校園網中蜜罐技術應用方案
蜜罐技術概述
蜜罐是一種安全資源,其價值在于被掃描、攻擊和攻陷。傳統蜜罐有著不少的優點,比如收集數據的保真度,蜜罐不依賴于任何復雜的檢測技術等,因此減少了漏報率和誤報率。使用蜜罐技術能夠收集到新的攻擊工具和攻擊方法,而不像目前的大部分入侵檢測系統只能根據特征匹配的方法檢測到已知的攻擊。但是隨著應用的廣泛,傳統蜜罐的缺點也開始暴露了出來,綜合起來主要有3個方面:
(1)蜜罐技術只能對針對蜜罐的攻擊行為進行監視和分析,其視圖不像入侵檢測系統能夠通過旁路偵聽等技術對整個網絡進行監控。
(2)蜜罐技術不能直接防護有漏洞的信息系統并有可能被攻擊者利用帶來一定的安全風險。
(3)攻擊者的活動在加密通道上進行(IPSec,SSH,SSL,等等)增多,數據捕獲后需要花費時間破譯,這給分析攻擊行為增加了困難。
針對以上問題出現了蜜網技術。蜜網技術實質上是一類研究型的高交互蜜罐技術,與傳統蜜罐技術的差異在于,蜜網構成了一個黑客誘捕網絡體系架構,在這個架構中,可以包含一個或多個蜜罐,同時保證了網絡的高度可控性,以及提供多種工具以方便對攻擊信息的采集和分析。
蜜網中蜜罐所面臨的挑戰
蜜網是一個體系結構,成功地部署一個蜜網環境,這里有兩個嚴格的需求,這也是針對傳統蜜罐的缺點而提出來的。這兩個需求是:數據控制和數據捕獲。數據控制就是限制攻擊者活動的機制,它可以降低安全風險。數據捕獲就是監控和記錄所有攻擊者在蜜網內部的活動,包括記錄加密會話中擊鍵,恢復使用SCP拷貝的文件,捕獲遠程系統被記錄的口令,恢復使用保護的二進制程序的口令等。這些捕獲的數據將會被用于分析,從中學習黑客界成員們使用的工具、策略以及他們的動機。這正是蜜罐所要做的工作。
蜜罐應用解決方案
1捕獲工具隱藏
1.1隱藏模塊。
捕獲數據的工具是以模塊化的機制在Linux系統啟動后動態地加載到內核成為內核的一部分進行工作的。當捕獲程序的模塊被加載到內核時,一個記載已加載模塊信息的安裝模塊鏈表里面就記錄下已加載模塊的信息,用戶可以通過內存里動態生成的proc文件系統下的module文件來查看到。當特權用戶root調用/sbin/insmod命令加載模塊時會有一個系統調用sys_create_module,這個函數在Linux2.4的源代碼中位于kernel/module.c。它會將含有新加載的模塊信息的數據結構struct module插入到名為moudle_list的模塊鏈表中去。
當一個模塊加載時,它被插入到一個單向鏈表的表頭。黑客們在攻入蜜罐系統后,可以根據以上存在的漏洞,找出他們認為是可疑的蜜罐捕獲模塊并從內核卸載模塊,這樣蜜罐也就失去了它的功能。為了達到隱藏模塊的目的就必須在加載模塊后,將指向該模塊的鏈表指針刪除,這樣通過遍歷表查找時就再也無法找到該模塊了。
1.2進程隱藏。
進程是一個隨執行過程不斷變化的實體。在Linux系統運行任何一個命令或程序系統時都會建立起至少一個進程來執行。這樣蜜罐捕獲程序必定會在系統中運行多個進程,利用類似于ps這樣查詢進程信息的命令便可以得到所有的進程信息,這樣很容易就會暴露蜜罐的存在。由于在Linux中不存在直接查詢進程信息的系統調用,類似于ps這樣查詢進程信息的命令是通過查詢proc文件系統來實現的。
proc文件系統是一個虛擬的文件系統,它通過文件系統的接口實現,用于輸出系統運行狀態。它以文件系統的形式,為操作系統本身和應用進程之間的通信提供了一個界面,使應用程序能夠安全、方便地獲得系統當前的運行狀況以及內核的內部數據信息,并可以修改某些系統的配置信息。由于proc以文件系統的接口實現,因此可以象訪問普通文件一樣訪問它,但它只存在于內存之中,所以可以用隱藏文件的方法來隱藏proc文件系統中的文件,以達到隱藏進程的目的。
判斷文件是否屬于proc文件系統是根據它只存在于內存之中,不存在于任何實際設備之上這一特點,所以Linux內核分配給它一個特定的主設備號0以及一個特定的次設備號1,除此之外在外存上沒有與之對應的i節點,所以系統也分配給它一個特殊的節點號PROC_ROOT_INO(值為1),而設備上的1號索引節點是保留不用的。這樣可以得出判斷一個文件是否屬于proc文件系統的方法。得到該文件對應的inode結構
- d_inode;(2)if(d_inode->i_ino==PROC_ROOT_INO.&&!MAJO(d_inode->i_dev)&;MINOR(d_inode->i_dev)==1){該文件屬于proc文件系統}
蜜罐技術在校園網中的應用,本文只為大家介紹了一部分,希望大家已經掌握以上的內容,在下一節中我們將會介紹此方案,希望大家多多掌握。下一篇:校園網中蜜罐技術應用方案 續
【編輯推薦】
