⑶如果组织内的系统已经被入侵的话，那些发生事故的系统不能进行脱机工作，这样的话，将导致系统所提供的所有产品服务都将被停止，同时，系统管理员也不能进行合适的鉴定和分析，而蜜罐可以对入侵进行响应，它提供了一个具有低数据污染的系统和牺牲系统可以随时进行脱机工作。此时，系统管理员将可以对脱机的系统进行分析，并且把分析的结果和经验运用于以后的系统中。

② 研究型蜜罐专门以研究和获取攻击信息为目的而设计。这类蜜罐并没有增强特定组织的安全性，恰恰相反，蜜罐要做的是让研究组织面队各类网络威胁，并寻找能够对付这些威胁更好的方式，它们所要进行的工作就是收集恶意攻击者的信息。它一般运用于军队，安全研究组织。

★ 根据蜜罐与攻击者之间进行的交互，可以分为3类：低交互蜜罐，中交互蜜罐和高交互蜜罐，同时这也体现了蜜罐发展的3个过程。

① 低交互蜜罐最大的特点是模拟。蜜罐为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统，而是对各种系统及其提供的服务的模拟。由于它的服务都是模拟的行为，所以蜜罐可以获得的信息非常有限，只能对攻击者进行简单的应答，它是最安全的蜜罐类型。

② 中交互是对真正的操作系统的各种行为的模拟，它提供了更多的交互信息，同时也可以从攻击者的行为中获得更多的信息。在这个模拟行为的系统中，蜜罐可以看起来和一个真正的操作系统没有区别。它们是真正系统还要诱人的攻击目标。

③高交互蜜罐具有一个真实的操作系统，它的优点体现在对攻击者提供真实的系统，当攻击者获得ROOT权限后，受系统，数据真实性的迷惑，他的更多活动和行为将被记录下来。缺点是被入侵的可能性很高，如果整个高蜜罐被入侵，那么它就会成为攻击者下一步攻击的跳板。目前在国内外的主要蜜罐产品有DTK，空系统，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREA TARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四种。

5.蜜罐的配置模式

① 诱骗服务（deception service）

诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络请求进行应答的应用程序。DTK就是这样的一个服务性产品。DTK吸引攻击者的诡计就是可执行性，但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统进行的，所以可以产生的应答非常有限。在这个过程中对所有的行为进行记录，同时提供较为合理的应答，并给闯入系统的攻击者带来系统并不安全的错觉。例如，当我们将诱骗服务配置为FTP服务的模式。当攻击者连接到TCP/21端口的时候，就会收到一个由蜜罐发出的FTP的标识。如果攻击者认为诱骗服务就是他要攻击的FTP，他就会采用攻击FTP服务的方式进入系统。这样，系统管理员便可以记录攻击的细节。

② 弱化系统（weakened system）

只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。这样的特点是攻击者更加容易进入系统，系统可以收集有效的攻击数据。因为黑客可能会设陷阱，以获取计算机的日志和审查功能，需要运行其他额外记录系统，实现对日志记录的异地存储和备份。它的缺点是“高维护低收益”。因为，获取已知的攻击行为是毫无意义的。

③ 强化系统（hardened system）

强化系统同弱化系统一样，提供一个真实的环境。不过此时的系统已经武装成看似足够安全的。当攻击者闯入时，蜜罐就开始收集信息，它能在最短的时间内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。如果攻击者具有更高的技术，那么，他很可能取代管理员对系统的控制，从而对其它系统进行攻击。

④用户模式服务器（user mode server）

用户模式服务器实际上是一个用户进程，它运行在主机上，并且模拟成一个真实的服务器。在真实主机中，每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定是实例。而用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中，当INTERNET用户向用户模式服务器的IP地址发送请求，主机将接受请求并且转发到用户模式服务器上。（我们用这样一个图形来表示一下他们之间的关系）：这种模式的成功与否取决于攻击者的进入程度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被攻陷，由于用户模式服务器是一个用户进程，那么Administrator只要关闭该进程就可以了。另外就是可以将FIREWALL,IDS集中于同一台服务器上。当然，其局限性是不适用于所有的操作系统。

6.蜜罐的信息收集

当我们察觉到攻击者已经进入蜜罐的时候，接下来的任务就是数据的收集了。数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包，就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很容易被攻击者删除，所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。（务必同时监控日志服务器。如果攻击者用新手法闯入了服务器，那么蜜罐无疑会证明其价值。）

近年来，由于黑帽子群体越来越多地使用加密技术，数据收集任务的难度大大增强。如今，他们接受了众多计算机安全专业人士的建议，改而采用SSH等密码协议，确保网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修改目标计算机的操作系统，以便所有敲入的字符、传输的文件及其它信息都记录到另一个监控系统的日志里面。因为攻击者可能会发现这类日志，蜜网计划采用了一种隐蔽技术。譬如说，把敲入字符隐藏到NetBIOS广播数据包里面。

7.蜜罐的实际例子

下面我们以Redhat linux 9.0为平台，做一个简单的蜜罐陷阱的配置。

我们知道，黑客一旦获得root口令，就会以root身份登录，这一登录过程就是黑客入侵的必经之路。其二，黑客也可能先以普通用户身份登录，然后用su命令转换成root身份，这又是一条必经之路。

我们讨论如何在以下情况下设置陷阱：

(1)当黑客以root身份登录时；

(2)当黑客用su命令转换成root身份时；

(3)当黑客以root身份成功登录后一段时间内；

上一页  [1] [2] [3] 下一页