實戰搭建無線入侵蜜罐揪出企業隱身黑客

作者：菲兒 2009-04-24 23:30:09

眾所周知無線網絡在帶來靈活接入的同時安全問題一直以來都是其軟肋，企業無線網絡或者家庭無線網絡都很容易吸引外來“觀光者”，一方面WEP，WPA等加密措施的紛紛被破解使得無線加密形同虛設……

眾所周知無線網絡在帶來靈活接入的同時安全問題一直以來都是其軟肋，企業無線網絡或者家庭無線網絡都很容易吸引外來“觀光者”，一方面WEP，WPA等加密措施的紛紛被破解使得無線加密形同虛設，另一方面無線網絡的自動尋網自動連接也讓很多“非有意者”連接到你的無線網絡中。那么我們該如何防范針對無線網絡的攻擊和入侵呢?我們是否能夠通過必要的措施對入侵者進行反擊呢?今天就請各位讀者跟隨筆者一起反客為主搭建無線入侵蜜罐，讓入侵者露出本來面目。

一，什么是無線入侵蜜罐：

首先我們需要明確什么是蜜罐，在網絡管理和網絡安全領域存在一個定義——蜜罐，蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。這個定義表明蜜罐并無其他實際作用，因此所有流入/流出蜜罐的網絡流量都可能預示了掃描、攻擊和攻陷。而蜜罐的核心價值就在于對這些攻擊活動進行監視、檢測和分析。說白了蜜罐就是一個假冒的系統，吸引入侵者進入，然后對其進行誘捕。通過一個實際存在的具備漏洞的系統來針對入侵者反捕獲，從而對其進行快速定位。

而對于無線入侵蜜罐來說工作原理是一樣的，只不過他是一個具備入侵漏洞的無線網絡，吸引入侵者進入然后對其進行誘捕，從而定位其網絡參數將入侵者基本信息進行收集，最終更好的對其進行防范。例如通過MAC地址過濾，IP地址封鎖等方式將存在入侵可能的主機禁用，取消其連接無線網絡的權限。

二，如何搭建無線入侵蜜罐系統：

那么對于普通用戶和企業網絡者來說如何搭建無線入侵蜜罐系統呢?蜜罐系統的搭建需要有兩個因素，我們分別進行講解。

第一是建立存在漏洞的無線網絡，我們可以根據需要選擇廣播SSID網絡ID，使用簡單KEY方式進行WEP加密等。所有設置都通過無線路由器來完成，通過無線參數設置界面開啟無線網絡及相關參數。(如圖1)

開啟具備漏洞的無線網絡后我們可以通過無線掃描工具針對該網絡進行掃描，確認漏洞存在且穩定運行。(如圖2)

第二要能夠針對入侵者進行合理監控，一般我們都是通過監控制工具或網絡管理程序來完成的，sniffer類工具是不錯的選擇;如果是企業無線設備并具備鏡像端口轉發功能的話效果會更好，我們直接通過鏡像端口對入侵者接入端口或總出口進行sniffer監控即可。所有數據流量將被原封不動的轉發到sniffer監控端，這樣我們就可以仔細分析入侵者的網絡流量以及相關數據信息了。

不過對于大部分設備和家庭用戶來說擁有具備鏡像端口轉發功能的無線網絡設備很困難，這時我們該如何實現合理監控目的呢?就筆者個人經驗來說可以通過HUB來完成，雖然在實際網絡應用過程中HUB容易造成廣播數據包泛濫以及數據包重復轉發，不過這個缺點恰恰可以幫助我們應用到無線入侵蜜罐系統的搭建中，通過在無線設備出口連接一臺HUB設備，然后HUB一個接口連接上層設備或外網，另一個接口直接連接安裝了sniffer軟件的監控主機，這樣當入侵者連接到無線設備后必然會有相關數據包轉發到HUB上，由于HUB會復制相當數據到各個端口，所以在另一個接口直接連接安裝了sniffer軟件的監控主機上就能夠查看到相應的網絡數據，這些數據都是入侵者產生的，從而實現了對入侵者進行合理監控的目的。#p#

三，實戰搭建無線入侵蜜罐系統

下面我們就來通過實戰搭建無線入侵蜜罐系統，筆者需要的設備是一臺筆記本，一個HUB以及一個無線設備(可以是無線路由器)。

小提示：

在實際使用過程中我們要確保能夠找到HUB而不是二層交換機，因為只有HUB這個工作于一層的設備才能夠幫助我們監控數據，如果是交換機的話在一個接口接收到數據后并不會重復復制到其他接口，我們自然無法順利監控到數據信息。

第一步：首先進入無線路由器開啟SSID廣播以及無線網絡，當然必要時可以結合WEP加密等方式，為了更好的實現蜜罐性能筆者沒有針對該無線網絡進行任何加密，任何入侵者都可以連接此無線網絡。

第二步：接下來等待一段時間后我們進入到無線路由器LAN狀態處，查看active clients活動主機，在這里顯示的是當前已經連接到無線路由器的主機。我們對比本地網絡各個主機IP后可以發現一個名為ZZ的IP是192.168.1.105的主機屬于非法入侵，他就是我們捕獲到的入侵者，蜜罐系統吸引對方成功。(如圖3)