蜜罐的配置模式

① 誘騙服務(wù)（deception service）

誘騙服務(wù)是指在特定的IP服務(wù)端口幀聽并像應(yīng)用服務(wù)程序那樣對(duì)各種網(wǎng)絡(luò)請(qǐng)求進(jìn)行應(yīng)答的應(yīng)用程序。DTK就是這樣的一個(gè)服務(wù)性產(chǎn)品。DTK吸引攻擊者的詭計(jì)就是可執(zhí)行性，但是它與攻擊者進(jìn)行交互的方式是模仿那些具有可攻擊弱點(diǎn)的系統(tǒng)進(jìn)行的，所以可以產(chǎn)生的應(yīng)答非常有限。在這個(gè)過程中對(duì)所有的行為進(jìn)行記錄，同時(shí)提供較為合理的應(yīng)答，并給闖入系統(tǒng)的攻擊者帶來系統(tǒng)并不安全的錯(cuò)覺。例如，當(dāng)我們將誘騙服務(wù)配置為FTP服務(wù)的模式。當(dāng)攻擊者連接到TCP/21端口的時(shí)候，就會(huì)收到一個(gè)由蜜罐發(fā)出的FTP的標(biāo)識(shí)。如果攻擊者認(rèn)為誘騙服務(wù)就是他要攻擊的FTP，他就會(huì)采用攻擊FTP服務(wù)的方式進(jìn)入系統(tǒng)。這樣，系統(tǒng)管理員便可以記錄攻擊的細(xì)節(jié)。

② 弱化系統(tǒng)（weakened system）

只要在外部因特網(wǎng)上有一臺(tái)計(jì)算機(jī)運(yùn)行沒有打上補(bǔ)丁的微軟Windows或者Red Hat Linux即行。這樣的特點(diǎn)是攻擊者更加容易進(jìn)入系統(tǒng)，系統(tǒng)可以收集有效的攻擊數(shù)據(jù)。因?yàn)楹诳涂赡軙?huì)設(shè)陷阱，以獲取計(jì)算機(jī)的日志和審查功能，需要運(yùn)行其他額外記錄系統(tǒng)，實(shí)現(xiàn)對(duì)日志記錄的異地存儲(chǔ)和備份。它的缺點(diǎn)是“高維護(hù)低收益”。因?yàn)?，獲取已知的攻擊行為是毫無意義的。

③ 強(qiáng)化系統(tǒng)（hardened system）

強(qiáng)化系統(tǒng)同弱化系統(tǒng)一樣，提供一個(gè)真實(shí)的環(huán)境。不過此時(shí)的系統(tǒng)已經(jīng)武裝成看似足夠安全的。當(dāng)攻擊者闖入時(shí)，蜜罐就開始收集信息，它能在最短的時(shí)間內(nèi)收集最多有效數(shù)據(jù)。用這種蜜罐需要系統(tǒng)管理員具有更高的專業(yè)技術(shù)。如果攻擊者具有更高的技術(shù)，那么，他很可能取代管理員對(duì)系統(tǒng)的控制，從而對(duì)其它系統(tǒng)進(jìn)行攻擊。

④用戶模式服務(wù)器（user mode server）

用戶模式服務(wù)器實(shí)際上是一個(gè)用戶進(jìn)程，它運(yùn)行在主機(jī)上，并且模擬成一個(gè)真實(shí)的服務(wù)器。在真實(shí)主機(jī)中，每個(gè)應(yīng)用程序都當(dāng)作一個(gè)具有獨(dú)立IP地址的操作系統(tǒng)和服務(wù)的特定是實(shí)例。而用戶模式服務(wù)器這樣一個(gè)進(jìn)程就嵌套在主機(jī)操作系統(tǒng)的應(yīng)用程序空間中，當(dāng)INTERNET用戶向用戶模式服務(wù)器的IP地址發(fā)送請(qǐng)求，主機(jī)將接受請(qǐng)求并且轉(zhuǎn)發(fā)到用戶模式服務(wù)器上。（我們用這樣一個(gè)圖形來表示一下他們之間的關(guān)系）：這種模式的成功與否取決于攻擊者的進(jìn)入程度和受騙程度。它的優(yōu)點(diǎn)體現(xiàn)在系統(tǒng)管理員對(duì)用戶主機(jī)有絕對(duì)的控制權(quán)。即使蜜罐被攻陷，由于用戶模式服務(wù)器是一個(gè)用戶進(jìn)程，那么Administrator只要關(guān)閉該進(jìn)程就可以了。另外就是可以將FIREWALL,IDS集中于同一臺(tái)服務(wù)器上。當(dāng)然，其局限性是不適用于所有的操作系統(tǒng)。

蜜罐的信息收集

當(dāng)我們察覺到攻擊者已經(jīng)進(jìn)入蜜罐的時(shí)候，接下來的任務(wù)就是數(shù)據(jù)的收集了。數(shù)據(jù)收集是設(shè)置蜜罐的另一項(xiàng)技術(shù)挑戰(zhàn)。蜜罐監(jiān)控者只要記錄下進(jìn)出系統(tǒng)的每個(gè)數(shù)據(jù)包，就能夠?qū)诳偷乃魉鶠橐磺宥?。蜜罐本身上面的日志文件也是很好的?shù)據(jù)來源。但日志文件很容易被攻擊者刪除，所以通常的辦法就是讓蜜罐向在同一網(wǎng)絡(luò)上但防御機(jī)制較完善的遠(yuǎn)程系統(tǒng)日志服務(wù)器發(fā)送日志備份。（務(wù)必同時(shí)監(jiān)控日志服務(wù)器。如果攻擊者用新手法闖入了服務(wù)器，那么蜜罐無疑會(huì)證明其價(jià)值。）

近年來，由于黑帽子群體越來越多地使用加密技術(shù)，數(shù)據(jù)收集任務(wù)的難度大大增強(qiáng)。如今，他們接受了眾多計(jì)算機(jī)安全專業(yè)人士的建議，改而采用SSH等密碼協(xié)議，確保網(wǎng)絡(luò)監(jiān)控對(duì)自己的通訊無能為力。蜜網(wǎng)對(duì)付密碼的計(jì)算就是修改目標(biāo)計(jì)算機(jī)的操作系統(tǒng)，以便所有敲入的字符、傳輸?shù)奈募捌渌畔⒍加涗浀搅硪粋€(gè)監(jiān)控系統(tǒng)的日志里面。因?yàn)楣粽呖赡軙?huì)發(fā)現(xiàn)這類日志，蜜網(wǎng)計(jì)劃采用了一種隱蔽技術(shù)。譬如說，把敲入字符隱藏到NetBIOS廣播數(shù)據(jù)包里面。

上一篇：蜜罐技術(shù)之概念介紹

下一篇：實(shí)例解析蜜罐技術(shù)

【編輯推薦】

1. 防病毒的未來在“云”中
2. 該如何防治快里藏刀閃盤病毒 
3. 病毒橫行 網(wǎng)購(gòu)人群成主要受害者