您的位置:主页 > 产品展示 > 分离蜜 >

虚拟蜜罐:从僵尸网络追踪极速快3到入侵检测

  正在咱们从高级技艺层面动手研究蜜罐技艺之前,这一大旨的布景学问对咱们是有助助的。为了引发咱们应用蜜罐技艺,最先看一下汇集入侵检测编制(,以及采用加密技艺来守卫汇集通讯,制止被窃听的合同越来越众,入侵检测编制能供给的有效讯息数目越来越少。入侵检测编制也受到高误报率的困扰,从而进一步低落了它们的效用。蜜罐技艺可能助助治理极少题目。

  蜜罐是一个被慎密监控的估计打算资源,生气被探测、攻击或者占据。更无误的描绘是,蜜罐是“一个讯息编制资源,其代价正在于未经授权或犯科应用该资源”(该界说来自蜜罐邮件列外SecurityFocus,)。一个蜜罐的代价能够由从它可得回的讯息来量度。通过监测进出蜜罐的数据来征求NIDS无法得回的讯息。比方,尽管应用了加密技艺守卫汇集流量,咱们仍旧可能记载一个交互式会话中的按键。为了检测恶意举动,入侵检测编制须要已知攻击特质,而日常检测不到未知的攻击。另一方面,蜜罐能够检测未知的攻击,比方,通过观望脱离蜜罐的汇集流量,咱们能够检测到破绽要挟,尽管是应用从未睹过的破绽操纵办法。

  由于蜜罐没有临蓐代价,任何邻接蜜罐的试验都被以为是可疑的。以是,说明蜜罐征求的数据所爆发的误报比从入侵检测编制征求到的数据导致的误报少。正在蜜罐的助助下,咱们所征求的大个人数据能够助助咱们分析攻击。

  蜜罐能够运转任何操作编制和大肆数目的效劳,摆设的效劳裁夺了对手可用的损害和探测编制的序言。高交互蜜罐供给了一个攻击者能够交互的的确编制,相反,低交互蜜罐只可模仿一个人性能,比方汇集仓库[67]。高交互蜜罐能够完整被占据,批准对手得回对编制的完整访谒,并奉行进一步的汇集攻击。与此相反,低交互蜜罐只是模仿极少效劳,对手不行操纵这些效劳得回对蜜罐的完整访谒。低交互蜜罐有更众的局部,极速快3但它们有助于正在更高层面上征求讯息,比方,分析汇集探测或蠕虫行动,它们也能够用于说明垃圾邮件,或主动防备蠕虫,参睹第10章何如应用分歧品种蜜罐的案例切磋综述。这两种办法的任一办法都不优于对方,它们有各自特有的优短处,将正在这本书中举办先容。

  密罐还分为物理蜜罐和虚拟蜜罐。一个物理蜜罐是汇集上一台具有己方IP地点的真正呆板,一个虚拟蜜罐由另一台呆板模仿,它反应发送给虚拟蜜罐的汇集流量。

  当征求相闭汇集攻击或探测的讯息时,蜜罐安插的数目会影响征求数据的数目和正确性。衡量基于HTTP的蠕虫[68]是一个很好的例子,当蠕虫落成TCP握手并发送有用载荷之后,咱们能够识别这些蠕虫。然而,因为它们随机采取IP地点举办邻接,于是绝民众半的邻接乞请不会被反应。通过把蜜罐摆设为一个Web效劳器,或模仿成一个有破绽的汇集效劳,蜜罐能够捕捉蠕虫的有用载荷。咱们安插的蜜罐越众,蠕虫邻接它们的也许性越大。

  通常来说,蜜罐有几种分歧的类型,除此除外,咱们能够羼杂并完婚出分歧的类型,将正在后续的章节中详明外明和研究。正在深远探究虚拟蜜罐这一范围之前,最先纵览一下分歧类型的蜜罐。

  一个高交互蜜罐是一个旧例的估计打算机编制,如商用现货(commercial off-the-shelf,COTS)估计打算机、道由器或相易机。该编制正在汇集中没有旧例职分,也没有固定的行动用户,以是,除了运转编制上的寻常保护过程或效劳,它不应当有任何不寻常的过程,也不爆发任何汇集流量。这些假设助助检测攻击:每个与高交互蜜罐的交互都是可疑的,能够指向一个也许的恶意举动。以是,全体相差蜜罐的汇集流量都被记载下来。其余,编制的行动也被记载下来备日后说明。

  也能够将几个蜜罐组合成为一个蜜罐汇集蜜网(honeynet)。日常,一个蜜网由众个分歧类型的蜜罐构成(分歧的平台和/或操作编制),这批准咱们同时征求分歧类型的攻击数据,日常咱们可能分析更周详的攻击讯息,并以是获得攻击者举动的定性结论。

  蜜网创修了一个玻璃鱼缸的境遇,批准攻击者与编制交互,同时给操作家捉拿攻击者全体行动的本领。这个鱼缸还担任了攻击者的举措,裁减了他们毁坏蜜罐编制的危险。安插蜜罐的一个闭头部件称为蜜墙(Honeywall)一个用于离散蜜网与汇集其他个人的二层桥接修立,这个修立通过数据担任和捉拿说明数据低落蜜网危险,蜜墙上的器械切磋到对攻击者行动的说明,任何相差蜜罐的流量务必通过蜜墙。捕捉讯息有分歧的办法,蕴涵被动汇集嗅探器、IDS警报、防火墙日记和被称为Sebek的内核模块,将正在2.5.1节中详明先容。攻击者的行动被担任正在汇集层,通过入侵防御编制和邻接局部器过滤全体出站邻接。

  高交互蜜罐的短处之一是较高的保卫量:你务必小心监测你的蜜罐,并亲近观望所爆发的工作,说明损害还须要极少年光,从咱们的体味来看,说明一个完好的事务也许花费数小时乃至数天,直到你完整解析攻击者念干什么!

  高交互蜜罐能够完整被占据,它们运转着带有全体破绽的的确的操作编制,没有应用仿真,攻击者能够与的确的编制和的确的效劳交互,批准咱们捕捉多量的要挟讯息。当攻击者得回非授权访谒时,咱们能够捉拿他们的破绽操纵,看管他们的按键,找到他们的器械,或者搞清他们的动机。高交互治理计划的短处是它们推广了危险:因为攻击者也许完整地访谒操作编制,他们就有也许用它来损害其他非蜜罐编制。挑拨之一便是将它们扩充到多量估计打算机范围时所带来的开销和种种题目。本书将正在第2章更详明地先容高交互蜜罐。

  与此相反,低交互蜜罐模仿效劳、汇集仓库或一台的确呆板的其他性能,它们批准攻击者与对象编制有限交互,批准咱们分析闭于攻击的重要的定量讯息,比方,一个模仿的HTTP效劳器,能够只反应对某个特定文献的乞请,只竣工全部HTTP典范的一个子集。交互的宗旨应当“恰好够用”愚弄攻击者或主动化器械如一个寻找特定文献而伤害效劳器的蠕虫。低交互蜜罐的便宜是简陋和易保卫,日常你能够只是摆设你的低交互蜜罐,让它为你征求数据,这些数据能够是正正在宣称的汇集蠕虫,或者是垃圾邮件发送者对怒放式汇集中继的扫描等讯息。其余,安设这类蜜罐日常很容易:你只须要安设和摆设一个器械就落成了。比拟之下,高交互蜜罐只但是是你需为你的境遇定制的通常办法。

  低交互蜜罐能够重要用于征求统计数据,征求闭于攻击形式的高级别讯息。进一步地,它们能够行动一种供给预警的入侵检测编制,也便是对新的攻击供给主动报警(睹第10章)。其余,它们还能够用于勾引攻击者远离临蓐呆板[19,67,87]。其它,低交互蜜罐还可用于检测蠕虫、作梗对手,或者分析正正在举办的汇集攻击。本书中将先容众种分歧类型的低交互蜜罐。低交互蜜罐也能够构成一个汇集,变成一个低交互蜜网。

  由于攻击者只与一个模仿编制交互,不会完整占据编制,低交互蜜罐构制了一个可控境遇,以是危险有限:攻击者不行完整占据编制,以是你不必顾忌他滥用你的低交互蜜罐。

  有很众分歧的低交互蜜罐可用,正在第3章中将先容几种治理计划,并注解何如应用它们。其余,后续章节核心闭怀整体的器械,并万分详明地先容它们。

  蜜罐的另一种也许的分类办法是能够分为物理蜜罐和虚拟蜜罐。物理蜜罐意味着蜜罐运转正在一个物理估计打算机上,物理日常暗指高交互,从而批准编制被完整占据。安设和保卫它们日常是价值高贵的。对待大的地点空间,为每个IP地点安插一个物理蜜罐是不凿凿质的,也是不也许的,这种情形下,咱们须要安插虚拟蜜罐。

  正在本书中咱们核心闭怀虚拟蜜罐。为什么这类蜜罐这样风趣呢?重要原由是其可怀抱性和易保卫性,正在一台呆板上能够少睹以千计的蜜罐,安插它们价值低,而且简直每个别都能够容易地应用它们。

  与物理蜜罐比拟,这种办法更轻省。咱们也能够正在一台物理估计打算机上安插众个虚拟机行动蜜罐,而不是将一个物理估计打算机编制摆设为一个蜜罐,这使得更容易保卫和较低的物理需求。日常应用VMware[103]或用户形式Linux(UML)[102]创办这种虚拟蜜罐,这两个器械批准咱们正在一台物理呆板上并发运转众个操作编制和使用步调,便于征求数据,咱们将正在第2章中详明先容这两个器械。其余,正在其他章节中咱们会先容其他类型的虚拟蜜罐,核心先容这些蜜罐的分歧点。因为本书的核心正在虚拟蜜罐,正在这里就不详明先容了。应当记住的重要一点是:一个虚拟蜜罐是由另一台呆板模仿的,反应发送给虚拟蜜罐的汇集流量。

  对待事务的任何蜜罐,外部Internet须要可能访谒它。咱们中很众人通过DSL或有线调制解调器邻接Internet,这些修立日常应用汇集地点转换(NAT),尽管调制解调器后面也许有一个完好的汇集,从Internet仍无法访谒你的内部汇集。以是,正在采用NAT的网上安插蜜罐,你不会获得有代价的数据。某些NAT修立批准你转折端口转发摆设,起码批准你一点点泄露于Internet。对待较厉刻的试验,你应当找一个供给及时非过滤IP邻接的ISP。

  蜜罐有极少危险,若是一个攻击者想法占据你的一个蜜罐,他也许试图攻击不正在你担任之下的其他编制。这些编制可位于Internet的任何地方,攻击者能够应用你的蜜罐行动跳板攻击敏锐编制,这意味着运转蜜罐时会涉及极少国法题目,但正在分歧邦度有分歧的国法,对国法情况很难给出一概看法。咱们将不研究运转一个蜜罐编制的国法题目,由于若是你生计正在美邦,你能够从《Know Your Enemy》()的Richard Salgado章节中得回相干国法讯息。正在民众半邦度这些国法是好似的,特殊是欧洲和美邦。你务必切磋清楚的题目是,你的ISP也许清楚地禁止正在你的IP地点上运转蜜罐,或者因为无法意料对手的环节,也许危及其他呆板的安详。若是你不确定你所做的,请筹议讼师。也能够联络本地的蜜罐机闭,他能够给你本王法律情况的概述。你能够正在蜜罐项方针网站()上获得寰宇各地的分歧蜜罐机闭纵览。

  Niels Provos,2003年从密歇根大学得回博士学位,正在那里他举办了估计打算机和汇集安详的试验和外面方面的切磋。他是OpenSSH的创修者之一,并因为他 正在OpenBSD方面的安详事务而出名。他开辟了Honeyd(一个时兴的怒放源码的蜜罐平台)、SpyBye(一个助助网站打点员检测网页上恶意软件的 客户端蜜罐),以及很众其他器械,如Systrace和Stegdetect。他是Honeynet项方针成员之一,正在开源项目上作出了踊跃奉献。 Provos目前正在谷歌公司掌管高级主监工程师。

  Thorsten Holz,德邦曼海姆大学牢靠分散式编制试验室的博士切磋生。他是德邦蜜网项方针创始人之一,是蜜网切磋同盟引导委员会成员。他的切磋乐趣蕴涵安详编制实 际题目,但他也对更众的牢靠编制外面题目感乐趣。目前,他的切磋事务集合正在僵尸步调/僵尸汇集、客户端蜜罐和恶意软件。他的博客网址

其他产品: 天然蜜分离蜜 单花蜜 1等蜜 返回头部