解析蜜罐的配置模式和信息收集
蜜罐的配置模式
① 誘騙服務(deception service)
誘騙服務是指在特定的IP服務端口幀聽并像應用服務程序那樣對各種網絡請求進行應答的應用程序。DTK就是這樣的一個服務性產品。DTK吸引攻擊者的詭計就是可執行性,但是它與攻擊者進行交互的方式是模仿那些具有可攻擊弱點的系統進行的,所以可以產生的應答非常有限。在這個過程中對所有的行為進行記錄,同時提供較為合理的應答,并給闖入系統的攻擊者帶來系統并不安全的錯覺。例如,當我們將誘騙服務配置為FTP服務的模式。當攻擊者連接到TCP/21端口的時候,就會收到一個由蜜罐發出的FTP的標識。如果攻擊者認為誘騙服務就是他要攻擊的FTP,他就會采用攻擊FTP服務的方式進入系統。這樣,系統管理員便可以記錄攻擊的細節。
② 弱化系統(weakened system)
只要在外部因特網上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。這樣的特點是攻擊者更加容易進入系統,系統可以收集有效的攻擊數據。因為黑客可能會設陷阱,以獲取計算機的日志和審查功能,需要運行其他額外記錄系統,實現對日志記錄的異地存儲和備份。它的缺點是“高維護低收益”。因為,獲取已知的攻擊行為是毫無意義的。
③ 強化系統(hardened system)
強化系統同弱化系統一樣,提供一個真實的環境。不過此時的系統已經武裝成看似足夠安全的。當攻擊者闖入時,蜜罐就開始收集信息,它能在最短的時間內收集最多有效數據。用這種蜜罐需要系統管理員具有更高的專業技術。如果攻擊者具有更高的技術,那么,他很可能取代管理員對系統的控制,從而對其它系統進行攻擊。
④用戶模式服務器(user mode server)
用戶模式服務器實際上是一個用戶進程,它運行在主機上,并且模擬成一個真實的服務器。在真實主機中,每個應用程序都當作一個具有獨立IP地址的操作系統和服務的特定是實例。而用戶模式服務器這樣一個進程就嵌套在主機操作系統的應用程序空間中,當INTERNET用戶向用戶模式服務器的IP地址發送請求,主機將接受請求并且轉發到用戶模式服務器上。(我們用這樣一個圖形來表示一下他們之間的關系):這種模式的成功與否取決于攻擊者的進入程度和受騙程度。它的優點體現在系統管理員對用戶主機有絕對的控制權。即使蜜罐被攻陷,由于用戶模式服務器是一個用戶進程,那么Administrator只要關閉該進程就可以了。另外就是可以將FIREWALL,IDS集中于同一臺服務器上。當然,其局限性是不適用于所有的操作系統。
蜜罐的信息收集
當我們察覺到攻擊者已經進入蜜罐的時候,接下來的任務就是數據的收集了。數據收集是設置蜜罐的另一項技術挑戰。蜜罐監控者只要記錄下進出系統的每個數據包,就能夠對黑客的所作所為一清二楚。蜜罐本身上面的日志文件也是很好的數據來源。但日志文件很容易被攻擊者刪除,所以通常的辦法就是讓蜜罐向在同一網絡上但防御機制較完善的遠程系統日志服務器發送日志備份。(務必同時監控日志服務器。如果攻擊者用新手法闖入了服務器,那么蜜罐無疑會證明其價值。)
近年來,由于黑帽子群體越來越多地使用加密技術,數據收集任務的難度大大增強。如今,他們接受了眾多計算機安全專業人士的建議,改而采用SSH等密碼協議,確保網絡監控對自己的通訊無能為力。蜜網對付密碼的計算就是修改目標計算機的操作系統,以便所有敲入的字符、傳輸的文件及其它信息都記錄到另一個監控系統的日志里面。因為攻擊者可能會發現這類日志,蜜網計劃采用了一種隱蔽技術。譬如說,把敲入字符隱藏到NetBIOS廣播數據包里面。
上一篇:蜜罐技術之概念介紹
下一篇:實例解析蜜罐技術
【編輯推薦】
