缠绕膜厂家
免费服务热线

Free service

hotline

010-00000000
缠绕膜厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

防黑阻击入侵检测之蜜罐与蜜网

发布时间:2020-03-10 10:00:38 阅读: 来源:缠绕膜厂家

中介交易 SEO诊断淘宝客 站长团购 云主机 技术大厅

入侵诱骗技术是较传统入侵检测技术更加主动的一种安全技术。主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种。它是用特有的特点吸引攻击者,同时对攻击者的各种攻击行为进行分析,并找到有效的对付方法。为了吸引攻击者,网络管理员通常还在Honeypot上故意留下一些安全后门,或放置一些攻击者希望得到的敏感信息,固然这些信息都是虚假。当入侵者正为攻入目标系统而洋洋得意时,却不知自己在目标系统中的所做所为,包括输入的字符,履行的操作等都已被Honeypot所纪录。

蜜罐技术

Honeypot是一个资源,它的价值在于它会遭到探测,攻击或攻陷。蜜罐其实不修正任何问题,它们仅提供额外的、有价值的信息。所以说Honeypot并不是是一种安全的解决方案,这是由于它并不会修理任何毛病。它只是一种工具,如何使用这个工具取决于用户想做甚么。Honeypot可以对其他系统和运用进行仿真,创建一个监禁环境将攻击者困在其中。不管用户如何建立和使用Honeypot,只有Honeypot遭到攻击,它的作用才能发挥出来。所以为了方便攻击,最好是将Honeypot设置成域名服务器WEB或电子邮件转发服务等流行运用中的一种。

蜜罐的部署

蜜罐其实不需要一个特定的支持环境,它可以放置在一个标准服务器能够放置的任何地方。固然,根据所需要的服务,某些位置可能比其他位置更好一些。显示了通常放置的三个位置:1.在防火墙前面;Z中;3.在防火墙后面。

如果把蜜罐放在防火墙的前面,不会增加内部网络的任何安全风险,可以消除在防火墙后面出现1台失陷主机的可能性(由于蜜罐主机很容易被攻陷)。但是同时也不能吸引和产生不可预期的通讯量,如端口扫描或网络攻击所致使的通讯流,没法定位内部的攻击信息,也捕获不到内部攻击者。

如果把蜜罐放在防火墙的后面,那末有可能给内部网络引入新的安全威逼,特别是如果蜜灌和内部网络之间没有额外的防火墙保护。正如前面所说,蜜罐通常都提供大量的假装服务,因此不可避免地必须修改防火墙的规则,对进出内部网络的通讯流量和蜜罐的通讯加以区分和对待。否则一旦蜜罐失陷,那末全部网络内部将完全暴露在攻击者眼前。

较好的解决方案是让蜜罐运行在自己的DMZ内,同时保证DMZ内的其他服务器是安全的,只提供所必需要的服务,而蜜灌通常会假装尽量多的服务。DMZ同其他网络连接都用防火墙隔离,防火墙则可以根据需要同Internet连接。这类布局可以很好的解决对蜜罐的严格控制与灵活的运行环境矛盾,从而实现最高安全。

蜜网技术

Honeynet是一种特殊的Honeypot,Honeypot物理上通常是一台运行单个操作系统或借助于虚拟化软件运行多个虚拟操作系统的牢笼主机。单机蜜罐系统最大的缺点在欲数据流将直接进入网络,管理者难以控制蜜罐主机外出流量,入侵者容易利用蜜灌主机作为跳板来攻击其他机器。解决这个问题方法是把蜜罐主机放置在防火墙的后面,所有进出网络的数据都会通过这里,并可以控制和捕获这些数据,这类网络诱骗环境称为蜜网(honeynet)。

蜜网的组成

蜜网作为蜜罐技术中的高级工具,一般是由防火墙,路由器,入侵检测系统和1台或多台蜜罐主机组成的网络系统,也可以使用虚拟化软件来构件虚拟蜜网。相对单机蜜罐,蜜网实现,管理起来更加复杂,但是这类多样化的系统能够更多地揭露入侵者的攻击特性,极大地提高蜜灌系统的检测,分析,响应和恢复受侵害系统的能力。

防火墙的作用是限制和纪录网络数据流,入侵检测系统通常用于视察潜伏的攻击和译码,并在系统中存储网络数据流。蜜网中装有多个操作系统和应用程序供黑客探测和攻击。特定的攻击者会瞄准特定的系统或漏洞,我们通过部署不同的操作系统和应用程序,可更准确地了解黑客的攻击趋势和特点。另外,所有放置在蜜网中的系统都是真实的系统,没有摹拟的环境或故意设置的漏洞。而且利用防火墙或路由器的功能,能在网络中建立相应的重定向机制,将入侵者或可疑的连接主动引入蜜网,可以提高蜜网的运行效力。

是一个Honeynet的详细结构,包括了三个不同的网络:Honeynet、管理网络和Internet。其中,日志/告警服务器为管理网络,Solaris、Win2000、Linux、Log server为Honeynet。防火墙,IDS和蜜罐主机的系统负责日志的捕获。由于手段高明的入侵者攻入系统后,通常会试图更改乃至烧毁目标主机上易于暴露入侵行动的各种纪录。蜜网在确保不被入侵者发现诱骗的条件下,尽量多地捕获攻击行为信息,包括黑客所有的按键纪录,CPU的使用率或进程列表,使用过的各种协议数据包内容等,同时要注意充分保证捕获信息的完全和安全。防火墙在IP层纪录所有出入蜜网的连接,设计为允许所有进入的连接,但是对从Honeynet向Internet发起的连接进行跟踪,一旦Honeynet到达了规定的向外的连接数,防火墙将阻断任何后续的连接,并且及时向系统管理员发出正告信息;IDS在数据链路层对蜜网中的网络数据流进行监控,分析和抓取以便将来能够重现攻击行为,同时在发现可疑举动时报警。蜜罐主机除使用操作系统本身提供的日志功能外,还可以利用第三方软件加强日志功能,并且传输到安全级别更高的远程日志服务器上备份。

总结

传统意义上讲,网络安全要做的工作主要是防御,避免自己负责的资源不会遭到他人入侵,尽力保护自己的组织,检测防御中的失误,并采取相应的措施。这些安全措施都只能检测到已知类型的攻击和入侵。而蜜罐和蜜网的设计目的就是从现存的各种威逼中提取有用的信息,发现新型的攻击工具,肯定攻击模式并研究攻击者的攻击动机,从而肯定更好的对策。

重庆车姐食品有限公司

中山市文华房地产有限公司

重庆海丰控股集团有限公司

中冶西北工程技术有限公司