蜜罐技術在校園網(wǎng)內(nèi)中的應用

2捕獲加密會話數(shù)據(jù)

為了觀察入侵者使用加密的會話，就必須找到破解加密會話的方法，不過許多組織已經(jīng)證明這是非常困難的。強攻不行就只能智取，加密的信息如果要使用就肯定會在某些地方不是被加密的，繞過加密進程就可以捕獲未加密的數(shù)據(jù)。這是解密工作的基本機制，然后獲得訪問未保護的數(shù)據(jù)。

使用二進制木馬程序是對付加密的一種辦法。當入侵者攻破蜜罐，他可能會使用如SSH的加密工具來登陸被攻陷的主機，登陸的時候肯定要輸入命令，這時木馬shell程序會記錄他們的動作。不過二進制木馬程序隱蔽性不高，而且入侵者可能會安裝他們自己的二進制程序。

從操作系統(tǒng)內(nèi)核訪問數(shù)據(jù)將是一個很好的捕獲方法。不管入侵者使用什么二進制程序，都可以從內(nèi)核捕獲數(shù)據(jù)并且可以記錄它們的行為。而且，由于用戶空間和內(nèi)核空間是分開的，所以在技術上還可以實現(xiàn)對所有包括root在內(nèi)的用戶隱藏自己的動作。

數(shù)據(jù)捕獲是由內(nèi)核模塊來完成的，所以要使用這個模塊獲得蜜罐機操作系統(tǒng)內(nèi)核空間的訪問，從而捕獲所有read()和write()的數(shù)據(jù)。捕獲模塊通過替換系統(tǒng)調(diào)用表的read()和write()函數(shù)來實現(xiàn)這個功能，這個替換的新函數(shù)只是簡單的調(diào)用老read()和write()函數(shù)，并且把內(nèi)容拷貝到一個數(shù)據(jù)包緩存。

3數(shù)據(jù)傳輸隱蔽通道的建立

當蜜罐捕獲到數(shù)據(jù)后，那么它需要在入侵者沒有察覺的情況下把數(shù)據(jù)發(fā)送到蜜網(wǎng)網(wǎng)關服務端。蜜罐通常都是布置在局域網(wǎng)內(nèi)，如果捕獲模塊只是簡單使用UDP流來給服務端發(fā)送數(shù)據(jù)，入侵者只需監(jiān)聽網(wǎng)絡上的數(shù)據(jù)傳輸就可以判斷是否有蜜罐系統(tǒng)的存在了。不過捕獲模塊還是可以使用UDP來給服務端發(fā)送數(shù)據(jù)，只不過它需要修改內(nèi)核使用戶無法看到這些數(shù)據(jù)包，包括其它主機發(fā)送的該類型使用相同配置的數(shù)據(jù)包。當捕獲模塊把這些數(shù)據(jù)發(fā)送到網(wǎng)絡的時候，操作系統(tǒng)也無法阻止這些數(shù)據(jù)包的傳輸。

如果一個局域網(wǎng)上每個蜜罐安裝了按照以上方法改進后的數(shù)據(jù)捕獲模塊，入侵者將不能發(fā)現(xiàn)任何捕獲模塊的數(shù)據(jù)，然而服務端能夠完全訪問這些由蜜罐客戶端捕獲的數(shù)據(jù)。每個read()或write()調(diào)用請求都會產(chǎn)生一個或多個日志數(shù)據(jù)包，每個數(shù)據(jù)包都包含了一點關于這個調(diào)用內(nèi)容的信息和這個調(diào)用訪問的數(shù)據(jù)。每個包還包含了一個記錄，這個記錄包含一些產(chǎn)生調(diào)用的進程描述、調(diào)用產(chǎn)生的時間和記錄數(shù)據(jù)的大小。

這些包完全由捕獲模塊產(chǎn)生，而不是使用TCP/IP協(xié)議棧來產(chǎn)生或發(fā)送數(shù)據(jù)包，所以系統(tǒng)無法看到或阻斷這些數(shù)據(jù)包。當數(shù)據(jù)包創(chuàng)建好的時候就直接發(fā)送給驅(qū)動設備，這就繞過了原始套接字代碼和包過濾代碼。由于嗅探器通常都是基于libpcap的，而libpcap使用原始套接字接口來收集數(shù)據(jù)包，所以嗅探器不能看到運行在蜜罐主機上由捕獲模塊產(chǎn)生的數(shù)據(jù)包。

同時還有一個要解決的問題，就是要阻止蜜罐A檢測到蜜罐B的捕獲到的數(shù)據(jù)包。使用以太交換不能解決這個問題，因為數(shù)據(jù)包不是通過ARP獲取目標IP地址對應的目標MAC地址，所以它對ARP欺騙有自然免疫能力。但是在有些情況下，A可以看到B的數(shù)據(jù)包，這樣入侵者就可以在蜜罐A運行嗅探器來看到局域網(wǎng)上來自蜜罐B的捕獲到的數(shù)據(jù)包。

為了解決這個問題，捕獲模塊的包產(chǎn)生機制應該實現(xiàn)自己獨特的原始套接字實現(xiàn)，從而實現(xiàn)安靜地忽略來自局域網(wǎng)中的其他蜜罐發(fā)送出數(shù)據(jù)包。在發(fā)送的數(shù)據(jù)包頭定義了預先設定的目標UDP端口和固有的特定數(shù)字，如果這兩個值都匹配了，那么這個數(shù)據(jù)包就會被忽略。這樣蜜罐A在收到蜜罐B的數(shù)據(jù)包時就會丟棄它們并且移到隊列里的下一個數(shù)據(jù)包，這使得入侵者用嗅探器也無法捕獲數(shù)據(jù)包。

校園網(wǎng)中蜜罐技術應用方案結論

針對傳統(tǒng)的蜜罐的局限性和缺點，出現(xiàn)了蜜網(wǎng)技術，蜜網(wǎng)是由許多用來與攻擊者進行交互的蜜罐組成的網(wǎng)絡。本文針對蜜網(wǎng)中蜜罐所面臨的問題：隱藏自身、加密會話數(shù)據(jù)捕獲以及和蜜網(wǎng)網(wǎng)關建立隱蔽數(shù)據(jù)傳輸通道，給出了詳細的解決方案。但同時也存在著一些不足，比如本文中所提到的隱藏蜜罐數(shù)據(jù)捕獲模塊和進程的方法，雖然達到了保護自身的目的，但也帶來了一些負面問題：

捕獲模塊被加載就再也無法卸載，root用戶再也無法找到它，一旦捕獲模塊中出現(xiàn)bug，由于無法管理，可能會引起內(nèi)核的不穩(wěn)定甚至系統(tǒng)崩潰等，這將會影響到蜜罐的正常工作，從而影響整個蜜網(wǎng)的性能。這些問題都有待進一步的。

【編輯推薦】

1. 實例解析蜜罐技術
2. 深入解析蜜罐技術之概念介紹
3. 解析蜜罐的配置模式和信息收集