虚拟蜜罐的探索与研究

杨铭

摘 要：随着网络入侵事件的增加和黑客攻击水平的提高，网络安全问题日趋严重。为了有效的解决新型的网络安全威胁，本文介绍一个新型网络安全防御系统—虚拟蜜罐。文章首先讲述蜜罐的定义、分类、虚拟蜜罐的结构、路由拓扑，并对其进行测试和总结。

关键词：蜜罐；Honeypot；路由拓扑

1 蜜罐（Honeypot）的定义

信息化的社会中，网络安全问题越来越严重。学者们多年的研究，制定了一系列的网络安全体系。然而，黑客可以利用大规模的漏洞扫描工具，使计算机系统遭受破坏，我们仍然保证不了网络系统的安全，甚至无法准确评估它们的安全性。这里笔者介绍一种新型网络安全防御系统：蜜罐（Honeypot）。

蜜罐就像一个情报收集系统。它伪装成故意让人攻击的目标，引诱黑客前来攻击。一旦攻击者入侵后，我们就可以分析其攻击行为和过程，掌握黑客针对服务器发动的最新的攻击和漏洞。也能通过窃听黑客之间的联系，获取黑客采用的工具，掌握其技术及社交网络。

2 蜜罐（Honeypot）的分类

Honeypot可以分为低交互性蜜罐和高交互性蜜罐两类。

低交互性蜜罐是一种仿真服务，通常运行于现有操作系统上，交互动作少，黑客的活动范围局限在仿真服务预设内，它的优点是容易部署，结構简单，风险较低。

高交互性蜜罐构建于真实的操作系统，给黑客提供的是真实的系统及服务。此种方式便于获取大量的有用信息，甚至是一些我们完全不了解的新型网络攻击技术。与此同时，高交互性蜜罐构使系统面临更多的风险，黑客极有可能通过这个真实的开放系统，攻击和渗透网络中的其他主机。

3 虚拟蜜罐Honeyd结构

Honeyd是一个轻型的开放源代码的虚拟蜜罐的框架，可以模拟多个操作系统和网络服务，同时支持IP协议族，允许创建任意拓扑结构，支持网络通道的虚拟网络。

为了使Honeyd能正常的接受和回应属于虚拟蜜罐之一的网络数据包的目的IP地址，可以为指向Honeyd主机的虚拟IP地址创建特定路由，使用ARP代理及网络通道。当情况较复杂时，可以在网络地址空间和hondyd主机之间建立通道。

Honeyd由配置数据库、中央包分配器、协议处理器、个性化引擎及随机的路由组件几部分组成。中央包分配器首先检测输入包的IP包长度，并校验验证，然后查询配置数据库，查找与目的IP地址相对应的蜜罐配置，如果专用的配置不存在，则应用缺省模板。配置确定以后，由相应的协议处理器处理该数据包。

Honeyd支持ICMP，TCP和UDP三种互联网协议。ICMP协议处理器支持大多数的ICMP请求。如果缺省，则对ECHO请求做出反应，返回目的地址不可达信息。对TCP和UDP来说，Honeyd结构可以为任意的服务提供连接，服务是在STDIN上接受数据，然后将输出发送到STDOUT的外部应用。Honeyd中含有简化的TCP状态机，很好的支持“三次握手”的建立连接以及通过FIN或RST的撤消连接，但是接受器和拥塞窗口管理并没有完全实现。每当收到一个发往封闭端口的UDP包时，就会默认发出一个ICMP端口不可达的信息。

4 虚拟蜜罐Honeyd路由拓扑（Routing Topology）

Honeyd可以实现随机的网络路由拓扑。虚拟的路由拓扑呈树形结构，数据包进入虚拟网络的入口就是根节点。每个路由器代表着树的一个内部节点。每个包含着时间等待和包损失等特性的连接用一个边表示。树的终端节点同网络对应。

Honeyd还能将虚拟的路由拓扑和真实的系统相结合，当Honeyd接收的数据包来自一个真实系统时，包沿着网络拓扑行走直到真实网络空间的一个虚拟路由器。Honeyd结构回复相应的虚拟路由器的ARP来响应真正的系统发出的ARP请求。

5 虚拟蜜罐的测试

将虚拟主机的IP添加到路由规则中，使机器能够将数据包正确的路由到蜜罐上。查看honeyd的主要参数，并运行。将honeyd中操作系统指纹设置为windows，利用nmap扫描验证。

测试中，攻击主机为59.64.153.234，如图1所示，红框中显示了攻击主机与蜜罐虚拟的主机建立连接。通过查询这些信息，可以收集攻击者的入侵证据，同时由于这些主机都是由蜜罐虚拟出来的，所以不会对系统造成威胁。

6 结语

Honeyd通过提供威胁检测与评估机制来提高计算机系统的安全性，将真实系统隐藏在虚拟系统中来阻止外来的攻击者。但是Honeyd只能进行网络级的模拟，而没有真实的交互环境，所获取的攻击者的信息有限。只有将Honeyd所模拟的蜜罐系统和现有的安全机制有机地结合一起部署，才能组成功能强大、花费又少的网络攻击信息收集系统，才能应对更为复杂的网络攻击。

[参考文献]

[1]张毅，万里勇.基于主动防御的蜜罐技术研究的综述[J].广西轻工业.2011（05）.

[2]胡征昉.一种基于蜜罐技术的入侵检测模型设计[J].软件导刊.2007（07）.

[3]司瑾，王光宇.蜜网技术与网络安全[J].电脑编程技巧与维护.2009（S1）.

[4]王淑敏，李军豪.蜜罐技术在社交网络反垃圾信息中应用[J].煤炭技术.2011（07）.