《蜜罐技术》PPT课件.ppt

第14章 蜜罐技术,网络攻防技术,本章主要内容,蜜罐技术提出与发展历程蜜罐技术概念及分类蜜罐技术原理蜜罐技术实例,网络攻防技术,互联网安全状况,安全基础薄弱 操作系统/软件存在大量漏洞安全意识弱、缺乏安全技术能力任何主机都是攻击目标！DDoS、跳板攻击需要大量僵尸主机蠕虫、病毒的泛滥并不再仅仅为了炫耀：Spamming,Phishing攻击者不需要太多技术 攻击工具的不断完善 Metasploit:40+Exploits攻击脚本和工具可以很容易得到和使用0-day exploits:packetstorm,网络攻防技术,网络攻防的非对称博弈,工作量不对称 攻击方：夜深人静,攻其弱点防守方：24*7,全面防护信息不对称 攻击方：通过网络扫描、探测、踩点对攻击目标全面了解防守方：对攻击方一无所知后果不对称 攻击方：任务失败，极少受到损失防守方：安全策略被破坏，利益受损攻击方掌握主动权,网络攻防技术,传统安全防护机制的不足,被动安全防护机制加密、VPN防火墙:配置问题、针对开放业务端口的攻击、内部攻击入侵检测系统IDS:已知攻击特征库、高误报率反病毒软件:病毒特征库在线升级，延迟“主动”安全防护机制漏洞扫描与补丁分发工具:扫描脚本、补丁延迟入侵防御系统IPS:已知攻击特征库、“傻瓜式”,网络攻防技术,蜜罐技术的提出,防御方尝试改变攻防博弈不对称性而提出的一种 主动防护技术 对攻击者的欺骗技术增加攻击代价、减少对实际系统的安全威胁了解攻击者所使用的攻击工具和攻击方法追踪攻击源、攻击行为审计取证蜜罐技术的提出 Honeypot:首次出现在Cliff Stoll的小说“The Cuckoos Egg”(1990)著名计算机安全专家Fred Cohen,网络攻防技术,蜜罐技术发展历程,蜜罐技术 1998年后，出现DTK、Honeyd等大量开源蜜罐工具同期出现一些商业产品，但并未得到市场普及蜜网技术 1999年由蜜网项目组(The Honeynet Project)提出并实现目前已发展到第三代蜜网技术蜜场技术 2003年由Lance Spitzner首次提出Honeypot farms思想目前仍未有实际的工具、产品和应用,网络攻防技术,蜜罐技术概念,定义：honeypot:“A security resource whos value lies in being probed,attacked or compromised”Lance Spitzner（The Honeynet Project 的创始人）蜜罐是一类安全资源，其价值就在于被探测、被攻击及被攻陷。,网络攻防技术,蜜罐技术分类,系统功能（产品型蜜罐、研究型蜜罐）交互程度（低交互蜜罐、高交互蜜罐）,网络攻防技术,产品型蜜罐,目标:有效防护业务网络间接性防护通过诱骗增大攻击者代价，混淆关键业务资源，了解并规避安全威胁直接性防护蜜场技术较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTrap 等一系列的商业产品。,网络攻防技术,研究型蜜罐,目标:研究对手，了解自身面临的安全威胁知己知彼、百战不殆蜜网技术(Know Your Enemy)(Enemy)目前更多意义上属于研究型蜜罐技术具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术,网络攻防技术,低交互式蜜罐技术,交互性：攻击者在蜜罐中活动的交互性级别低交互式蜜罐技术 具有与攻击源主动交互的能力模拟网络服务响应，模拟漏洞容易部署，容易控制攻击低交互式交互级别由于模拟能力而受限，数据获取能力和伪装性较弱，一般仅能捕获已知攻击例:Honeyd商业产品:KFSensorKFSensor,Specter,HoneyPointHoneyPoint,网络攻防技术,高交互式蜜罐技术,高交互式蜜罐技术 使用真实的操作系统、网络服务与攻击源进行交互高度的交互等级对未知漏洞、安全威胁具有天然的可适性，数据获取能力、伪装性均较强弱势资源需求较大，可扩展性较弱，部署安全风险较高虚拟机蜜罐 VS.物理蜜罐虚拟机(Virtual Machine)/仿真器(Emulator)技术节省硬件资源、容易部署和控制、容易恢复、安全风险降低高交互式蜜罐工具 Honeynet 蜜网项目组(The Honeynet Project),网络攻防技术,蜜罐技术优缺点,优点收集到的数据很大可能就是由于黑客攻击造成的，不依赖于任何复杂的检测技术等，因此减少了漏报率和误报率。能够收集到新的攻击工具和攻击方法。不需要强大的资源支持。缺点需要较多的时间和精力投入。只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限。不能直接防护有漏洞的信息系统。会带来一定的安全风险。,网络攻防技术,蜜罐技术原理,蜜罐技术原理“蜜罐公理”无任何业务用途没有任何的正常活动任何活动都是恶意的攻击诱骗、安全威胁预警绕过攻击检测问题区分正常业务和攻击行为 防火墙：定义安全策略保证正常业务入侵检测系统：根据已知攻击特征进行检测反病毒软件：根据已知病毒特征码,网络攻防技术,蜜罐技术如何实施诱骗？,欺骗环境(Pot)的构建:黑洞VS.模拟VS.真实零交互式蜜罐:黑洞，没有任何响应低交互式蜜罐虚拟蜜罐:模拟网络拓扑、协议栈、服务(Honeyd/Nepenthes)；模拟；OS(Sandbox)高交互式蜜罐物理蜜罐:完全真实的硬件、OS、应用、服务虚拟机蜜罐:模拟的硬件(VMWare)/真实的OS、应用、服务,网络攻防技术,蜜罐技术如何实施诱骗？,部署陷阱,诱骗攻击者(Honey)安全漏洞针对扫描式攻击散播陷阱信息引诱攻击者(Google Hacking Honeypot,HoneyEmail)重定向技术(Honey farm)主动出击:利用爬虫技术客户端蜜罐(HoneyClawer 恶意网站监测),网络攻防技术,蜜罐技术诱骗之后,欺骗环境的核心功能需求数据控制数据捕获数据分析欺骗环境的配置管理,网络攻防技术,蜜罐技术实例(Honeyd),Honeyd是一种针对UNIX系统设计、开源、低交互的Honeypot，用于对可疑活动的检测、捕获和预警。,网络攻防技术,Honeyd,支持同时模拟多个IP地址主机经过测试，最多同时支持65535个IP地址支持模拟任意的网络拓扑结构通过服务模拟脚本可以模拟任意TCP/UDP网络服务IIS,Telnet,pop3支持ICMP对ping和traceroutes做出响应通过代理机制支持对真实主机、网络服务的整合,网络攻防技术,Honeyd与其虚拟的系统之间的关系,网络攻防技术,Honeyd体系结构,网络攻防技术,Honeyd体系结构,路由模块中央数据包分发器将输入的数据包分发到相应的协议处理器协议处理器Service模拟脚本个性化引擎配置数据库存储网络协议栈的个性化特征,网络攻防技术,Honeyd功能,接收网络流量模拟蜜罐系统仅模拟网络协议栈层次，而不涉及操作系统各个层面可以模拟任意的网络拓扑Honeyd宿主主机的安全性限制只能在网络层面与蜜罐进行交互捕获网络连接和攻击企图日志功能,网络攻防技术,路由拓扑实现,Honeyd支持创建任意的网络拓扑结构对路由树的模拟配置一个路由进入点 可配置链路时延和丢包率 模拟任意的路由路径 扩展将物理主机融合入模拟的网络拓扑 通过 GREGRE隧道模式支持分布式部署,网络攻防技术,个性化引擎,不同的操作系统有不同的网络协议栈行为攻击者通常会运行指纹识别工具，如Xprobe和Nmap获得目标系统的进一步信息个性化引擎使得虚拟蜜罐看起来像真实的目标,为什么需要个性化引擎？,网络攻防技术,个性化引擎,每个由 Honeyd产生的包都通过个性化引擎引入操作系统特定的指纹，让Nmap/Xprobe进行识别使用Nmap指纹库作为TCP/UDP连接的参考使用Xprobe指纹库作为ICMP包的参考,网络攻防技术,日志功能,Honeyd的日志功能Honeyd对任何协议创建网络连接日志，报告试图发起的、或完整的网络连接在网络协议模拟实现中可以进行相关信息收集,网络攻防技术,蜜罐网络Honeynet,蜜网技术实质上是一种研究型、高交互型的蜜罐技术一个体系框架包括一个或多个蜜罐多层次的数据控制机制高度可控全面的数据捕获机制辅助研究人员对攻击数据进行深入分析,网络攻防技术,虚拟蜜网,在一台机器上部署蜜网的解决方案VMware&User Mode Linux优势减少部署成本更容易管理劣势虚拟机的指纹虚拟硬件的配置信息,网络攻防技术,蜜网项目组,非赢利性研究机构目标To learn the tools,tactics,and motives of the blackhat community and share these lessons learned历史1999 非正式的邮件列表June 2000 演变为蜜网项目组Jan.2002 发起蜜网研究联盟Dec.2002 10个活跃的联盟成员创始人及主席Lance Spitzner(Sun Microsystems),网络攻防技术,蜜网技术的发展历程,I:1999-2001Gen I 蜜网技术:概念验证II:2001-2003Gen II 蜜网技术:初步成熟的蜜网技术方案III:2003-2004HoneyWall Eeyore:可引导的CDROM，集成数据控制和数据捕获工具 IV:2004-2005对分布式的蜜网捕获的数据进行收集和关联的集中式系统kangaV:2005-Gen 3 蜜网技术 数据捕获机制的改进argus、Data Analysis Framework WalleyeNew HoneyWall CDROM RooEd Balas,Indiana University,网络攻防技术,蜜网的体系结构,网络攻防技术,蜜网技术核心需求,数据控制机制防止蜜网被黑客/恶意软件利用攻击第三方数据捕获机制获取黑客攻击/恶意软件活动的行为数据网络行为数据网络连接、网络流系统行为数据进程、命令、打开文件、发起连接数据分析机制理解捕获的黑客攻击/恶意软件活动的行为,网络攻防技术,Gen I 蜜网,第一代蜜网技术是一个简单地使用防火墙、入侵检测系统和日志/报警服务器构建的受控环境，使用路由器转发会消耗数据包的TTL 值（路由跳数），因此对攻击者来是可见的，容易被攻击者所察觉。,网络攻防技术,Gen I 蜜网体系结构,网络攻防技术,Gen II蜜网,Gen II蜜网体系结构中最关键的部件是称为HoneyWall 的蜜网网关，包括三个网络接口，eth0 接入外网，eth1 连接蜜网，而eth2 作为一个秘密通道，连接到一个监控网络。,网络攻防技术,Gen II蜜网体系结构,网络攻防技术,Gen III 蜜网,加强了辅助分析功能，协助安全研究人员更好地对所捕获的攻击数据进行深入分析并尽量减少工作量。发布了一个基于Web 界面的非常友好的数据辅助分析工具Walleye，这使得蜜网技术更加完整。,网络攻防技术,Gen III 蜜网,