蜜罐技術——通過布置一些作為誘餌的主機、網絡服務或者信息,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析
阿新 • • 發佈:2017-08-26
技術 使用 alt name 防火墻 text 來源 情報 優點 蜜罐技術本質上是一種對攻擊方進行欺騙的技術,通過布置一些作為誘餌的主機、網絡服務或者信息,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析,了解攻擊方所使用的工具與方法,推測攻擊意圖和動機,能夠讓防禦方清晰地了解他們所面對的安全威脅,並通過技術和管理手段來增強實際系統的安全防護能力。
蜜罐好比是情報收集系統。蜜罐好像是故意讓人攻擊的目標,引誘黑客前來攻擊。所以攻擊者入侵後,你就可以知道他是如何得逞的,隨時了解針對服務器發動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯系,收集黑客所用的種種工具,並且掌握他們的社交網絡。
蜜罐技術
數據收集是設置蜜罐的另一項技術挑戰。蜜罐監控者只要記錄下進出系統的每個數據包,就能夠對黑客的所作所為一清二楚。蜜罐本身上面的日誌文件也是很好的數據來源。但日誌文件很容易被攻擊者刪除,所以通常的辦法就是讓蜜罐向在同一網絡上但防禦機制較完善的遠程系統日誌服務器發送日誌備份。(務必同時監控日誌服務器。如果攻擊者用新手法闖入了服務器,那麽蜜罐無疑會證明其價值。)
近年來,由於黑帽子群體越來越多地使用加密技術,數據收集任務的難度大大增強。如今,他們接受了眾多計算機安全專業人士的建議,改而采用SSH等密碼協議,確保網絡監控對自己的通訊無能為力。蜜網對付密碼的計算就是修改目標計算機的操作系統,以便所有敲入的字符、傳輸的文件及其它信息都記錄到另一個監控系統的日誌裏面。因為攻擊者可能會發現這類日誌,蜜網計劃采用了一種隱蔽技術。譬如說,把敲入字符隱藏到NetBIOS廣播數據包裏面[3] 。
蜜罐系統的優點之一就是它們大大減少了所要分析的數據。對於通常的網站或郵件服務器,攻擊流量通常會被合法流量所淹沒。而蜜罐進出的數據大部分是攻擊流量。因而,瀏覽數據、查明攻擊者的實際行為也就容易多了。
自1999年啟動以來,蜜網計劃已經收集到了大量信息。部分發現結果包括:攻擊率在過去一年增加了一倍;攻擊者越來越多地使用能夠堵住漏洞的自動點擊工具(如果發現新漏洞,工具很容易更新);盡管虛張聲勢,但很少有黑客采用新的攻擊手法。
設置蜜罐
蜜罐技術 設置蜜罐並不難,只要在外部因特網上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。因為黑客可能會設陷阱,以獲取計算機的日誌和審查功能,你就要在計算機和因特網連接之間安置一套網絡監控系統,以便悄悄記錄下進出計算機的所有流量。然後只要坐下來,等待攻擊者自投羅網。 不過,設置蜜罐並不是說沒有風險。這是因為,大部分安全遭到危及的系統會被黑客用來攻擊其它系統。這就是下遊責任(downstream liability),由此引出了蜜網(honeynet)這一話題。數據收集
技術優勢
蜜網
蜜罐技術 蜜網是指另外采用了技術的蜜罐,從而以合理方式記錄下黑客的行動,同時盡量減小或排除對因特網上其它系統造成的風險。建立在反向防火墻後面的蜜罐就是一個例子。防火墻的目的不是防止入站連接,而是防止蜜罐建立出站連接。不過,雖然這種方法使蜜罐不會破壞其它系統,但同時很容易被黑客發現。蜜罐技術——通過布置一些作為誘餌的主機、網絡服務或者信息,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析