給黑客設一個“死亡陷阱”
來源:彗聰網 更新時間:2007-04-20
  一個成功的防護措施,可以拖延攻擊者,同時能給防御者提供足夠的信息來了解黑客,將攻擊造成的損失降至最低。網絡安全防御者通過提供虛假信息,迫使攻擊者浪費時間做無益的進攻,以減弱后續的入侵力量;同時,還可獲得攻擊者手法和動機等相關信息,這些信息日后可用來強化現有的安全措施,例如防火墻規則和配置等。網絡陷阱技術就是基于這一思路設計和開發的。

  設置陷阱

  網絡陷阱技術主要包括:偽裝技術(系統偽裝、服務偽裝等)、誘騙技術、引入技術、信息控制技術(防止攻擊者通過陷阱實現跳轉攻擊)、數據捕獲技術(用于獲取并記錄相關攻擊信息)及數據統計和分析技術等。

  網絡陷阱和誘騙系統是一個主動防御體系。它是由放置在網絡中的若干陷阱機、主動引入模塊(完成與防火墻、入侵檢測系統的聯動功能)以及一個遠程管理控制臺組成。這些分布在網絡中的陷阱機與防火墻、IDS等安全產品聯動,可以形成一個聯合的安全防御體系,實現提高網絡安全性的目的,如附圖所示。其中,每個陷阱機就是一臺欺騙主機,它能夠對受保護機進行模擬,包括操作系統類型、系統和應用服務等。另外它還具有強大的日志記錄功能,能夠對入侵過程進行詳細的記錄和監視,在必要的情況下,對入侵者進行跟蹤。

  管理控制臺是一臺遠程主機,可以對網絡中所有的陷阱機進行遠程控制和監視,能夠接收從陷阱機發送過來的入侵日志并根據入侵的不同程度提出警報。同時具有強大的分析功能,根據接收到的入侵日志對黑客的行為、特點等進行詳細分析。同時,由于黑客進入的是陷阱機,不會對網絡造成威脅。

  在陷阱網絡誘騙機制和主動引入的作用下,黑客的入侵行為被引入到一個安全、可控的模擬環境,消耗黑客的時間,了解其使用的技術和攻擊方法,記錄黑客來源和犯罪證據,從而有效地防范黑客入侵,打擊計算機犯罪。

  網絡陷阱與誘騙系統適用于各種規格的局域網,在網絡防火墻、入侵檢測系統等其他安全措施的配合下,能彌補原有安全防御的不足,大大地提升網絡安全防護性能。

 一個成熟的網絡陷阱一般要求能滿足以下功能:

  能檢測攻擊類型:ICMP(控制報文協議)、CGI(通用網關接口)、FTP、Telnet、端口掃描、用戶賬號、服務掃描、操作系統掃描、清除日志等;

  具備IP空間欺騙技術:能夠實現IP空間欺騙;

  包含網絡流量仿真軟件:能夠模擬正常服務的網絡流量;

  自動阻斷功能:外出連接數目達到設定閥值后,連接控制能夠自動阻斷連接;

  路由控制功能:路由控制能夠阻止黑客利用陷阱系統向其他系統發送偽造的IP地址包;

  數據捕獲功能:數據捕獲能夠記錄進入和流出陷阱系統的連接并顯示攻擊者在陷阱主機中的操作;

  日志記錄功能:能夠對入侵者在陷阱主機中的操作信息進行遠程日志記錄。

  國內外發展狀況

  國外,有許多安全欺騙系統被用來研究黑客技術和統計黑客行為規律,被稱為“密罐”。比較有名的如“Honey Net”,它屬于一種研究類型的“安全陷阱”。

  在商業產品領域的安全欺騙系統不多,但是近兩年有逐漸增多的趨勢,其產品功能也向完善化發展。如Recourse公司的“Man Trap”,它的使用對象是一般的商業公司、企業,并具備了當前網絡安全欺騙系統的一切性能。配合它的另一個產品是“Man Hunt”,增加了對入侵者進行跟蹤的功能。另外,在國外市場中其他商業產品還有Homemade Honypot、Specter等,但其版本還在發展。

  下面列舉一些目前國外流行的陷阱網絡產品:

  Spector是由NetSec公司開發的一種比較簡單的業務類型陷阱,它簡單、代價小、易于維護,運行于Windows平臺。Spector提供了7個完整的模擬服務,6個預設陷阱和1個可定制陷阱,可以檢測來自13個預定義端口和1個自定義端口的攻擊,具有自動捕獲攻擊者活動的能力,所有連接的IP地址、時間、服務類型和引擎的狀態等信息都記錄在遠程主機上。

  Man Trap(捕人陷阱)是由Recource公司開發的一個比較高級的業務型密罐,運行于Solaris操作系統上。它不是簡單地模擬一些服務,而是在Man Trap主機上提供了4個邏輯上的操作系統環境。每一個這樣的環境都如同一個獨立運行的操作系統,這些邏輯上的操作系統環境被稱為“牢籠”。每個“牢籠”在功能上可以是獨立的,也可以相互關聯。

  Honeyd是由Niels Provos創建的一種功能強大的具有開放源代碼的陷阱,運行在Unix系統上,可以同時模仿上千種不同的計算機,同時呈現上千個不同的IP地址。Honeyd主要用于攻擊檢測,它對那些沒有使用的IP地址進行監控。

  Honeynet是高交互研究型密罐,它給予黑客完整真實的操作系統和應用服務交互。

  國內,目前中科院高能物理所、浙江大學、安徽大學等科研機構和大學對網絡陷阱與誘騙系統進行了研究,獲得了一定的成果。但是目前國內還沒有具有網絡陷阱與誘騙功能的商業產品,一些網絡主動防御功能也在預研階段。

  關鍵技術和難點

  網絡陷阱和誘騙系統存在如下幾個方面的關鍵技術和難點:

  仿真技術:正常服務器中發現攻擊后,如何將整個環境在陷阱機中進行重建,而不會產生失真和大的時間延遲是個難點。

  陷阱系統的監控能力:系統級監控必須支持實時監控和反應能力。

  自有日志的可靠性:由于事件日志能作為證據,因此日志的保密性、真實性和完整性及可靠性的保障特別重要。

  信息捕獲手段的研究和更新:入侵者們不斷地開發出各種工具來對抗現有的監測技術,如:Dug Song開發的Fragrouter (將包分片重組)、RainForest Puppy開發的Whisker(掃描工具通過對數據的分片重組繞開IDS)、K2發表的ADMmutate(可繞過現有大多數IDS的檢測)、AntiIDS及加密等,這些手段對信息捕獲會有很大影響。

  與防火墻/IDS間互動功能的實現:只有防火墻、IDS、陷阱網絡之間能夠有機地結合并形成一個聯動整體,才能更有效地發揮防護功能。

  風險是永遠存在的,只要經常性地檢查或者改進設定的陷阱網絡環境,確保它的有效性,再結合多種被動防御系統,相信一個安全的健壯的網絡系統將會離我們不遠。

 


铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios