病毒预报 第二百八十四期（2008.7.14-2008.7.20）

病毒预报 第二百八十三期（2008.7.7-2008.7.13）

病毒预报 第二百八十二期（2008.6.30-2008.7.6）

病毒预报 第二百八十一期（2008.6.23-2008.6.29）

病毒预报 第二百八十期（2008.6.16-2008.6.22）

病毒预报 第二百七十九期（2008.6.9-2008.6.15）

　　在计算机的信息安全领域里，网络管理员要面对的是黑客真枪实干的入侵破坏，难道在电脑技术大量应用的今天，安全领域却得不到一点援助?答案是有的，它就是在安全领域里代替网络管理员上阵的“虚拟演员”——蜜罐技术。

　　蜜罐的类型 自从计算机首次互连以来，研究人员和安全专家就一直使用着各种各样的蜜罐工具，根据不同的标准可以对蜜罐技术进行不同的分类，使用蜜罐技术是基于安全价值上的考虑。但是，可以肯定的就是，蜜罐技术并不会替代其他安全工具，列如防火墙、系统侦听等。这里我也就安全方面的价值来对蜜罐技术进行探讨。
根据设计的最终目的不同我们可以将蜜罐分为产品型蜜罐和研究型蜜罐两类。
① 产品型蜜罐一般运用于商业组织的网络中。它的目的是减轻受组织将受到的攻击的威胁，蜜罐加强了受保护组织的安全措施。他们所做的工作就是检测并且对付恶意的攻击者。
⑴这类蜜罐在防护中所做的贡献很少，蜜罐不会将那些试图攻击的入侵者拒之门外，因为蜜罐设计的初衷就是妥协，所以它不会将入侵者拒绝在系统之外，实际上，蜜罐是希望有人闯入系统，从而进行各项记录和分析工作。
⑵虽然蜜罐的防护功能很弱，但是它却具有很强的检测功能，对于许多组织而言，想要从大量的系统日志中检测出可疑的行为是非常困难的。虽然，有入侵检测系统（IDS）的存在，但是，IDS发生的误报和漏报，让系统管理员疲于处理各种警告和误报。而蜜罐的作用体现在误报率远远低于大部分IDS工具，也务须当心特征数据库的更新和检测引擎的修改。因为蜜罐没有任何有效行为，从原理上来讲，任何连接到蜜罐的连接都应该是侦听、扫描或者攻击的一种，这样就可以极大的减低误报率和漏报率，从而简化检测的过程。从某种意义上来讲，蜜罐已经成为一个越来越复杂的安全检测工具了。
⑶如果组织内的系统已经被入侵的话，那些发生事故的系统不能进行脱机工作，这样的话，将导致系统所提供的所有产品服务都将被停止，同时，系统管理员也不能进行合适的鉴定和分析，而蜜罐可以对入侵进行响应，它提供了一个具有低数据污染的系统和牺牲系统可以随时进行脱机工作。此时，系统管理员将可以对脱机的系统进行分析，并且把分析的结果和经验运用于以后的系统中。
② 研究型蜜罐专门以研究和获取攻击信息为目的而设计。这类蜜罐并没有增强特定组织的安全性，恰恰相反，蜜罐要做的是让研究组织面队各类网络威胁，并寻找能够对付这些威胁更好的方式，它们所要进行的工作就是收集恶意攻击者的信息。它一般运用于军队，安全研究组织。
根据蜜罐与攻击者之间进行的交互，可以分为3类：低交互蜜罐，中交互蜜罐和高交互蜜罐，同时这也体现了蜜罐发展的3个过程。
① 低交互蜜罐最大的特点是模拟。蜜罐为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统，而是对各种系统及其提供的服务的模拟。由于它的服务都是模拟的行为，所以蜜罐可以获得的信息非常有限，只能对攻击者进行简单的应答，它是最安全的蜜罐类型。
② 中交互是对真正的操作系统的各种行为的模拟，它提供了更多的交互信息，同时也可以从攻击者的行为中获得更多的信息。在这个模拟行为的系统中，蜜罐可以看起来和一个真正的操作系统没有区别。它们是真正系统还要诱人的攻击目标。
③高交互蜜罐具有一个真实的操作系统，它的优点体现在对攻击者提供真实的系统，当攻击者获得ROOT权限后，受系统，数据真实性的迷惑，他的更多活动和行为将被记录下来。缺点是被入侵的可能性很高，如果整个高蜜罐被入侵，那么它就会成为攻击者下一步攻击的跳板。目前在国内外的主要蜜罐产品有DTK，空系统，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREA TARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四种。
涉及的法律问题 蜜罐是用来给黑客入侵的，它必须提供一定的漏洞，但是我们也知道，很多漏洞都属于“高危”级别，稍有不慎就会导致系统被渗透，一旦蜜罐被破坏，入侵者要做的事情是管理员无法预料的，例如，一个入侵者成功进入了一台蜜罐，并且用它做“跳板”（指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为）去攻击别人，那么这个损失由谁来负责？设置一台蜜罐必须面对三个问题：设陷技术、隐私、责任。
设陷技术关系到设置这台蜜罐的管理员的技术，一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏，由此导致的后果将十分严重。
由于蜜罐属于记录设备，所以它有可能会牵涉到隐私权问题，如果一个企业的管理员恶意设计一台蜜罐用于收集公司员工的活动数据，或者偷偷拦截记录公司网络通讯信息，这样的蜜罐就已经涉及法律问题了。
对于管理员而言，最倒霉的事情就是蜜罐被入侵者成功破坏了。有人也许会认为，既然蜜罐是故意设计来“牺牲”的，那么它被破坏当然合情合理，用不着小题大做吧。对，蜜罐的确是用来“受虐”的，但是它同时也是一台连接网络的计算机，如果你做的一台蜜罐被入侵者攻破并“借”来对某大学服务器进行攻击，因此引发的损失恐怕只能由你来承担了。还有一些责任是谁也说不清的，例如，你做的一台蜜罐不幸引来了Slammer、Sasser、Blaster等大名鼎鼎的“爬虫类”病毒而成了传播源之一，那么这个责任谁来负担？

概念的形成
尽管一些组织在很多年前就开始在蜜罐技术领域进行研究和实践，但是直到1990年才有一些文章针对这类问题进行专门的探讨。在Clifford Stoll所著的《The Cuckoo`s Egg》一书中，记述和讨论了在1986年至1987年的10个月间发生的一系列在其受到侵入的系统中了解和诱骗攻击者的故事。而另一篇由Bill Cheswick所写的名为“An Evening with Berferd in Which a Cracker Is Lured,Endured,and Studied”的论文更多在技术角度对蜜罐的概念进行了探讨。这两个作品第一次完整而有目的的探讨了蜜罐的概念，内容也相当引人入胜，但美中不足的是其中都没有对蜜罐的含义进行准确的界定，也没有探讨蜜罐对于安全领域的价值。
奠基
为了使蜜罐系统更加高效，很多政府组织和技术性公司的人员都在着手开发成型的蜜罐产品。第一个被公开发布出来的蜜罐工具包是由著名的安全专家Fred Cohen创建的DTK（Deception Toolkit）。DTK的0.1版本在1997年11月发布，是一种免费提供的蜜罐解决方案。DTK由C语言和Perl脚本构成，部署在UNIX系统上，模拟了很多UNIX系统的漏洞，记录这些漏洞受到攻击的信息。1998年，随着蜜罐的价值更加受到重视，第一个商业蜜罐产品CyberCop Sting正式现身。该产品最初由Secure Network Inc.的Alfred Huger开发，于1998年被NAI购买。CyberCop Sting相比DTK具有很多不同的特性：例如该产品运行于Windows平台，这使得该系统的部署获得了很大简化；另外该产品可以同时模拟很多不同类型的系统，这就使得用户不但可以模拟单个系统，还可以创建一个模拟网络。同样在1998年，Marty Roesch也开发了一个与Sting颇多相似的被称为NetFacade的产品。尽管该产品在商业方面没有取得什么成就，但是从这个产品的开发过程中衍生出了一个非常重要的开放源代码项目Snort。可以说1998年是蜜罐取得极大发展的一个年头，而接下来的1999年HoneyNet项目的创建可以说为蜜罐在安全领域的地位打下了非常坚实的基础。这是由几十名安全专家发展的一个非赢利性质的项目，在这个项目中提出了的HoneyNet是一种高级的蜜罐形式。在项目创建后的几年时间里，HoneyNet成功的展现了这类技术在研究和监测攻击方面的价值。并且这个项目的技术信息和研究成果通过Know Your Enemy（了解你的敌人）系列文章得到了广泛的传播，使得蜜罐的理念逐步深入人心。
如火如荼的发展
由于2000年到2001年间网络蠕虫爆炸性的发展，使得蜜罐的实用价值得到了体现。为了应对这些传播速度极快的恶意软件，安全厂商和安全组织迫切的需要寻找一种有效的获取样本和理解其行为模式的手段，而蜜罐为这种需求提供了完美的解答。SANS、SecurityFocus等知名的安全组织都通过部署模拟某些Windows系统漏洞的蜜罐捕获蠕虫病毒，并深入的对其进行分析。另外在2002年1月8日，一个未知exploit被一个Solaris 蜜罐捕获，这是第一个有书面记载的未知exploit捕获。这一事件对安全领域产生了很大的触动，也使得很多安全专家大跌眼镜。这一事件表明蜜罐技术在防御未知威胁方面也大有用武之地。至今为止，蜜罐已经以很多种不同的形式获得了实际应用，并在安全领域中担当起越来越重要的作用。

为什么要使用蜜罐
蜜罐是一台存在多种漏洞的计算机，而且管理员清楚它身上有多少个漏洞，这就像狙击手为了试探敌方狙击手的实力而用枪支撑起的钢盔，蜜罐被入侵而记录下入侵者的一举一动，是为了管理员能更好的分析广大入侵者都喜欢往哪个洞里钻，今后才能加强防御。
另一方面是因为防火墙的局限性和脆弱性，因为防火墙必须建立在基于已知危险的规则体系上进行防御，如果入侵者发动新形式的攻击，防火墙没有相对应的规则去处理，这个防火墙就形同虚设了，防火墙保护的系统也会遭到破坏，因此技术员需要蜜罐来记录入侵者的行动和入侵数据，必要时给防火墙添加新规则或者手工防御。
蜜罐的配置模式
① 诱骗服务（deception service）
诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络请求进行应答的应用程序。DTK就是这样的一个服务性产品。DTK吸引攻击者的诡计就是可执行性，但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统进行的，所以可以产生的应答非常有限。在这个过程中对所有的行为进行记录，同时提供较为合理的应答，并给闯入系统的攻击者带来系统并不安全的错觉。例如，当我们将诱骗服务配置为FTP服务的模式。当攻击者连接到TCP/21端口的时候，就会收到一个由蜜罐发出的FTP的标识。如果攻击者认为诱骗服务就是他要攻击的FTP，他就会采用攻击FTP服务的方式进入系统。这样，系统管理员便可以记录攻击的细节。
② 弱化系统（weakened system）
只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。这样的特点是攻击者更加容易进入系统，系统可以收集有效的攻击数据。因为黑客可能会设陷阱，以获取计算机的日志和审查功能，需要运行其他额外记录系统，实现对日志记录的异地存储和备份。它的缺点是“高维护低收益”。因为，获取已知的攻击行为是毫无意义的。
③ 强化系统（hardened system）
强化系统同弱化系统一样，提供一个真实的环境。不过此时的系统已经武装成看似足够安全的。当攻击者闯入时，蜜罐就开始收集信息，它能在最短的时间内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。如果攻击者具有更高的技术，那么，他很可能取代管理员对系统的控制，从而对其它系统进行攻击。
④用户模式服务器（user mode server）
用户模式服务器实际上是一个用户进程，它运行在主机上，并且模拟成一个真实的服务器。在真实主机中，每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定是实例。而用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中，当INTERNET用户向用户模式服务器的IP地址发送请求，主机将接受请求并且转发到用户模式服务器上。（我们用这样一个图形来表示一下他们之间的关系）：这种模式的成功与否取决于攻击者的进入程度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被攻陷，由于用户模式服务器是一个用户进程，那么Administrator只要关闭该进程就可以了。另外就是可以将FIREWALL,IDS集中于同一台服务器上。当然，其局限性是不适用于所有的操作系统。
蜜罐的信息收集
当我们察觉到攻击者已经进入蜜罐的时候，接下来的任务就是数据的收集了。数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包，就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很容易被攻击者删除，所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。（务必同时监控日志服务器。如果攻击者用新手法闯入了服务器，那么蜜罐无疑会证明其价值。）
近年来，由于黑帽子群体越来越多地使用加密技术，数据收集任务的难度大大增强。如今，他们接受了众多计算机安全专业人士的建议，改而采用SSH等密码协议，确保网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修改目标计算机的操作系统，以便所有敲入的字符、传输的文件及其它信息都记录到另一个监控系统的日志里面。因为攻击者可能会发现这类日志，蜜网计划采用了一种隐蔽技术。譬如说，把敲入字符隐藏到NetBIOS广播数据包里面。

    如果您对我们的培训有兴趣，请完整填写下表并提交
    ——您将有机会免费获得电子工业出版社图书一本。

    有相关问题也可通过以下联系方式咨询
    ①电话咨询：010-88254012；联系人：潘昕
    ②传真：010-88254490
    ③电子邮件：panxin@phei.com.cn