第15章-蜜罐主机和蜜罐网络-网络攻防原理与实践课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,网络攻防原理与实践,高等教育出版社,*,第,15,章 蜜罐主机和蜜罐网络,高等教育出版社,本章要点,2.,蜜罐的实现技术,1.,蜜罐概述,3.,蜜罐主机的部署,4.,蜜罐网络,网络攻防原理与实践,高等教育出版社,蜜罐的基本概念,蜜罐是一种安全资源，它的价值就在于被扫描、攻击和攻陷，并对这些攻击活动进行监视、检测和分析。,设计蜜罐的初衷是为吸引那些试图非法入侵他人计算机系统的人，借此收集证据，同时隐藏真实的服务器地址。,蜜罐具有发现攻击、产生警告、记录攻击信息、欺骗、调查取证等功能。,蜜罐最大的优势在于它能主动地检测和响应网络入侵和攻击，并且采集的信息价值高。,网络攻防原理与实践,高等教育出版社,蜜罐的分类,按价值体现分类,欺骗型蜜罐,纯粹的以欺骗性目的存在的蜜罐系统，通过伪装成攻击目标，从而转移攻击者的注意力，同时通过报警等各种附加机制对攻击进行响应。,威慑型蜜罐,对攻击者产生心理上的威吓及迷惑作用的蜜罐系统，其主要职责就是告诉攻击者自己是个蜜罐系统，这样可以形成一定的阻吓作用，减弱攻击者的攻击意图。,网络攻防原理与实践,高等教育出版社,蜜罐的分类,按交互级别分类,低交互度蜜罐,一个低交互度的蜜罐很容易安装和部署，并只能对少量服务进行模拟。,低交互度蜜罐的主要价值在于检测，具体说来就是对未授权扫描或者未授权连接尝试的检测。,中交互度蜜罐,中交互度的蜜罐能够预期一些活动，并且旨在可以给出一些低交互度蜜罐所无法给予的响应。,网络攻防原理与实践,高等教育出版社,蜜罐的分类,高交互度蜜罐,高交互度的蜜罐可以提供大量关于攻击者的信息，目的是为攻击者提供对实际操作系统的访问权，在这种环境下没有任何东西是模拟的或者受限的。,Honeynet,蜜网,不仅为攻击者提供了完整的操作系统进行攻击和交互，而且还提供了多个蜜罐。,Honeynet,的复杂性在于对往来于蜜罐的所有活动既进行控制又加以捕获的控制网络的构建。,网络攻防原理与实践,高等教育出版社,蜜罐的优点,数据价值,蜜罐通常只会收集少量的数据，但这些数据却具有极高的价值。,蜜罐能以一种快捷而易懂的格式提供所需的精确信息，简化了分析，提高了响应速度。,资源,蜜罐只会对少量活动进行捕获和监视，所以在它们身上通常不会发生资源枯竭问题。,蜜罐只会捕获那些直接针对其本身的活动，因此系统并不会受到流量的震荡。,网络攻防原理与实践,高等教育出版社,蜜罐的缺点,视野有限,蜜罐只能看到何种活动是直接针对它们自身的，而漏掉周围的事件。,指纹识别,指纹识别指的是由于蜜罐具备一些特定的预期特征或者行为，因而能够被攻击者识别出其真实身份的情况。,风险,一旦一个蜜罐遭受了攻击，就可以被用于攻击、渗透，甚至危害其他的系统或者组织。,网络攻防原理与实践,高等教育出版社,蜜罐的伪装,采用真实系统作蜜罐，能提供黑客与系统的交互能力，伪装程度明显提高。,还要对这些真实系统进行配置，最为逼真的配置办法是把一个修改过敏感信息的工作系统的内容直接拷贝到蜜罐上。,目前蜜罐的主要网络欺骗技术有：,模拟端口,模拟系统漏洞和应用服务,IP,空间欺骗,流量仿真,网络动态配置,组织信息欺骗,网络服务,蜜罐主机,网络攻防原理与实践,高等教育出版社,基于主机的信息收集,记录数据流,将攻击者的信息存放在一个安全的、远程的地方。,以通过串行设备、并行设备、,USB,或,Firewire,技术和网络接口将连续数据存储到远程日志服务器。,“,Peeking”,机制,MD-5,检验和检查：如果攻击者有一个和蜜罐对比的参照系统，就会计算所有标准的系统二进制文件的,MD-5,校验和来测试蜜罐。,库的依赖性和进程相关性检查：即使攻击者不知道原始二进制系统的确切结构，仍然能应用特定程序观察共享库的依赖性和进程的相关性。,网络攻防原理与实践,高等教育出版社,主动的信息收集,信息也可以主动获得，使用第三方的机器或服务甚至直接针对攻击者反探测,如,Whois,，,Portscan,等。,这种方式很危险，容易被攻击者察觉并离开蜜罐，而且不是蜜罐所研究的主要范畴。,网络攻防原理与实践,高等教育出版社,风险控制,在运行蜜罐时，将存在的风险分为三个方面：,未发现黑客对蜜罐的接管,蜜罐被黑客控制并接管是非常严重的，这样的蜜罐已毫无意义且充满危险。,对蜜罐失去控制,一个优秀的蜜罐应该可以随时安全地终止进出蜜罐的任何通信，随时备份系统状态以备以后分析。要做到即使蜜罐被完全攻陷，也仍在控制之中。,对第三方的损害,攻击者可能利用蜜罐去攻击第三方，如把蜜罐作为跳板攻击其他系统。,网络攻防原理与实践,高等教育出版社,蜜罐主机的部署,根据所需要的服务，蜜罐主机既可以放置于互联网中，也可以放置在内联网中。,如果你更加关心互联网，那么蜜罐主机可以放置在另外的地方：,防火墙外面,(Internet),DMZ(,非军事区,),防火墙后面,(Intranet),网络攻防原理与实践,高等教育出版社,蜜罐主机的部署,网络攻防原理与实践,高等教育出版社,防火墙前,将蜜罐系统置于防火墙前的位置(1)，不用调整防火墙的设置，因为可以将防火墙外部的蜜罐系统看成是外部网络的一个机器。,蜜罐会吸引像端口扫描等大量的攻击，而这些攻击不会被防火墙记录也不让内部IDS系统产生警告，只会由蜜罐本身来记录。,内部局域网的攻击者无法定位蜜罐系统，是这个方案的最大弊端。,网络攻防原理与实践,高等教育出版社,DMZ,位置(2)，由于DMZ内其他系统和蜜罐系统一起被安全控制，是个较好的解决方案。,蜜罐运行在自己的DMZ内，同时保证DMZ内的其他服务器是安全的，只提供所必需的服务，蜜罐通常会伪装尽可能多的服务。,惟一的缺点就是增加了硬件要求。,网络攻防原理与实践,高等教育出版社,防火墙后,位置(3)，可能给内部网络引入新的安全威胁，特别是如果蜜罐和内部网络之间没有额外的防火墙保护。,蜜罐系统通常都提供大量的伪装服务。,将蜜罐系统置于防火墙后一个最大的原因就是能探测内部的攻击者。,缺点是一旦蜜罐被外部攻击者攻陷就会危害整个内网。,网络攻防原理与实践,高等教育出版社,蜜罐网络,蜜网体系结构具有三大关键需求：,数据控制：对攻击者在蜜网中对第三方发起的攻击行为进行限制，以降低部署蜜网所带来的安全风险。,数据捕获：监控和记录黑客在蜜网内的所有行为。,数据分析：对捕获到的攻击数据进行整理和融合，从中分析出其中蕴涵的攻击工具、方法、技术和动机。,虚拟蜜网是指在同一硬件平台上运行多个操作系统和多种网络服务的虚拟网络环境。,网络攻防原理与实践,高等教育出版社,虚拟蜜网分类,独立虚拟蜜网,搭建在一台计算机上的一个完整的蜜网网络。,网络内包括不定数量的虚拟蜜罐，数据控制和数据捕获也由这台机器来完成，一般是要使用软件防火墙和基于主机的入侵检测系统。,混合虚拟蜜网,将传统蜜网技术和虚拟软件技术结合在一起组成的蜜罐网络。,网内蜜罐可以是真实的机器和服务，也可以是虚拟蜜罐，而数据控制和信息收集系统，如防火墙、入侵检测系统传感器和日志纪录机制则封闭在隔离系统中。,网络攻防原理与实践,高等教育出版社,本章要点,2.,蜜罐的实现技术,1.,蜜罐概述,3.,蜜罐主机的部署,4.,蜜罐网络,网络攻防原理与实践,高等教育出版社,