【51CTO.COM 獨家翻譯】入侵檢測是一個復雜的業(yè)務，無論你是部署一套入侵檢測系統(tǒng)（IDS），還是在你的網(wǎng)絡上收集和分析計算機及設備日志，識別合法活動中的惡意流量總是既困難又費時。

概述

所幸還有蜜罐技術(shù)，通過蜜罐識別惡意流量非常簡單，因為任何經(jīng)過蜜罐的流量，首先要清洗一遍消除誤報，當觸發(fā)蜜罐設置的預警行為時，蜜罐自動向設定的支持人員發(fā)出警報，蜜罐是一個經(jīng)過周密配置的偽裝計算機設備，任何人都不應該接觸它或嘗試登錄，因為所有活動都是非法的，不需要從惡意流量中分析善意的行為，唯一的問題是，入侵者有多危險？

作為一個長期從事安全的專業(yè)人士，我們在互聯(lián)網(wǎng)上創(chuàng)建了八個蜜罐跟蹤黑客和惡意軟件行為，我可以觀察到從腳本小子到職業(yè)犯罪團伙的一切活動，我可以看到和了解銀行賬戶竊取木馬的一舉一動，可以第一時間看到許多新奇的黑客活動。

更重要的是，我已經(jīng)認識到蜜罐在企業(yè)環(huán)境中的影響，它們作為早期預警系統(tǒng)而星光燦爛，我曾經(jīng)看到過蜜罐在企業(yè)LAN上捕獲到外國工業(yè)間諜的蹤影，他們誘惑受企業(yè)信任人員幫助他們竊取機密，并以看不見的惡意軟件為幌子轉(zhuǎn)移安全團隊的注意力，在近10年的蜜罐維護生涯中，我發(fā)現(xiàn)剛安裝好的蜜罐一般很難立即發(fā)現(xiàn)惡意軟件。

簡而言之，作為早期預警系統(tǒng)，蜜罐是低成本的，低干擾和低維護的，但能在網(wǎng)絡環(huán)境中有效地提醒威脅，可以給防御縱深方案增加一道防線。

三個常見的蜜罐解決方案

我考查了三個常見的蜜罐軟件解決方案：KeyiKeyfocus的KFSensor，MicroSolved的HoneyPoint Security Server和免費開源的Honeyd。我在一個封閉的實驗環(huán)境中測試了這三個蜜罐，在Windows Server 2008 R2的Hyper-V托管的虛擬機上運行，KFSensor和HoneyPoint運行在Windows 7企業(yè)版上，Honeyd運行在Ubuntu 9.10上，使用Nessus 4.2.2和BackTrack 4，從相同私有LAN上的遠程物理機手動建立連接，模擬攻擊探測，所有基于主機的防火墻和Windows上的用戶賬號控制（UAC）都被禁用了，因為它們可能會干擾各種本可以成功的攻擊和探測。

為什么要使用專業(yè)的蜜罐軟件？你不需要KFSensor，Honeyd或HoneyPoint Security Server建立蜜罐，我經(jīng)常建議讀者使用準備丟掉的舊電腦作為早期預警蜜罐系統(tǒng)，你已經(jīng)為硬件和軟件支付了費用，為什么不好好利用一下呢？

專用蜜罐軟件在舊電腦上有許多優(yōu)勢，首先，蜜罐軟件通常會為你努力工作，它們創(chuàng)建服務，提供大量的虛假功能，并簡化了日志和報警，大多數(shù)蜜罐軟件伴隨低或中等交互服務，允許用戶進行定制。

其次，蜜罐軟件通常擅長數(shù)據(jù)捕捉，有時提供入侵檢測簽名，數(shù)據(jù)包捕捉和網(wǎng)絡協(xié)議分析，并提供過濾和微調(diào)功能，例如，有些基于GUI的蜜罐允許你點擊一個事件消息，創(chuàng)建一個"忽略規(guī)則"過濾掉合法的流量，相對于將一臺舊電腦配置為蜜罐，專用蜜罐軟件可以把可能需要兩天的過程壓縮到10或15分鐘內(nèi)完成。

當人們想到蜜罐時，總會不經(jīng)意地比較高交互性蜜罐和低交互性蜜罐，他們通常認為復雜的，高逼真的陷阱（功能齊全的服務，好像一個真實的網(wǎng)站，一個電子郵件服務器等）更容易迷惑黑客，他們的一舉一動都可跟蹤，這種類型的高交互性蜜罐提供逼真的網(wǎng)絡環(huán)境，成熟的蜜罐可以更好地確定黑客的動機，并更好地記錄黑客都做了些什么。

例如，有一次，我在一家大型國防工業(yè)承包商現(xiàn)場看到，新安裝的蜜罐捕獲到有人在探測SharePoint Web服務器，我們快速創(chuàng)建了三個站點區(qū)域，旨在幫助我們勾畫出入侵者的輪廓，一部分是計算機游戲，一部分容納了NASA航天飛機計劃的密碼，另一部分則好像是F17戰(zhàn)斗機飛行員通信代碼，秘密的航天飛機計劃被來自NASA公共網(wǎng)站的簡單頁面重定向，黑客很快就進入到航天飛機計劃，開始使用SharePoint的搜索功能尋找中東議題，這可不是鬧著玩的，最后我們發(fā)現(xiàn)一名外國間諜以臨時工作人員的身份隱藏在財務部門工作。

[[17070]]

#p#

因為高交互蜜罐需要做大量的工作以增加風險，攻擊者使用這些可利用的蜜罐實施傷害行為（如攻擊其它公司，安裝密碼嗅探器等），我贊同大多數(shù)企業(yè)使用低或中等交互的蜜罐，中等交互的蜜罐偽裝一些常見的任務，但不實現(xiàn)完整的服務，例如，一個偽裝的FTP服務可能誘使探測者登錄，或允許匿名登錄，并提供虛假的文件供他們下載，一個偽裝的電子郵件服務器甚至可以讓攻擊者讀取和發(fā)送郵件，KFSensor允許在偽裝的服務上發(fā)送郵件，使得潛在的垃圾郵件發(fā)送者以為他發(fā)現(xiàn)了一個真實的電子郵件服務器，這個想法提供了足夠的功能確定入侵者是否構(gòu)成了威脅，但入侵者拿不走更多東西，即使它得到的信息也全部都是偽造的，毫無用處。

低交互蜜罐是最簡單的，作為早期預警系統(tǒng)的蜜罐通常是低交互的，意味著它們監(jiān)控一或多個網(wǎng)絡端口，當有人試圖連接到特定端口時就報警，低交互蜜罐不會構(gòu)造完整的合法服務，攻擊者很可能不會明白為什么遠程端口沒有正確響應，在嘗試了幾次攻擊失敗后往往會選擇放棄，但沒關(guān)系，你想要記錄的行為都已經(jīng)全部記錄下來了，想要進一步研究只需要安排好時間就可以了。

低交互蜜罐不會將自己偽裝成真的服務，它們只是在有人試圖搞破壞之前，向計算機安全或突發(fā)事故響應團隊發(fā)出警報。

所有蜜罐軟件有幾個核心功能都是通用的，首先，必須開放一或多個端口和服務，吸引入侵者來攻擊，其次，必須捕獲到入侵者的源地址（通常為IP地址），日期，時間和試圖發(fā)送出去的數(shù)據(jù)，所有連接嘗試都應該記錄下來（除非明確指示要求忽略的），并產(chǎn)生警報，以便突發(fā)事件響應團隊可以參與進來，最后，好的蜜罐有助于數(shù)據(jù)分析，無論是通過詳細的數(shù)據(jù)包分析，密碼嘗試分析，還是將相關(guān)探測匯集成一個事件。

平臺和安裝

蜜罐軟件應該易于安裝和配置，KFSensor在這方面做得很好，提供了直觀的GUI，但它只能運行在Windows XP或更高版本上，HoneyPoint和Honeyd可以運行在Windows，Linux和Mac OS X上，Honeyd也支持Solaris和BSD，HoneyPoint安裝相當簡單，但需要小文本文件操作許可證，Honeyd在這三個蜜罐軟件中是最萬能的，但偏偏它也是最難安裝和配置的，對Linux命令控來說可能不難，但對習慣了窗口操作的Windows用戶來說，從下載，編譯和配置就會使他們望而怯步，因為一切都是在命令行下操作的。這三個蜜罐軟件都可以作為普通程序運行在用戶空間，也可以作為系統(tǒng)服務或守護進程在后臺運行，作為系統(tǒng)服務有一個好處是，系統(tǒng)重啟后可以更方便地啟動它們。

模擬水平和服務

大多數(shù)蜜罐程序都是低交互到中等交互的，或更準確地說，有些服務模擬的水平很低，有些服務模擬的水平屬中等，我考查的這三個蜜罐均屬于低到中等模擬水平，如果特定服務需要高交互，KFSensor和Honeyd允許將探測請求路由到外部實時系統(tǒng)，被轉(zhuǎn)發(fā)的攻擊者仍然認為他還連接在同一個目標系統(tǒng)和IP地址，蜜罐繼續(xù)捕捉數(shù)據(jù)，因此管理員可以全面了解攻擊者干的一切。

所有蜜罐必須模擬一或多個服務，并且必須監(jiān)聽這些服務使用的TCP或UDP（或ICMP）端口，許多蜜罐都只能模擬有限的端口，KFSensor，Honeyd和HoneyPoint都聲稱可以模擬全部TCP和UDP端口（0~65535），我不知道這是否是真的，在這次考查中我沒有逐一去驗證，但我過去曾經(jīng)驗證過KFSensor和Honeyd，Honeyd的確支持全部端口，并且性能表現(xiàn)不錯，雖然KFSensor以前的版本不支持，但最新的企業(yè)版可以，再說一次，我沒有測試HoneyPoint的所有端口。

注意：蜜罐不能綁定底層主機操作系統(tǒng)已經(jīng)占用的端口，例如，基于Windows的蜜罐就不能模擬NetBIOS服務，除非底層主機上的文件和打印機共享被禁用，SMB/CIFS被關(guān)閉。

我在另一篇文章的蜜罐功能表中列出了這三個蜜罐軟件默認可模擬的內(nèi)置服務（沒有安裝額外的軟件和腳本），對于低交互蜜罐，可以模擬越多的服務越好，例如，在Windows環(huán)境中，幾乎涵蓋了所有流行的Microsoft應用程序和服務，這正是攻擊者喜歡的，KFSensor帶有許多內(nèi)置服務，其次是HoneyPoint，對Honeyd來說，有許多開源的模擬腳本，但默認只預裝了一部分。#p#

模擬網(wǎng)絡

KFSensor和HoneyPoint沒有任何網(wǎng)絡模擬功能，完全依賴于主機和主機網(wǎng)絡路由，Honeyd擁有強大的網(wǎng)絡模擬功能，不僅可以模擬整個路由方案（包括路由，跳數(shù)，延遲和丟包），還可以模擬每個模擬操作系統(tǒng)的網(wǎng)絡堆棧，它可以騙過Nmap和Xprobe指紋掃描程序，Honeyd可以讓單個實例看起來象是100個不同的操作系統(tǒng)，從這一點來看，其它蜜罐軟件是無法和Honeyd匹敵的。

但值得一提的是，大多數(shù)攻擊者不會做網(wǎng)絡指紋識別和分析，相反，他們只顧尋找某個端口，并迅速嘗試看它是否處于運行中，只有很少的時候攻擊者會運行指紋識別工具（如Nmap和Xprobe2），在這個時候，網(wǎng)絡堆棧模擬就很重要了。在絕大多數(shù)攻擊中，Honeyd周全的網(wǎng)絡模擬有點小題大做，但對于蜜罐狂人和管理員來說，這些都是基本功能，對其他大多數(shù)人而言，這并不是必需的。

警報和日志

如果沒有強大的警報和日志功能，蜜罐就沒有多大用處，不管是在傳感器上還是在中央控制臺上，所有蜜罐都會把連接嘗試作為警報，警報應該允許為每個傳感器，源IP地址，端口和入侵簽名設置臨界級別，雖然有些探測會比較可疑，但對蜜罐的所有探測都應被調(diào)查，源自更安全網(wǎng)絡的探測更應該引起注意，這可能意味著更嚴重的威脅，為此，一個在非政府網(wǎng)絡上部署蜜罐的國防工業(yè)用戶要求將來自遠程政府網(wǎng)絡的通信設為最高優(yōu)先級，如果探測源自更敏感的網(wǎng)絡，這個用戶希望他們的突發(fā)事件響應團隊可以立即得到通知，KFSensor在設置臨界級別方面提供了更豐富的功能，其次是Honeyd和HoneyPoint。

大多數(shù)蜜罐可以通過系統(tǒng)日志，電子郵件和Windows事件日志發(fā)送，所有警報都應該記錄到本地數(shù)據(jù)庫中，當然，如果能記錄到外部數(shù)據(jù)庫，尤其是支持SQL的數(shù)據(jù)庫，則應該加分，我考查的這三個蜜罐均支持調(diào)節(jié)警報消息，不至于一個探測事件（如一個端口掃描）就觸發(fā)數(shù)千封郵件發(fā)送給待命支持人員。

大多數(shù)蜜罐產(chǎn)品允許使用當前的警報調(diào)整未來的警報，通常用于過濾掉合法的通信，微調(diào)蜜罐是個費時的活，但一個好的蜜罐可以簡化這個過程，KFSensor在提煉警報方面提供了最大的靈活性，在任何警報上點擊右鍵，打開"訪問規(guī)則"窗口，在這里可以進行定制訪問規(guī)則，HoneyPoint和Honeyd也有過濾功能，但它們不是很靈活或容易實現(xiàn)。

報告

管理層一般都喜歡看到漂亮的報告和圖片，每個人都喜歡看到隨時間推移的發(fā)展趨勢，遺憾的是，我還沒有看到哪個蜜罐軟件內(nèi)置了強大的報告功能，HoneyPoint提供了10個報告，但都很簡單，我希望看到有更成熟的報告功能出現(xiàn)在流行蜜罐軟件中。

特異功能

蜜罐可以有一些奇怪的功能，一般都是為了獲取與攻擊者有關(guān)的更多信息，KFSensor在這三個蜜罐軟件中功能是最豐富的，但HoneyPoint的特異功能最多，HoneyPoint Trojans 和HoneyBees試圖提供虛假誘惑，如偽造的二進制程序，Web和電子郵件通信，MicroSolved希望在追蹤黑客時可以獲得更多的具體信息，我很懷疑它們的整體效果，但至少MicroSolved沒有提供工具打入遠程黑客的電腦，過去，一些蜜罐廠家就曾經(jīng)這么做過，攻擊攻擊者不僅是不道德的，在大多數(shù)國家，這種做法也是非法的，HoneyPoint Trojans和HoneyBees沒有越過這條線。

KFSensor一直是蜜罐領(lǐng)域公認的領(lǐng)導者角色，至今這一地位仍然沒有其它類似產(chǎn)品可以撼動，KFSensor也是本次考查的三個蜜罐軟件中操作最簡單，功能最豐富的，唯一的缺點是缺乏內(nèi)置報告，許多蜜罐，特別是具有分布式傳感器和企業(yè)級功能的蜜罐，可能擁有自己的報告工具和信息需求，盡管如此，一些最基本的報告也有一段很長的路要走，HoneyPoint提供了最基本的10個報告，Honeyd的開源社區(qū)貢獻了一些插件，提供了一些基本的報告功能，都遠遠不能滿足如今的需求。

HoneyPoint憑借多平臺支持，內(nèi)置報告，警報跟蹤和一些獨特的功能讓攻擊者的行蹤無處可藏，但不管是在功能上還是在易用性上，比KFSensor還是差一截，Honeyd可能是最靈活，最高效的蜜罐，但安裝和配置也最復雜，使用Linux/Unix的組織可能不會擔心這個挑戰(zhàn)，Honeyd憑借免費標簽吸引了大把用戶，它是最有潛力超越KFSensor的。雖然KFSensor只能安裝在Windows上，但它一樣可以模擬Linux/Unix環(huán)境中的端口和服務。

不管你選擇哪個蜜罐產(chǎn)品，或者即使你僅僅是用一臺舊電腦充當早期預警系統(tǒng)，在時間和金錢上適當投入，在安全上會更可靠，心態(tài)也會更平和，因為當你的防火墻，IDS，殺毒軟件或其它安全防御失效時，你的蜜罐總是會提醒你，建立一個簡單的蜜罐成本并不高，但可以筑起第二道防線。

作者：Roger A. Grimes

【編輯推薦】

1. 網(wǎng)絡安全基礎(chǔ)設施融合：你的策略是什么？
2. 17種網(wǎng)絡安全威脅大掃描
3. 配置IIS蜜罐來巧妙抵御黑客攻擊
4. 網(wǎng)絡安全必備工具一覽