罐和高交互性蜜罐两类。
低交互性蜜罐是一种仿真服务,通常运行于现有操作系统上,交互动作少,黑客的活动范围局限在仿真服务预设内,它的优点是容易部署,结構简单,风险较低。
高交互性蜜罐构建于真实的操作系统,给黑客提供的是真实的系统及服务。此种方式便于获取大量的有用信息,甚至是一些我们完全不了解的新型网络攻击技术。与此同时,高交互性蜜罐构使系统面临更多的风险,黑客极有可能通过这个真实的开放系统,攻击和渗透网络中的其他主机。
3 虚拟蜜罐Honeyd结构
Honeyd是一个轻型的开放源代码的虚拟蜜罐的框架,可以模拟多个操作系统和网络服务,同时支持IP协议族,允许创建任意拓扑结构,支持网络通道的虚拟网络。
为了使Honeyd能正常的接受和回应属于虚拟蜜罐之一的网络数据包的目的IP地址,可以为指向Honeyd主机的虚拟IP地址创建特定路由,使用ARP代理及网络通道。当情况较复杂时,可以在网络地址空间和hondyd主机之间建立通道。
Honeyd由配置数据库、中央包分配器、协议处理器、个性化引擎及随机的路由组件几部分组成。中央包分配器首先检测输入包的IP包长度,并校验验证,然后查询配置数据库,查找与目的IP地址相对应的蜜罐配置,如果专用的配置不存在,则应用缺省模板。配置确定以后,由相应的协议处理器处理该数据包。
Honeyd支持ICMP,TCP和UDP三种互联网协议。ICMP协议处理器支持大多数的ICMP请求。如果缺省,则对ECHO请求做出反应,返回目的地址不可达信息。对TCP和UDP来说,Honeyd结构可以为任意的服务提供连接,服务是在STDIN上接受数据,然后将输出发送到STDOUT的外部应用。Honeyd中含有简化的TCP状态机,很好的支持“三次握手”的建立连接以及通过FIN或RST的撤消连接,但是接受器和拥塞窗口管理并没有完全实现。每当收到一个发往封闭端口的UDP包时,就会默认发出一个ICMP端口不可达的信息。
4 虚拟蜜罐Honeyd路由拓扑(Routing Topology)
Honeyd可以实现随机的网络路由拓扑。虚拟的路由拓扑呈树形结构,数据包进入虚拟网络的入口就是根节点。每个路由器代表着树的一个内部节点。每个包含着时间等待和包损失等特性的连接用一个边表示。树的终端节点同网络对应。
Honeyd还能将虚拟的路由拓扑和真实的系统相结合,当Honeyd接收的数据包来自一个真实系统时,包沿着网络拓扑行走直到真实网络空间的一个虚拟路由器。Honeyd结构回复相应的虚拟路由器的ARP来响应真正的系统发出的ARP请求。
5 虚拟蜜罐的测试
将虚拟主机的IP添加到路由规则中,使机器能够将数据包正确的路由到蜜罐上。查看honeyd的主要参数,并运行。将honeyd中操作系统指纹设置为windows,利用nmap扫描验证。
测试中,攻击主机为59.64.153.234,如图1所示,红框中显示了攻击主机与蜜罐虚拟的主机建立连接。通过查询这些信息,可以收集攻击者的入侵证据,同时由于这些主机都是由蜜罐虚拟出来的,所以不会对系统造成威胁。
6 结语
Honeyd通过提供威胁检测与评估机制来提高计算机系统的安全性,将真实系统隐藏在虚拟系统中来阻止外来的攻击者。但是Honeyd只能进行网络级的模拟,而没有真实的交互环境,所获取的攻击者的信息有限。只有将Honeyd所模拟的蜜罐系统和现有的安全机制有机地结合一起部署,才能组成功能强大、花费又少的网络攻击信息收集系统,才能应对更为复杂的网络攻击。
[参考文献]
[1]张毅,万里勇.基于主动防御的蜜罐技术研究的综述[J].广西轻工业.2011(05).
[2]胡征昉.一种基于蜜罐技术的入侵检测模型设计[J].软件导刊.2007(07).
[3]司瑾,王光宇.蜜网技术与网络安全[J].电脑编程技巧与维护.2009(S1).
[4]王淑敏,李军豪.蜜罐技术在社交网络反垃圾信息中应用[J].煤炭技术.2011(07).