很多人也許對(duì)專業(yè)名詞“蜜獾(honeypot)”和“蜜網(wǎng)(honeynets)”較為了解����。盡管從嚴(yán)苛實(shí)際意義上講,有些人也許覺得他們是安全性研究人員的專用工具����,倘若應(yīng)用恰當(dāng)����,他們還可以使公司獲益。在這篇文章中����,人們所采用的“蜜獾”和“蜜網(wǎng)”表示的是同一個(gè)含意,蜜獾一般嘗試仿真模擬一個(gè)更高更多元化的互聯(lián)網(wǎng)����,為網(wǎng)絡(luò)黑客給予一個(gè)更為可靠的進(jìn)攻自然環(huán)境。
蜜獾是一個(gè)獨(dú)立的系統(tǒng)軟件結(jié)合����,其主要目的是:運(yùn)用真正或模仿的缺陷或運(yùn)用系統(tǒng)設(shè)置里的缺點(diǎn)(如一個(gè)非常容易被猜到的登陸密碼)����,誘惑網(wǎng)絡(luò)攻擊發(fā)起攻擊����。蜜獾吸引住網(wǎng)絡(luò)攻擊,并能紀(jì)錄網(wǎng)絡(luò)攻擊的主題活動(dòng)����,進(jìn)而能夠更好地了解網(wǎng)絡(luò)攻擊的進(jìn)攻。蜜獾一般分成二種種類:高互動(dòng)蜜獾和低互動(dòng)蜜獾����。
種類和最合適的
高互動(dòng)蜜獾是一部配有真真正正電腦操作系統(tǒng)(非仿真模擬),并可徹底被攻陷的系統(tǒng)軟件����。與網(wǎng)絡(luò)攻擊開展互動(dòng)是指一部包括了詳細(xì)服務(wù)項(xiàng)目棧(servicestack)的實(shí)際系統(tǒng)軟件。該體系的設(shè)計(jì)目的是捕捉網(wǎng)絡(luò)攻擊在系統(tǒng)軟件中詳細(xì)的活動(dòng)信息����。而低互動(dòng)蜜獾僅僅模擬出了真真正正電腦操作系統(tǒng)的一部分(如,互聯(lián)網(wǎng)局部變量����、全過程和服務(wù)項(xiàng)目)����,比如仿真模擬某一版本號(hào)的FTP(文件傳輸協(xié)議)服務(wù)項(xiàng)目����,在其中的源代碼存有系統(tǒng)漏洞。這可能吸引住蜘蛛查找服務(wù)敏感部位的系統(tǒng)漏洞����,從而能夠深層次觀查到蜘蛛的個(gè)人行為。
但是����,在你應(yīng)用這幾種蜜獾時(shí)����,要進(jìn)行一些最合適的。用以網(wǎng)絡(luò)安全的高互動(dòng)蜜獾帶來了真正電腦操作系統(tǒng)的業(yè)務(wù)和應(yīng)用軟件����,使之能夠獲取有關(guān)網(wǎng)絡(luò)攻擊更靠譜的信息內(nèi)容,這也是它優(yōu)點(diǎn)����。它還能夠捕捉網(wǎng)絡(luò)攻擊在被攻克系統(tǒng)軟件里的很多信息內(nèi)容����。這一點(diǎn)可能十分有協(xié)助����,例如,在機(jī)構(gòu)要想搜集有關(guān)網(wǎng)絡(luò)攻擊是如何找到攻克特殊種類系統(tǒng)軟件的詳盡真正數(shù)據(jù)信息����,便于提升適度的防守的情況下。另一方面����,這種蜜獾系統(tǒng)部署和保護(hù)下去十分困難����,并且必須擔(dān)負(fù)很強(qiáng)的不良反應(yīng)風(fēng)險(xiǎn)性:比如����,被攻陷的系統(tǒng)軟件很有可能會(huì)被用于進(jìn)攻互聯(lián)網(wǎng)上別的的系統(tǒng)軟件����。
盡管低互動(dòng)蜜獾非常容易創(chuàng)建和保護(hù),且一般對(duì)網(wǎng)絡(luò)攻擊產(chǎn)生了免疫力,但仿真模擬很有可能不能吸引住網(wǎng)絡(luò)攻擊����,還可能造成網(wǎng)絡(luò)攻擊繞開系統(tǒng)軟件發(fā)起攻擊����,進(jìn)而使蜜獾在這樣的情況下無效����。究竟布署哪一種蜜獾取決于你最后的發(fā)展目標(biāo):假如目標(biāo)是捕捉網(wǎng)絡(luò)攻擊與系統(tǒng)軟件的詳盡互動(dòng)狀況,那么高互動(dòng)蜜獾是一個(gè)更好的選擇����;假如目標(biāo)是捕捉對(duì)于某一有系統(tǒng)漏洞的業(yè)務(wù)版本號(hào)的惡意程序樣版����,應(yīng)用低互動(dòng)蜜獾就足夠了。
在你決定應(yīng)用哪一種蜜獾布署時(shí),另一個(gè)必須考慮到的關(guān)鍵因素是:蜜獾是組裝在物理學(xué)系統(tǒng)軟件上����,或是組裝在物理學(xué)系統(tǒng)軟件的多臺(tái)vm虛擬機(jī)上。這將直接關(guān)系到服務(wù)器維護(hù)的任務(wù)量����。盡管虛擬系統(tǒng)本身確實(shí)有一系列安全隱患,但虛擬系統(tǒng)容許快速回復(fù)����,并能明顯減少布署和重新配置的時(shí)長(zhǎng)����。
蜜獾布署
不論是高互動(dòng)蜜獾或是低互動(dòng)蜜獾,都被設(shè)計(jì)方案成在互聯(lián)網(wǎng)上不開展傳統(tǒng)式目地主題活動(dòng)。也就是說����,除電腦操作系統(tǒng)規(guī)定的之外����,蜜獾系統(tǒng)軟件不運(yùn)作別的的過程、服務(wù)項(xiàng)目和后臺(tái)運(yùn)行����。這類觀念事實(shí)上把任何與蜜獾相關(guān)的配對(duì)t檢驗(yàn)都作為具備故意主題活動(dòng)行為的目標(biāo),這樣一來反倒有益于檢驗(yàn)進(jìn)攻主題活動(dòng)����。在討論蜜獾布署的最好作法以前����,先讓大家來了解一下常見的高互動(dòng)和低交互蜜獾����。
一般來說����,高互動(dòng)蜜獾不用專用軟件就還可以開展最底層電腦操作系統(tǒng)的組裝。一般來說,安裝一個(gè)VMware工作站或是用一個(gè)相近QEMU(仿真模擬Cpu)的vm虛擬機(jī),就可以達(dá)到蜜獾對(duì)電腦操作系統(tǒng)的需要了(典型性狀況是,服務(wù)器里的顧客電腦操作系統(tǒng)運(yùn)作虛擬軟件)����。最底層操作系統(tǒng)安裝之后,下一步的重中之重便是開展設(shè)定,以對(duì)蜜獾(顧客電腦操作系統(tǒng))開展有效的檢測(cè)。這一設(shè)定要分成兩部分:檢測(cè)服務(wù)器電腦操作系統(tǒng)和檢測(cè)顧客電腦操作系統(tǒng)。服務(wù)器電腦操作系統(tǒng)應(yīng)當(dāng)主要對(duì)出入蜜獾的數(shù)據(jù)流量開展抓包軟件,這一全過程能夠運(yùn)用像tcpdump或Wireshark之類的程序流程來進(jìn)行����。與此同時(shí),假如顧客電腦操作系統(tǒng)被感柒,故意帶外連接會(huì)產(chǎn)生潛在性的額外傷害����,對(duì)這一狀況客戶期待提早被警示����,也被稱為壓擠檢驗(yàn)(extrusiondetection)。這一點(diǎn)能夠運(yùn)用相近iptables(或是根據(jù)服務(wù)器的服務(wù)器防火墻)的當(dāng)?shù)卦L問控制列表來進(jìn)行。實(shí)行帶內(nèi)過慮實(shí)質(zhì)上應(yīng)該是蜜獾受到進(jìn)攻的類別執(zhí)行一部分操縱����?���?蛻艨梢园逊?wù)器電腦操作系統(tǒng)總流量過慮和入侵檢測(cè)技術(shù)(比如Snort)結(jié)合在一起,進(jìn)而得到對(duì)于已經(jīng)知道進(jìn)攻媒體的額外警報(bào)工作能力(其實(shí)就是根據(jù)簽字的警報(bào))����。
對(duì)顧客電腦操作系統(tǒng)����,或者進(jìn)攻的具體總體目標(biāo)開展檢測(cè)����,必須捕捉到網(wǎng)絡(luò)攻擊的全部活動(dòng)內(nèi)容,例如追蹤鍵盤記錄器主題活動(dòng)����、紀(jì)錄網(wǎng)絡(luò)攻擊常用的專用工具和記述管理權(quán)限擴(kuò)張?jiān)囍ebek便是一款可以實(shí)現(xiàn)以上規(guī)模性數(shù)據(jù)信息收集行動(dòng)的專用工具����。此外一些需要留意的虛擬化技術(shù)高互動(dòng)蜜獾也有用戶模式的Linux和Argos系統(tǒng)。
與高互動(dòng)蜜獾不一樣����,低互動(dòng)蜜獾必須在服務(wù)器電腦操作系統(tǒng)上組裝特殊的手機(jī)軟件,此外還需要進(jìn)一步配備����,為了合理地仿真模擬有瑕疵的服務(wù)項(xiàng)目。較受歡迎的低互動(dòng)蜜獾技術(shù)性有Nepenthes,及其后面商品Dionaea和mwcollectd����。
低互動(dòng)蜜獾創(chuàng)造性地配備了各種檢驗(yàn)作用,包含普遍紀(jì)錄作用����、惡意程序捕獲作用、即時(shí)安全事故通告����,及其遞交惡意程序主題活動(dòng)開展遠(yuǎn)程控制剖析。兩者的作用還能夠進(jìn)一步提高����,方法是什么應(yīng)用Nepenthes中的log-IRC額外控制模塊,根據(jù)Dionaea和p0f模塊一同應(yīng)用還能夠得到處于被動(dòng)鑒別遠(yuǎn)程控制電腦操作系統(tǒng)的工作能力����。Dionaea一樣適用XMPP(可擴(kuò)展信息當(dāng)場(chǎng)協(xié)議書)控制模塊,該組件能夠在公司中間和安全社區(qū)中完成惡意程序二進(jìn)制共享資源����,進(jìn)而提升消費(fèi)者的防范意識(shí)����。
接觸過一些與高互動(dòng)蜜獾檢測(cè)相關(guān)的布署最佳實(shí)踐����,這種實(shí)踐中實(shí)行了帶內(nèi)和帶外的過慮����,及其互聯(lián)網(wǎng)入侵防御系統(tǒng)。這種作用有待提高����,還要加強(qiáng)蜜獾和正常的互聯(lián)網(wǎng)中間的防護(hù)。理想化的狀況是����,蜜獾自然環(huán)境應(yīng)當(dāng)布署在自身專用型的移動(dòng)互聯(lián)網(wǎng)通道上,而設(shè)備的電腦操作系統(tǒng)管理方法則放到另一個(gè)單獨(dú)的網(wǎng)絡(luò)上����。另一方面,低互動(dòng)蜜獾沒法被網(wǎng)絡(luò)攻擊所有攻克����,為此他們的維護(hù)工作要簡(jiǎn)單一些。運(yùn)用chroot之類的系統(tǒng)����,可以把低互動(dòng)蜜獾系統(tǒng)軟件防護(hù)到一個(gè)較小一點(diǎn)系統(tǒng)文件中����。此外����,低互動(dòng)蜜獾系統(tǒng)軟件也需要與正常的互聯(lián)網(wǎng)完全防護(hù),不然低互動(dòng)蜜獾仍舊會(huì)曝露在與高互動(dòng)蜜獾同樣的威協(xié)下����。
典型性運(yùn)用
蜜獾的主要用途之一是搜集惡意程序樣版。這種樣版很有可能運(yùn)用零日系統(tǒng)漏洞(zero-dayvulnerabilities)����,或給定的進(jìn)攻空間向量。蜜獾能讓學(xué)者對(duì)以上進(jìn)攻有更快的掌握����。比如,根據(jù)檢測(cè)IRC操縱安全通道����,蜜獾就能夠保證即時(shí)進(jìn)攻總流量。他們還具有處于被動(dòng)鑒別網(wǎng)絡(luò)攻擊電腦操作系統(tǒng)種類����,或儲(chǔ)存/重蹈覆轍進(jìn)攻主題活動(dòng)的工作能力。此外����,他們?nèi)菰S學(xué)者共享資源威協(xié)信息內(nèi)容(比如XMPP),或是把樣版遞交給線上沙盒游戲和多防病毒軟件漏洞掃描工具(如VirusTotal����、Jotti、ThreatExpert和CWSandbox)實(shí)現(xiàn)進(jìn)一步剖析����。
蜜獾搜集惡意程序主題活動(dòng)的行業(yè)能夠拓展到喪尸系統(tǒng)軟件(bot)和拒絕服務(wù)攻擊(botnet)。拒絕服務(wù)攻擊有著分布式系統(tǒng)的特性����,取決于遠(yuǎn)程連接命令安全通道的應(yīng)用(一般是根據(jù)IRC和HTTP),運(yùn)用的往往是零日進(jìn)攻或已經(jīng)知道進(jìn)攻空間向量����,這類系統(tǒng)架構(gòu)促使蜜獾能夠有效的對(duì)它進(jìn)行追蹤和剖析。
對(duì)公司來講����,蜜獾的應(yīng)用性遠(yuǎn)高于上述所說情況����。但是����,蜜獾的實(shí)效性非常大水平上在于能不能有一個(gè)好設(shè)計(jì)。一切設(shè)計(jì)缺陷(例如����,不充分的防護(hù)、欠缺檢測(cè)和即時(shí)警報(bào)工作能力)都可能把蜜獾變成明顯的負(fù)債率����,而非能夠?qū)︼L(fēng)險(xiǎn)做好監(jiān)管的資本。應(yīng)用蜜獾時(shí)����,適度的謹(jǐn)慎和慎重很必需。假如你并沒有充裕的經(jīng)歷卻期待應(yīng)用蜜獾����,那你就必須常常向練習(xí)過的專業(yè)人員資詢。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁
0371-89913000
