《蜜罐技术》PPT课件

《《蜜罐技术》PPT课件》由会员分享，可在线阅读，更多相关《《蜜罐技术》PPT课件（40页珍藏版）》请在装配图网上搜索。

1、第第14章章 蜜罐技术蜜罐技术网络攻防技术网络攻防技术本章主要内容本章主要内容网络攻防技术网络攻防技术互联网安全状况 l安全基础薄弱安全基础薄弱 l操作系统操作系统/软件存在大量漏洞软件存在大量漏洞l安全意识弱、缺乏安全技术能力安全意识弱、缺乏安全技术能力l任何主机都是攻击目标！任何主机都是攻击目标！lDDoS、跳板攻击需要大量僵尸主机、跳板攻击需要大量僵尸主机l蠕虫、病毒的泛滥蠕虫、病毒的泛滥l并不再仅仅为了炫耀：并不再仅仅为了炫耀：Spamming,Phishingl攻击者不需要太多技术攻击者不需要太多技术 l攻击工具的不断完善攻击工具的不断完善n Metasploit:40+Exploi

2、tsl攻击脚本和工具可以很容易得到和使用攻击脚本和工具可以很容易得到和使用n0-day exploits:packetstorm网络攻防技术网络攻防技术网络攻防的非对称博弈 l工作量不对称工作量不对称 l攻击方：夜深人静攻击方：夜深人静,攻其弱点攻其弱点l防守方：防守方：24*7,全面防护全面防护l信息不对称信息不对称 l攻击方：通过网络扫描、探测、踩点对攻击目标攻击方：通过网络扫描、探测、踩点对攻击目标全面了解全面了解l防守方：对攻击方一无所知防守方：对攻击方一无所知l后果不对称后果不对称 l攻击方：任务失败，极少受到损失攻击方：任务失败，极少受到损失l防守方：安全策略被破坏，利益受损防守方

3、：安全策略被破坏，利益受损l攻击方掌握主动权攻击方掌握主动权 网络攻防技术网络攻防技术传统安全防护机制的不足 l被动安全防护机制被动安全防护机制l加密、加密、VPNl防火墙防火墙:配置问题、针对开放业务端口的攻击、配置问题、针对开放业务端口的攻击、内部攻击内部攻击l入侵检测系统入侵检测系统IDS:已知攻击特征库、高误报率已知攻击特征库、高误报率l反病毒软件反病毒软件:病毒特征库在线升级，延迟病毒特征库在线升级，延迟l“主动主动”安全防护机制安全防护机制l漏洞扫描与补丁分发工具漏洞扫描与补丁分发工具:扫描脚本、补丁延迟扫描脚本、补丁延迟l入侵防御系统入侵防御系统IPS:已知攻击特征库、已知攻击特

4、征库、“傻瓜式傻瓜式”网络攻防技术网络攻防技术蜜罐技术的提出蜜罐技术的提出l防御方尝试改变攻防博弈不对称性而提出的一防御方尝试改变攻防博弈不对称性而提出的一种种 主动防护技术主动防护技术 l对攻击者的欺骗技术增加攻击代价、减少对实际对攻击者的欺骗技术增加攻击代价、减少对实际系统的安全威胁系统的安全威胁l了解攻击者所使用的攻击工具和攻击方法了解攻击者所使用的攻击工具和攻击方法l追踪攻击源、攻击行为审计取证追踪攻击源、攻击行为审计取证l蜜罐技术的提出蜜罐技术的提出 lHoneypot:首次出现在首次出现在Cliff Stoll的小说的小说“The Cuckoos Egg”(1990)l著名计算机安

5、全专家著名计算机安全专家Fred Cohen网络攻防技术网络攻防技术蜜罐技术发展历程蜜罐技术发展历程l蜜罐技术蜜罐技术 l1998年后，出现年后，出现DTK、Honeyd等大量开源蜜罐工等大量开源蜜罐工具具l同期出现一些商业产品，但并未得到市场普及同期出现一些商业产品，但并未得到市场普及l蜜网技术蜜网技术 l1999年由蜜网项目组年由蜜网项目组(The Honeynet Project)提出提出并实现并实现l目前已发展到第三代蜜网技术目前已发展到第三代蜜网技术l蜜场技术蜜场技术 l2003年由年由Lance Spitzner首次提出首次提出Honeypot farms思想思想l目前仍未有实际的

6、工具、产品和应用目前仍未有实际的工具、产品和应用网络攻防技术网络攻防技术蜜罐技术概念蜜罐技术概念l蜜罐是一类安全资源，其价值就在于被探蜜罐是一类安全资源，其价值就在于被探测、被攻击及被攻陷。测、被攻击及被攻陷。网络攻防技术网络攻防技术蜜罐技术分类蜜罐技术分类网络攻防技术网络攻防技术产品型蜜罐产品型蜜罐l目标目标:有效防护业务网络有效防护业务网络l间接性防护通过诱骗增大攻击者代价，混间接性防护通过诱骗增大攻击者代价，混淆关键业务资源，了解并规避安全威胁淆关键业务资源，了解并规避安全威胁l直接性防护蜜场技术直接性防护蜜场技术网络攻防技术网络攻防技术研究型蜜罐研究型蜜罐l目标目标:研究对手，了解自身

7、面临的安全威研究对手，了解自身面临的安全威胁胁l知己知彼、百战不殆知己知彼、百战不殆l蜜网技术蜜网技术(Know Your Enemy)(Enemy)目目前更多意义上属于研究型蜜罐技术前更多意义上属于研究型蜜罐技术网络攻防技术网络攻防技术低交互式蜜罐技术低交互式蜜罐技术l交互性：攻击者在蜜罐中活动的交互性级别交互性：攻击者在蜜罐中活动的交互性级别l低交互式蜜罐技术低交互式蜜罐技术 l具有与攻击源主动交互的能力具有与攻击源主动交互的能力l模拟网络服务响应，模拟漏洞模拟网络服务响应，模拟漏洞l容易部署，容易控制攻击容易部署，容易控制攻击l低交互式交互级别由于模拟能力而受限，数据获低交互式交互级别由

8、于模拟能力而受限，数据获取能力和伪装性较弱，一般仅能捕获已知攻击取能力和伪装性较弱，一般仅能捕获已知攻击l例例:Honeydl商业产品商业产品:KFSensorKFSensor,Specter,HoneyPointHoneyPoint网络攻防技术网络攻防技术高交互式蜜罐技术高交互式蜜罐技术l高交互式蜜罐技术高交互式蜜罐技术 l使用真实的操作系统、网络服务与攻击源进行交互使用真实的操作系统、网络服务与攻击源进行交互l高度的交互等级对未知漏洞、安全威胁具有天然高度的交互等级对未知漏洞、安全威胁具有天然的可适性，数据获取能力、伪装性均较强的可适性，数据获取能力、伪装性均较强l弱势资源需求较大，可扩展

9、性较弱，部署安全风弱势资源需求较大，可扩展性较弱，部署安全风险较高险较高l虚拟机蜜罐虚拟机蜜罐 VS.物理蜜罐物理蜜罐l虚拟机虚拟机(Virtual Machine)/仿真器仿真器(Emulator)技术技术l节省硬件资源、容易部署和控制、容易恢复、安全节省硬件资源、容易部署和控制、容易恢复、安全风险降低风险降低l高交互式蜜罐工具高交互式蜜罐工具 lHoneynet 蜜网项目组蜜网项目组(The Honeynet Project)网络攻防技术网络攻防技术蜜罐技术优缺点蜜罐技术优缺点网络攻防技术网络攻防技术蜜罐技术原理蜜罐技术原理l蜜罐技术原理蜜罐技术原理“蜜罐公理蜜罐公理”l无任何业务用途无任

10、何业务用途没有任何的正常活动没有任何的正常活动任何活动都是恶意的任何活动都是恶意的l攻击诱骗、安全威胁预警攻击诱骗、安全威胁预警l绕过攻击检测问题区分正常业务和攻击行绕过攻击检测问题区分正常业务和攻击行为为n 防火墙：定义安全策略保证正常业务防火墙：定义安全策略保证正常业务n入侵检测系统：根据已知攻击特征进行检测入侵检测系统：根据已知攻击特征进行检测n反病毒软件：根据已知病毒特征码反病毒软件：根据已知病毒特征码网络攻防技术网络攻防技术蜜罐技术如何实施诱骗？l欺骗环境欺骗环境(Pot)的构建的构建:黑洞黑洞VS.模拟模拟VS.真实真实l零交互式蜜罐零交互式蜜罐:黑洞，没有任何响应黑洞，没有任何响

11、应l低交互式蜜罐虚拟蜜罐低交互式蜜罐虚拟蜜罐:模拟网络拓扑、模拟网络拓扑、协议栈、服务协议栈、服务(Honeyd/Nepenthes)；模拟；模拟；OS(Sandbox)l高交互式蜜罐高交互式蜜罐n物理蜜罐物理蜜罐:完全真实的硬件、完全真实的硬件、OS、应用、服务、应用、服务n虚拟机蜜罐虚拟机蜜罐:模拟的硬件模拟的硬件(VMWare)/真实的真实的OS、应用、服务应用、服务网络攻防技术网络攻防技术蜜罐技术如何实施诱骗？l部署陷阱部署陷阱,诱骗攻击者诱骗攻击者(Honey)l安全漏洞针对扫描式攻击安全漏洞针对扫描式攻击l散播陷阱信息引诱攻击者散播陷阱信息引诱攻击者(Google Hacking

12、Honeypot,HoneyEmail)l重定向技术重定向技术(Honey farm)l主动出击主动出击:利用爬虫技术客户端蜜罐利用爬虫技术客户端蜜罐(HoneyClawer 恶意网站监测恶意网站监测)网络攻防技术网络攻防技术蜜罐技术诱骗之后 l欺骗环境的核心功能需求欺骗环境的核心功能需求l数据控制数据控制l数据捕获数据捕获l数据分析数据分析l欺骗环境的配置管理欺骗环境的配置管理网络攻防技术网络攻防技术蜜罐技术实例蜜罐技术实例(Honeyd)网络攻防技术网络攻防技术Honeydl支持同时模拟多个支持同时模拟多个IP地址主机地址主机l经过测试，最多同时支持经过测试，最多同时支持65535个个IP

13、地址地址l支持模拟任意的网络拓扑结构支持模拟任意的网络拓扑结构l通过服务模拟脚本可以模拟任意通过服务模拟脚本可以模拟任意TCP/UDP网络网络服务服务lIIS,Telnet,pop3l支持支持ICMPl对对ping和和traceroutes做出响应做出响应l通过代理机制支持对真实主机、网络服务的整通过代理机制支持对真实主机、网络服务的整合合网络攻防技术网络攻防技术Honeyd与其虚拟的系统之间的关系与其虚拟的系统之间的关系网络攻防技术网络攻防技术Honeyd体系结构配 置 数 据 库ICM P中 央 包 分 发 器个 性 引 擎TCPU D P服 务N etW ork路 由路 由查 询协 议

14、处 理 器网络攻防技术网络攻防技术Honeyd体系结构l路由模块l中央数据包分发器l将输入的数据包分发到相应的协议处理器l协议处理器lService模拟脚本l个性化引擎l配置数据库l存储网络协议栈的个性化特征网络攻防技术网络攻防技术Honeyd功能l接收网络流量接收网络流量l模拟蜜罐系统模拟蜜罐系统l仅模拟网络协议栈层次，而不涉及操作系统各个层仅模拟网络协议栈层次，而不涉及操作系统各个层面面l可以模拟任意的网络拓扑可以模拟任意的网络拓扑lHoneyd宿主主机的安全性宿主主机的安全性l限制只能在网络层面与蜜罐进行交互限制只能在网络层面与蜜罐进行交互l捕获网络连接和攻击企图捕获网络连接和攻击企图l

15、日志功能日志功能网络攻防技术网络攻防技术路由拓扑实现路由拓扑实现支持创建任意的网络拓扑结构支持创建任意的网络拓扑结构l对路由树的模拟对路由树的模拟u配置一个路由进入点配置一个路由进入点 u可配置链路时延和丢包率可配置链路时延和丢包率 u模拟任意的路由路径模拟任意的路由路径 l扩展扩展u将物理主机融合入模拟的网络拓扑将物理主机融合入模拟的网络拓扑 u通过通过 GREGRE隧道模式支持分布式部署隧道模式支持分布式部署网络攻防技术网络攻防技术个性化引擎个性化引擎l不同的操作系统有不同的网络协议栈行为不同的操作系统有不同的网络协议栈行为l攻击者通常会运行指纹识别工具，如攻击者通常会运行指纹识别工具，如

16、Xprobe和和Nmap获得目标系统的进一步信获得目标系统的进一步信息息l个性化引擎使得虚拟蜜罐看起来像真实的个性化引擎使得虚拟蜜罐看起来像真实的目标目标网络攻防技术网络攻防技术个性化引擎个性化引擎l每个由每个由 Honeyd产生的包都通过个性化引产生的包都通过个性化引擎擎l引入操作系统特定的指纹，让引入操作系统特定的指纹，让Nmap/Xprobe进行识别进行识别l使用使用Nmap指纹库作为指纹库作为TCP/UDP连接的参考连接的参考l使用使用Xprobe指纹库作为指纹库作为ICMP包的参考包的参考网络攻防技术网络攻防技术日志功能日志功能lHoneyd的日志功能lHoneyd对任何协议创建网络

17、连接日志，报告试图发起的、或完整的网络连接l在网络协议模拟实现中可以进行相关信息收集网络攻防技术网络攻防技术蜜罐网络蜜罐网络Honeynetl蜜网技术蜜网技术l实质上是一种研究型、高交互型的蜜罐技术实质上是一种研究型、高交互型的蜜罐技术l一个体系框架一个体系框架l包括一个或多个蜜罐包括一个或多个蜜罐l多层次的数据控制机制高度可控多层次的数据控制机制高度可控l全面的数据捕获机制全面的数据捕获机制l辅助研究人员对攻击数据进行深入分析辅助研究人员对攻击数据进行深入分析网络攻防技术网络攻防技术虚拟蜜网l在一台机器上部署蜜网的解决方案在一台机器上部署蜜网的解决方案lVMware&User Mode Li

18、nuxl优势优势l减少部署成本减少部署成本l更容易管理更容易管理l劣势劣势l虚拟机的指纹虚拟硬件的配置信息虚拟机的指纹虚拟硬件的配置信息网络攻防技术网络攻防技术蜜网项目组l非赢利性研究机构非赢利性研究机构l目标目标lTo learn the tools,tactics,and motives of the blackhat community and share these lessons learnedl历史历史l1999 非正式的邮件列表非正式的邮件列表lJune 2000 演变为蜜网项目组演变为蜜网项目组lJan.2002 发起蜜网研究联盟发起蜜网研究联盟lDec.2002 10个活跃的

19、联盟成员个活跃的联盟成员l创始人及主席创始人及主席lLance Spitzner(Sun Microsystems)网络攻防技术网络攻防技术蜜网技术的发展历程lI:1999-2001lGen I 蜜网技术:概念验证lII:2001-2003lGen II 蜜网技术:初步成熟的蜜网技术方案lIII:2003-2004lHoneyWall Eeyore:可引导的CDROM，集成数据控制和数据捕获工具l IV:2004-2005l对分布式的蜜网捕获的数据进行收集和关联的集中式系统kangalV:2005-lGen 3 蜜网技术l 数据捕获机制的改进argus、sebek 3.0.xlData Ana

20、lysis Framework WalleyelNew HoneyWall CDROM RoolEd Balas,Indiana University网络攻防技术网络攻防技术蜜网的体系结构蜜网的体系结构网络攻防技术网络攻防技术蜜网技术核心需求l数据控制机制数据控制机制l防止蜜网被黑客防止蜜网被黑客/恶意软件利用攻击第三方恶意软件利用攻击第三方l数据捕获机制数据捕获机制l获取黑客攻击获取黑客攻击/恶意软件活动的行为数据恶意软件活动的行为数据l网络行为数据网络连接、网络流网络行为数据网络连接、网络流l系统行为数据进程、命令、打开文件、发系统行为数据进程、命令、打开文件、发起连接起连接l数据分析机制数据分析机制l理解捕获的黑客攻击理解捕获的黑客攻击/恶意软件活动的行为恶意软件活动的行为网络攻防技术网络攻防技术Gen I 蜜网蜜网网络攻防技术网络攻防技术Gen I 蜜网体系结构蜜网体系结构网络攻防技术网络攻防技术Gen II蜜网蜜网网络攻防技术网络攻防技术Gen II蜜网体系结构蜜网体系结构网络攻防技术网络攻防技术Gen III 蜜网蜜网网络攻防技术网络攻防技术Gen III 蜜网蜜网