第一种情况的陷阱设置

一般情况下，只要用户输入的用户名和口令正确，就能顺利进入系统。如果我们在进入系统时设置了陷阱，并使黑客对此防不胜防，就会大大提高入侵的难度系数。例如，当黑客已获取正确的root口令，并以root身份登录时，我们在此设置一个迷魂阵，提示它，你输入的口令错误，并让它重输用户名和口令。而其实，这些提示都是虚假的，只要在某处输入一个密码就可通过。黑客因此就掉入这个陷阱，不断地输入root用户名和口令，却不断地得到口令错误的提示，从而使它怀疑所获口令的正确性，放弃入侵的企图。

给超级用户也就是root用户设置陷阱，并不会给系统带来太多的麻烦，因为，拥有root口令的人数不会太多，为了系统的安全，稍微增加一点复杂性也是值得的。这种陷阱的设置时很方便的，我们只要在root用户的.profile中加一段程序就可以了。我们完全可以在这段程序中触发其他入侵检测与预警控制程序。陷阱程序如下：

# root .profile

Clear

Echo “You had input an error password , please input again !”

Echo

Echo –n “Login:”

Read p

If ( “$p” = “123456”) then

Clear

Else

Exit

第二种情况的陷阱设置

在很多情况下，黑客会通过su命令转换成root身份，因此，必须在此设置陷阱。当黑客使用su命令，并输入正确的root口令时，也应该报错，以此来迷惑它，使它误认为口令错误，从而放弃入侵企图。这种陷阱的设置也很简单，你可以在系统的/etc/profile文件中设置一个alias，把su命令重新定义成转到普通用户的情况就可以了，例如alias su=”su user1”。这样，当使用su时，系统判断的是user1的口令，而不是root的口令，当然不能匹配。即使输入su root也是错误的，也就是说，从此屏蔽了转向root用户的可能性。

第三种情况的陷阱设置

如果前两种设置都失效了，黑客已经成功登录，就必须启用登录成功的陷阱。一旦root用户登录，就可以启动一个计时器，正常的root登录就能停止计时，而非法入侵者因不知道何处有计时器，就无法停止计时，等到一个规定的时间到，就意味着有黑客入侵，需要触发必要的控制程序，如关机处理等，以免造成损害，等待系统管理员进行善后处理。陷阱程序如下：

# .testfile

times=0

while [ $times –le 30 ] do

sleep 1

times=$[times + 1]

done

halt /* 30秒时间到，触发入侵检测与预警控制 */

# root . bashrc

….

Sh .testfile&

该程序不能用Ctrl-C终止，系统管理员可用jobs命令检查到，然后用kill %n将它停止。

从上述三种陷阱的设置，我们可以看到一个一般的规律：改变正常的运行状态，设置虚假信息，使入侵者落入陷阱，从而触发入侵检测与预警控制程序。

8.关键技术设计

自蜜罐概念诞生之日起，相关技术一直在长足的发展。到今天为止，蜜罐技术应用的最高度应该说是Honeynet技术的实现。

9.总结

任何事物的存在都会有利弊，蜜罐技术的发展也是伴随着各种不同的观点而不断的成长的。蜜罐技术是通过诱导让黑客们误入歧途，消耗他们的精力，为我们加强防范赢得时间。通过蜜网让我们在受攻击的同时知道谁在使坏，目标是什么。同时也检验我们的安全策略是否正确，防线是否牢固，蜜罐的引入使我们与黑客之间同处于相互斗智的平台counter-intelligence,而不是处处遭到黑枪的被动地位。我们的网络并不安全，IDS，FIREWALL，Encryption技术都有其缺陷性，我们期待它们与蜜罐的完美结合，那将是对网络安全的最好礼物。我们完全相信，蜜罐技术必将在网络安全中发挥出极其重要的作用，一场世界上声势浩大的蜜罐技术行动必将到来。

上一页  [1] [2] [3]