詳細解釋蜜罐技術
蜜罐技術介紹
設置蜜罐并不難,只要在外部因特網上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。因為黑客可能會設陷阱,以獲取計算機的日志和審查功能,你就要在計算機和因特網連接之間安置一套網絡監控系統,以便悄悄記錄下進出計算機的所有流量。然后只要坐下來,等待攻擊者自投羅網。不過,設置蜜罐并不是說沒有風險。這是因為,大部分安全遭到危及的系統會被黑客用來攻擊其它系統。這就是下游責任(downstream liability),由此引出了蜜網(honeynet)這一話題。
蜜網是指另外采用了技術的蜜罐,從而以合理方式記錄下黑客的行動,同時盡量減小或排除對因特網上其它系統造成的風險。建立在反向防火墻后面的蜜罐就是一個例子。防火墻的目的不是防止入站連接,而是防止蜜罐建立出站連接。不過,雖然這種方法使蜜罐不會破壞其它系統,但同時很容易被黑客發現。
數據收集是設置蜜罐的另一項技術挑戰。蜜罐監控者只要記錄下進出系統的每個數據包,就能夠對黑客的所作所為一清二楚。蜜罐本身上面的日志文件也是很好的數據來源。但日志文件很容易被攻擊者刪除,所以通常的辦法就是讓蜜罐向在同一網絡上但防御機制較完善的遠程系統日志服務器發送日志備份。(務必同時監控日志服務器。如果攻擊者用新手法闖入了服務器,那么蜜罐無疑會證明其價值。)
近年來,由于黑帽子群體越來越多地使用加密技術,數據收集任務的難度大大增強。如今,他們接受了眾多計算機安全專業人士的建議,改而采用SSH等密碼協議,確保網絡監控對自己的通訊無能為力。蜜網對付密碼的計算就是修改目標計算機的操作系統,以便所有敲入的字符、傳輸的文件及其它信息都記錄到另一個監控系統的日志里面。因為攻擊者可能會發現這類日志,蜜網計劃采用了一種隱蔽技術。譬如說,把敲入字符隱藏到NetBIOS廣播數據包里面。
蜜罐技術的優勢
蜜罐系統的優點之一就是它們大大減少了所要分析的數據。對于通常的網站或郵件服務器,攻擊流量通常會被合法流量所淹沒。而蜜罐進出的數據大部分是攻擊流量。因而,瀏覽數據、查明攻擊者的實際行為也就容易多了。
自1999年啟動以來,蜜網計劃已經收集到了大量信息,你可以在www.honeynet.org上找到。部分發現結果包括:攻擊率在過去一年增加了一倍;攻擊者越來越多地使用能夠堵住漏洞的自動點擊工具(如果發現新漏洞,工具很容易更新);盡管虛張聲勢,但很少有黑客采用新的攻擊手法。
蜜罐主要是一種研究工具,但同樣有著真正的商業應用。把蜜罐設置在與公司的Web或郵件服務器相鄰的IP地址上,你就可以了解它所遭受到的攻擊。
當然,蜜罐和蜜網不是什么“射后不理”(fire and forget)的安全設備。據蜜網計劃聲稱,要真正弄清楚攻擊者在短短30分鐘內造成的破壞,通常需要分析30到40個小時。系統還需要認真維護及測試。有了蜜罐,你要不斷與黑客斗智斗勇。可以這么說:你選擇的是戰場,而對手選擇的是較量時機。因而,你必須時時保持警惕。
蜜罐領域最讓人興奮的發展成果之一就是出現了虛擬蜜網。虛擬計算機網絡運行在使用VMware或User-Mode Linux等虛擬計算機系統的單一機器之上。虛擬系統使你可以在單一主機系統上運行幾臺虛擬計算機(通常是4到10臺)。虛擬蜜網大大降低了成本、機器占用空間以及管理蜜罐的難度。此外,虛擬系統通常支持“懸掛”和“恢復”功能,這樣你就可以凍結安全受危及的計算機,分析攻擊方法,然后打開TCP/IP連接及系統上面的其它服務。
對大組織的首席安全官(CSO)來說,運行蜜網最充分的理由之一就是可以發現內部不懷好意的人。
蜜罐技術的法律問題
出乎意料的是,監控蜜罐也要承擔相應的法律后果,譬如說,有可能違反《反竊聽法》。雖然目前沒有判例法,但熟悉這方面法律的人士大多數認為,雙方同意的標語是出路所在。也就是說,給每個蜜罐打上這樣的標語:“使用該系統的任何人同意自己的行為受到監控,并透露給其他人,包括執法人員。”
蜜罐技術的介紹就到此為止了,希望大家已經掌握。
【編輯推薦】
