0526.1203天:关于蜜罐的那点事儿

2022-05-26  本文已影响0人  我的职业生涯

#每日三件事,第1203天#

蜜罐的故事

1986年9月,有个天文工作者,他转行成为了一名网管。这位非常负责任的网管发现了一个问题,有一个非授权的账户在使用计算机,而且不用付费。现在很多人可能不太理解使用计算机需要付费的事情,那时候计算机是非常稀缺的资源,而且只有一些科研机构才有,预约使用和按时付费是必须的。

通过深入分析,他还发现一个账户在尝试攻击军方的系统,已经离职的用户仍然有使用计算机的记录。管理不善,安全问题突出,成了普遍存在的问题。这位搞天文的网管确实不简单,于是他布下“陷阱”,监控入侵者的每一次击键,并打印了出来。以防止该用户删除和清理这些日志信息。他还通过伪造机密文件的方式,让入侵者下载、查阅,就是为了让入侵者停留在系统的时间更长一些,让他可以获取入侵者的更多信息。

1987年6月21日,入侵者最后一次入侵系统,而后落网,持续了将近一年的攻防对抗落下帷幕。


这是一本叫做《杜鹃蛋》(The Cuckoo's Egg)的书记录的故事,作者是Cliff Stoll。这本书被称为文学界和互联网界的传奇,被誉为最真实的黑客小说。这本书于1990年出版发行,第一次提到“蜜罐”,这位网管就是Cliff Stoll,他布的陷阱就是一个“蜜罐”。

蜜罐,在网络安全领域中,人们把欺骗攻击者的诱饵称为蜜罐。从蜜罐的结构上来说,由“两部分三模块”组成。两部分是指面向攻击者的部分和面向管理者的部分;三模块是指交互仿真模块、数据捕获模块和安全控制模块。这三个模块也是蜜罐的核心技术。

蜜罐结构

蜜罐发展的里程碑

1990年,Bill CHeswick发表了一篇论文《An Evening with Berferd in Which a Cracker is Lured,Endured,and Studied》,蜜罐技术开始受到安全界的关注。

1997年,Fred Cohen 发布DTK项目,用于模拟网络服务的虚拟系统,这是第一个公开的蜜罐系统。

2000年,蜜罐项目组成立,同时发布了Gen II蜜罐项目,在这个项目中,蜜罐被用于真实系统。

蜜罐的功能和特点

目前,国内大部分的安全厂家都有蜜罐产品,有时候也有诱导抓捕系统之类的名称。蜜罐部署在互联网上,可以收集攻击者的信息;蜜罐部署在局域网内,可以承担一部分防护工作。因为蜜罐本身要模拟漏洞和缺陷,最怕的就是入侵者通过这些模拟的漏洞控制了系统。用蜜罐作为跳板机攻击内部系统。

既然蜜罐有诱捕的能力,就一定会有入侵者思考反诱捕的事儿。正所谓道高一尺,魔高一丈。反诱捕,最重要的是识别蜜罐。只要能识别出来蜜罐,我不去碰它就是了。蜜罐识别要素有两类:一类是基于交互仿真差异,主要识别网络交互特征、系统交互特征、业务交互特征和时序状态特征;另一类是基于隐匿行为发现,主要识别节点部署特征、默认配置特征、攻击约束特征和固有缺陷特征。

在当前的网络安全态势之下,对攻击者溯源和画像是蜜罐的主要功能。

因此,蜜罐设计的目标就围绕以下四点展开:1.捕获数据;2.避免被识别;3.防止被攻陷;4.提供有价值的分析报告。

对使用蜜罐的用户来讲,当然是希望能够做好系统的安全防护,同时还能精准地对入侵者进行画像和溯源,给出完整的攻击路径。

其实这很难。蜜罐只能捕获入侵者对蜜罐攻击时的信息,攻击之前的信息蜜罐捕获不到。有了攻击者的信息,还需要通过其他方式对入侵者画像。其实这还需要大量的人力资源,蜜罐是一种劳力和技术密集型的防御措施。 并非部署蜜罐之后就万事大吉,而实际情况则是对蜜罐有很大的依赖性。

蜜罐

开源蜜罐

如果你想试一试蜜罐的话,先部署一个开源的蜜罐也是个好主意。开源蜜罐有Kippo、Dionaea、Glastopf、Honey net、Honeyfarm,还有工业系统的蜜罐:Conpot、GasPot、XPORT、SNAP7、CryPLH2等。

其他概念

蜜饵:一般是一个文件,工作原理和蜜罐类似,也是诱使攻击者打开或下载。
蜜标:把蜜饵进一步改造,在word文档、PDF中植入一个隐蔽的链接,当攻击者打开这个文件时,链接可以被自动触发,防御者就可以借机获取攻击者的真实网络地址、浏览器指纹等信息,从而直接溯源定位攻击者的真实身份。这种带有URL地址的蜜饵就是蜜标。
蜜网:简单的说,蜜网就是一大片蜜罐,连成了网。但这张“网”需要和业务强相关。攻击者在试图攻破系统时,为了拿到自己想要的东西(业务数据、文件等),往往会重点攻击和业务相关的节点。因此,可以参照真实的业务环节,在攻击者的必经之路上放蜜罐,给攻击者提供和向移动的空间和更丰富的入侵接口。这样,当攻击者踩过一连串蜜罐的时候,我们就能轻易得看到攻击者的手法和习性。这种高度复杂的诱饵环境就是蜜网。
蜜场:把恶意访问集中到一起,统一管理,于是,采用了重定向技术的蜜场就应运而生了。蜜场同样是分布式蜜罐的一种形式。在蜜场中,攻击者踩中的虚拟蜜罐,经过重定向以后,由真实的蜜罐进行相应,再把响应行为传到虚拟蜜罐。

低交互蜜罐:只能模拟基本的网络服务,易于设计和维护。这类蜜罐简单、稳定,但更容易被觉察并识别出来。
高交互蜜罐:可以模拟不同的复杂网络服务,实现难度大,因为他们比心实现一直的错误和不正常、不合理的活动。
混合蜜罐:将低交互作用部分和高交互作用部分组合在一起,以获得两者的优势。通常会根据不同的需求在不同的防护级别上模拟不同的服务。


参考文献:工业互联网安全:架构与防御》、《绝非偶然:撬动星球的头部效应》以及百度百科和知乎上面的内容。

上一篇下一篇

猜你喜欢

热点阅读