實(shí)例解析蜜罐技術(shù)
蜜罐的實(shí)際例子
下面我們以Redhat linux 9.0為平臺(tái),做一個(gè)簡(jiǎn)單的蜜罐陷阱的配置。
我們知道,黑客一旦獲得root口令,就會(huì)以root身份登錄,這一登錄過(guò)程就是黑客入侵的必經(jīng)之路。其二,黑客也可能先以普通用戶(hù)身份登錄,然后用su命令轉(zhuǎn)換成root身份,這又是一條必經(jīng)之路。
我們討論如何在以下情況下設(shè)置陷阱:
(1)當(dāng)黑客以root身份登錄時(shí);
(2)當(dāng)黑客用su命令轉(zhuǎn)換成root身份時(shí);
(3)當(dāng)黑客以root身份成功登錄后一段時(shí)間內(nèi);
第一種情況的陷阱設(shè)置
一般情況下,只要用戶(hù)輸入的用戶(hù)名和口令正確,就能順利進(jìn)入系統(tǒng)。如果我們?cè)谶M(jìn)入系統(tǒng)時(shí)設(shè)置了陷阱,并使黑客對(duì)此防不勝防,就會(huì)大大提高入侵的難度系數(shù)。例如,當(dāng)黑客已獲取正確的root口令,并以root身份登錄時(shí),我們?cè)诖嗽O(shè)置一個(gè)迷魂陣,提示它,你輸入的口令錯(cuò)誤,并讓它重輸用戶(hù)名和口令。而其實(shí),這些提示都是虛假的,只要在某處輸入一個(gè)密碼就可通過(guò)。黑客因此就掉入這個(gè)陷阱,不斷地輸入root用戶(hù)名和口令,卻不斷地得到口令錯(cuò)誤的提示,從而使它懷疑所獲口令的正確性,放棄入侵的企圖。
給超級(jí)用戶(hù)也就是root用戶(hù)設(shè)置陷阱,并不會(huì)給系統(tǒng)帶來(lái)太多的麻煩,因?yàn)椋瑩碛衦oot口令的人數(shù)不會(huì)太多,為了系統(tǒng)的安全,稍微增加一點(diǎn)復(fù)雜性也是值得的。這種陷阱的設(shè)置時(shí)很方便的,我們只要在root用戶(hù)的.profile中加一段程序就可以了。我們完全可以在這段程序中觸發(fā)其他入侵檢測(cè)與預(yù)警控制程序。陷阱程序如下:
- # root .profile
- Clear
- Echo “You had input an error password , please input again !”
- Echo
- Echo –n “Login:”
- Read p
- If ( “$p” = “123456”) then
- Clear
- Else
- Exit
第二種情況的陷阱設(shè)置
在很多情況下,黑客會(huì)通過(guò)su命令轉(zhuǎn)換成root身份,因此,必須在此設(shè)置陷阱。當(dāng)黑客使用su命令,并輸入正確的root口令時(shí),也應(yīng)該報(bào)錯(cuò),以此來(lái)迷惑它,使它誤認(rèn)為口令錯(cuò)誤,從而放棄入侵企圖。這種陷阱的設(shè)置也很簡(jiǎn)單,你可以在系統(tǒng)的/etc/profile文件中設(shè)置一個(gè)alias,把su命令重新定義成轉(zhuǎn)到普通用戶(hù)的情況就可以了,例如alias su=”su user1”。這樣,當(dāng)使用su時(shí),系統(tǒng)判斷的是user1的口令,而不是root的口令,當(dāng)然不能匹配。即使輸入su root也是錯(cuò)誤的,也就是說(shuō),從此屏蔽了轉(zhuǎn)向root用戶(hù)的可能性。
第三種情況的陷阱設(shè)置
如果前兩種設(shè)置都失效了,黑客已經(jīng)成功登錄,就必須啟用登錄成功的陷阱。一旦root用戶(hù)登錄,就可以啟動(dòng)一個(gè)計(jì)時(shí)器,正常的root登錄就能停止計(jì)時(shí),而非法入侵者因不知道何處有計(jì)時(shí)器,就無(wú)法停止計(jì)時(shí),等到一個(gè)規(guī)定的時(shí)間到,就意味著有黑客入侵,需要觸發(fā)必要的控制程序,如關(guān)機(jī)處理等,以免造成損害,等待系統(tǒng)管理員進(jìn)行善后處理。陷阱程序如下:
- # .testfile
- times=0
- while [ $times –le 30 ] do
- sleep 1
- times=$[times + 1]
- done
- halt /* 30秒時(shí)間到,觸發(fā)入侵檢測(cè)與預(yù)警控制 */
將該程序放入root .bashrc中后臺(tái)執(zhí)行:
- # root . bashrc
- ….
- Sh .testfile&
該程序不能用Ctrl-C終止,系統(tǒng)管理員可用jobs命令檢查到,然后用kill %n將它停止。
從上述三種陷阱的設(shè)置,我們可以看到一個(gè)一般的規(guī)律:改變正常的運(yùn)行狀態(tài),設(shè)置虛假信息,使入侵者落入陷阱,從而觸發(fā)入侵檢測(cè)與預(yù)警控制程序。
關(guān)鍵技術(shù)設(shè)計(jì)
自蜜罐概念誕生之日起,相關(guān)技術(shù)一直在長(zhǎng)足的發(fā)展。到今天為止,蜜罐技術(shù)應(yīng)用的最高度應(yīng)該說(shuō)是Honeynet技術(shù)的實(shí)現(xiàn)。
蜜罐技術(shù)總結(jié)
蜜罐技術(shù)的發(fā)展也是伴隨著各種不同的觀點(diǎn)而不斷的成長(zhǎng)的。蜜罐技術(shù)是通過(guò)誘導(dǎo)讓黑客們誤入歧途,消耗他們的精力,為我們加強(qiáng)防范贏得時(shí)間。通過(guò)蜜網(wǎng)讓我們?cè)谑芄舻耐瑫r(shí)知道誰(shuí)在使壞,目標(biāo)是什么。同時(shí)也檢驗(yàn)我們的安全策略是否正確,防線是否牢固,蜜罐的引入使我們與黑客之間同處于相互斗智的平臺(tái)counter-intelligence,而不是處處遭到黑槍的被動(dòng)地位。我們的網(wǎng)絡(luò)并不安全,IDS,F(xiàn)IREWALL,Encryption技術(shù)都有其缺陷性,我們期待它們與蜜罐的完美結(jié)合,那將是對(duì)網(wǎng)絡(luò)安全的最好禮物。我們完全相信,蜜罐技術(shù)必將在網(wǎng)絡(luò)安全中發(fā)揮出極其重要的作用,一場(chǎng)世界上聲勢(shì)浩大的蜜罐技術(shù)行動(dòng)必將到來(lái)。
【編輯推薦】
