蜜罐的實(shí)際例子

下面我們以Redhat linux 9.0為平臺，做一個簡單的蜜罐陷阱的配置。

我們知道，黑客一旦獲得root口令，就會以root身份登錄，這一登錄過程就是黑客入侵的必經(jīng)之路。其二，黑客也可能先以普通用戶身份登錄，然后用su命令轉(zhuǎn)換成root身份，這又是一條必經(jīng)之路。

我們討論如何在以下情況下設(shè)置陷阱：

(1)當(dāng)黑客以root身份登錄時；

(2)當(dāng)黑客用su命令轉(zhuǎn)換成root身份時；

(3)當(dāng)黑客以root身份成功登錄后一段時間內(nèi)；

第一種情況的陷阱設(shè)置

一般情況下，只要用戶輸入的用戶名和口令正確，就能順利進(jìn)入系統(tǒng)。如果我們在進(jìn)入系統(tǒng)時設(shè)置了陷阱，并使黑客對此防不勝防，就會大大提高入侵的難度系數(shù)。例如，當(dāng)黑客已獲取正確的root口令，并以root身份登錄時，我們在此設(shè)置一個迷魂陣，提示它，你輸入的口令錯誤，并讓它重輸用戶名和口令。而其實(shí)，這些提示都是虛假的，只要在某處輸入一個密碼就可通過。黑客因此就掉入這個陷阱，不斷地輸入root用戶名和口令，卻不斷地得到口令錯誤的提示，從而使它懷疑所獲口令的正確性，放棄入侵的企圖。

給超級用戶也就是root用戶設(shè)置陷阱，并不會給系統(tǒng)帶來太多的麻煩，因?yàn)?，擁有root口令的人數(shù)不會太多，為了系統(tǒng)的安全，稍微增加一點(diǎn)復(fù)雜性也是值得的。這種陷阱的設(shè)置時很方便的，我們只要在root用戶的.profile中加一段程序就可以了。我們完全可以在這段程序中觸發(fā)其他入侵檢測與預(yù)警控制程序。陷阱程序如下：

# root .profile  
 
Clear  
 
Echo “You had input an error password , please input again !”  
 
Echo  
 
Echo –n “Login:”  
 
Read p  
 
If ( “$p” = “123456”) then  
 
Clear  
 
Else  
 
Exit 

第二種情況的陷阱設(shè)置

在很多情況下，黑客會通過su命令轉(zhuǎn)換成root身份，因此，必須在此設(shè)置陷阱。當(dāng)黑客使用su命令，并輸入正確的root口令時，也應(yīng)該報(bào)錯，以此來迷惑它，使它誤認(rèn)為口令錯誤，從而放棄入侵企圖。這種陷阱的設(shè)置也很簡單，你可以在系統(tǒng)的/etc/profile文件中設(shè)置一個alias，把su命令重新定義成轉(zhuǎn)到普通用戶的情況就可以了，例如alias su=”su user1”。這樣，當(dāng)使用su時，系統(tǒng)判斷的是user1的口令，而不是root的口令，當(dāng)然不能匹配。即使輸入su root也是錯誤的，也就是說，從此屏蔽了轉(zhuǎn)向root用戶的可能性。

第三種情況的陷阱設(shè)置

如果前兩種設(shè)置都失效了，黑客已經(jīng)成功登錄，就必須啟用登錄成功的陷阱。一旦root用戶登錄，就可以啟動一個計(jì)時器，正常的root登錄就能停止計(jì)時，而非法入侵者因不知道何處有計(jì)時器，就無法停止計(jì)時，等到一個規(guī)定的時間到，就意味著有黑客入侵，需要觸發(fā)必要的控制程序，如關(guān)機(jī)處理等，以免造成損害，等待系統(tǒng)管理員進(jìn)行善后處理。陷阱程序如下：

# .testfile  
 
times=0 
 
while [ $times –le 30 ] do  
 
sleep 1  
 
times=$[times + 1]  
 
done  
 
halt /* 30秒時間到，觸發(fā)入侵檢測與預(yù)警控制 */ 

將該程序放入root .bashrc中后臺執(zhí)行：

# root . bashrc  
 
….  
 
Sh .testfile& 

該程序不能用Ctrl-C終止，系統(tǒng)管理員可用jobs命令檢查到，然后用kill %n將它停止。

從上述三種陷阱的設(shè)置，我們可以看到一個一般的規(guī)律：改變正常的運(yùn)行狀態(tài)，設(shè)置虛假信息，使入侵者落入陷阱，從而觸發(fā)入侵檢測與預(yù)警控制程序。

關(guān)鍵技術(shù)設(shè)計(jì)

自蜜罐概念誕生之日起，相關(guān)技術(shù)一直在長足的發(fā)展。到今天為止，蜜罐技術(shù)應(yīng)用的最高度應(yīng)該說是Honeynet技術(shù)的實(shí)現(xiàn)。

蜜罐技術(shù)總結(jié)

蜜罐技術(shù)的發(fā)展也是伴隨著各種不同的觀點(diǎn)而不斷的成長的。蜜罐技術(shù)是通過誘導(dǎo)讓黑客們誤入歧途，消耗他們的精力，為我們加強(qiáng)防范贏得時間。通過蜜網(wǎng)讓我們在受攻擊的同時知道誰在使壞，目標(biāo)是什么。同時也檢驗(yàn)我們的安全策略是否正確，防線是否牢固，蜜罐的引入使我們與黑客之間同處于相互斗智的平臺counter-intelligence,而不是處處遭到黑槍的被動地位。我們的網(wǎng)絡(luò)并不安全，IDS，F(xiàn)IREWALL，Encryption技術(shù)都有其缺陷性，我們期待它們與蜜罐的完美結(jié)合，那將是對網(wǎng)絡(luò)安全的最好禮物。我們完全相信，蜜罐技術(shù)必將在網(wǎng)絡(luò)安全中發(fā)揮出極其重要的作用，一場世界上聲勢浩大的蜜罐技術(shù)行動必將到來。

上一篇：實(shí)例解析蜜罐技術(shù)

【編輯推薦】

1. 防病毒的未來在“云”中
2. 該如何防治快里藏刀閃盤病毒 
3. 病毒橫行 網(wǎng)購人群成主要受害者