#每日三件事,第1203天#
蜜罐的故事
1986年9月,有个天文工作者,他转行成为了一名网管。这位非常负责任的网管发现了一个问题,有一个非授权的账户在使用计算机,而且不用付费。现在很多人可能不太理解使用计算机需要付费的事情,那时候计算机是非常稀缺的资源,而且只有一些科研机构才有,预约使用和按时付费是必须的。
通过深入分析,他还发现一个账户在尝试攻击军方的系统,已经离职的用户仍然有使用计算机的记录。管理不善,安全问题突出,成了普遍存在的问题。这位搞天文的网管确实不简单,于是他布下“陷阱”,监控入侵者的每一次击键,并打印了出来。以防止该用户删除和清理这些日志信息。他还通过伪造机密文件的方式,让入侵者下载、查阅,就是为了让入侵者停留在系统的时间更长一些,让他可以获取入侵者的更多信息。
1987年6月21日,入侵者最后一次入侵系统,而后落网,持续了将近一年的攻防对抗落下帷幕。
这是一本叫做《杜鹃蛋》(The Cuckoo's Egg)的书记录的故事,作者是Cliff Stoll。这本书被称为文学界和互联网界的传奇,被誉为最真实的黑客小说。这本书于1990年出版发行,第一次提到“蜜罐”,这位网管就是Cliff Stoll,他布的陷阱就是一个“蜜罐”。
蜜罐,在网络安全领域中,人们把欺骗攻击者的诱饵称为蜜罐。从蜜罐的结构上来说,由“两部分三模块”组成。两部分是指面向攻击者的部分和面向管理者的部分;三模块是指交互仿真模块、数据捕获模块和安全控制模块。这三个模块也是蜜罐的核心技术。
蜜罐结构
蜜罐发展的里程碑
1990年,Bill CHeswick发表了一篇论文《An Evening with Berferd in Which a Cracker is Lured,Endured,and Studied》,蜜罐技术开始受到安全界的关注。
1997年,Fred Cohen 发布DTK项目,用于模拟网络服务的虚拟系统,这是第一个公开的蜜罐系统。
2000年,蜜罐项目组成立,同时发布了Gen II蜜罐项目,在这个项目中,蜜罐被用于真实系统。
蜜罐的功能和特点
目前,国内大部分的安全厂家都有蜜罐产品,有时候也有诱导抓捕系统之类的名称。蜜罐部署在互联网上,可以收集攻击者的信息;蜜罐部署在局域网内,可以承担一部分防护工作。因为蜜罐本身要模拟漏洞和缺陷,最怕的就是入侵者通过这些模拟的漏洞控制了系统。用蜜罐作为跳板机攻击内部系统。
既然蜜罐有诱捕的能力,就一定会有入侵者思考反诱捕的事儿。正所谓道高一尺,魔高一丈。反诱捕,最重要的是识别蜜罐。只要能识别出来蜜罐,我不去碰它就是了。蜜罐识别要素有两类:一类是基于交互仿真差异,主要识别网络交互特征、系统交互特征、业务交互特征和时序状态特征;另一类是基于隐匿行为发现,主要识别节点部署特征、默认配置特征、攻击约束特征和固有缺陷特征。
在当前的网络安全态势之下,对攻击者溯源和画像是蜜罐的主要功能。
因此,蜜罐设计的目标就围绕以下四点展开:1.捕获数据;2.避免被识别;3.防止被攻陷;4.提供有价值的分析报告。
对使用蜜罐的用户来讲,当然是希望能够做好系统的安全防护,同时还能精准地对入侵者进行画像和溯源,给出完整的攻击路径。
其实这很难。蜜罐只能捕获入侵者对蜜罐攻击时的信息,攻击之前的信息蜜罐捕获不到。有了攻击者的信息,还需要通过其他方式对入侵者画像。其实这还需要大量的人力资源,蜜罐是一种劳力和技术密集型的防御措施。 并非部署蜜罐之后就万事大吉,而实际情况则是对蜜罐有很大的依赖性。
蜜罐
开源蜜罐
如果你想试一试蜜罐的话,先部署一个开源的蜜罐也是个好主意。开源蜜罐有Kippo、Dionaea、Glastopf、Honey net、Honeyfarm,还有工业系统的蜜罐:Conpot、GasPot、XPORT、SNAP7、CryPLH2等。
其他概念
蜜饵:一般是一个文件,工作原理和蜜罐类似,也是诱使攻击者打开或下载。
蜜标:把蜜饵进一步改造,在word文档、PDF中植入一个隐蔽的链接,当攻击者打开这个文件时,链接可以被自动触发,防御者就可以借机获取攻击者的真实网络地址、浏览器指纹等信息,从而直接溯源定位攻击者的真实身份。这种带有URL地址的蜜饵就是蜜标。
蜜网:简单的说,蜜网就是一大片蜜罐,连成了网。但这张“网”需要和业务强相关。攻击者在试图攻破系统时,为了拿到自己想要的东西(业务数据、文件等),往往会重点攻击和业务相关的节点。因此,可以参照真实的业务环节,在攻击者的必经之路上放蜜罐,给攻击者提供和向移动的空间和更丰富的入侵接口。这样,当攻击者踩过一连串蜜罐的时候,我们就能轻易得看到攻击者的手法和习性。这种高度复杂的诱饵环境就是蜜网。
蜜场:把恶意访问集中到一起,统一管理,于是,采用了重定向技术的蜜场就应运而生了。蜜场同样是分布式蜜罐的一种形式。在蜜场中,攻击者踩中的虚拟蜜罐,经过重定向以后,由真实的蜜罐进行相应,再把响应行为传到虚拟蜜罐。
低交互蜜罐:只能模拟基本的网络服务,易于设计和维护。这类蜜罐简单、稳定,但更容易被觉察并识别出来。
高交互蜜罐:可以模拟不同的复杂网络服务,实现难度大,因为他们比心实现一直的错误和不正常、不合理的活动。
混合蜜罐:将低交互作用部分和高交互作用部分组合在一起,以获得两者的优势。通常会根据不同的需求在不同的防护级别上模拟不同的服务。
参考文献:工业互联网安全:架构与防御》、《绝非偶然:撬动星球的头部效应》以及百度百科和知乎上面的内容。
网友评论