基于蜜罐技術的網絡安全方案設計

摘要：蜜罐技術能及時發現網絡入侵、記錄入侵過程并能保存入侵記錄而在網絡安全中越來越受到重視。蜜罐作為一種“誘騙”和“延緩攻擊”手段是有效的，但在實施中存在成本過高、攻擊過程不易監控、過程日志不易保存等問題。蜜網技術完善了蜜罐技術，部署的安全系統對入侵者來說更具有迷惑性，更易于保存記錄、監控與分析入侵過程。利用VMware實現蜜網技術是最為經濟并且有效的方法。

關鍵詞：網絡安全；蜜罐技術；蜜網技術；入侵檢測；虛擬機；VMware

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)29-0340-02

The Project Design of Honeypot Deployment Based on Network Security

SHI Ze-quan

(Department of Computer Science，Chongqing Vocational Institute Engineering，Chongqing 400037，China)

Abstract: Honey pot technology to detect intrusion， recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions， just like cost too high， the attack process not to be easy to monitor， and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology， the deployment of the security system， it is more confusing， more easily record-keeping，monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.

Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware

計算機及其網絡技術的應用已深入各行各業，特別是企事業單位的日常管理工作更是緊密依賴網絡資源?；诖?，保證網絡的正常運行就顯得尤為重要。目前，廣泛采用的安全措施是在企業局域網里布設網絡防火墻、病毒防火墻、入侵檢測系統，同時在局域網內設置服務器備份與數據備份系統等方案。而這些安全網絡防火墻、入侵檢測系統真能有效地保證系統的安全嗎？做到了這一切系統管理員就能高枕無憂了嗎？

1 問題的提出

圖1為現實中常用的二層網絡拓撲結構圖。從圖中可以看出，網絡防火墻與入侵檢測系統（IDS）均部署在網絡入口處，即防火墻與入侵檢測系統所阻擋是外網用戶對系統的入侵，但是對于內網用戶來說，內部網絡是公開的，所有的安全依賴于操作系統本身的安全保障措施提供。對一般的用戶來講，內網通常是安全的，即是說這種設計的對于內網的用戶應該是可信賴的。然而對于諸如校園網的網絡系統，由于操作者基本上都是充滿強烈好奇心而又具探索精神的學生，同時還要面對那些極少數有逆反心理、強烈報復心的學生，這種只有操作系統安全性作為唯一一道防線的網絡系統的可信賴程度將大打折扣。

另一方面，有經驗的網絡管理員都知道，網絡中設置了防火墻與入侵檢測系統并不能從根本上解決網絡的安全問題（最安全的方法只能是把網絡的網線撥了），只能對網絡攻擊者形成一定的阻礙并延長其侵入時間。操作者只要有足夠的耐心并掌握一定的攻擊技術，這些安全設施終有倒塌的可能。

所以，如何最大可能地延長入侵者攻擊網絡的時間？如何在入侵雖已發生但尚未造成損失時及時發現入侵？避開現有入侵檢測系統可以偵測的入侵方式而采用新的入侵方式進行入侵時，管理者又如何發現？如何保留入侵者的證據并將其提交有關部門？這些問題都是網絡管理者在安全方面需要經常思考的問題。正是因為上述原因，蜜罐技術應運而生。

2 蜜罐技術簡介

蜜罐技術的研究起源于上世紀九十年代初。蜜罐技術專家L．Spitzner對蜜罐是這樣定義的：蜜罐是一個安全系統，其價值在于被掃描、攻擊或者攻陷。即意味著蜜罐是一個包含漏洞的誘騙系統。它是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統的人設計的。它通過模擬一個或多個有漏洞的易受攻擊的主機，給攻擊者提供十分容易受攻擊的目標。

如圖2所示，蜜罐與正常的服務器一樣接入核心交換機，并安裝相應的操作系統和數據庫管理系統，配置相應的網絡服務，故意存放“有用的”但已過時的或可以公開的數據。甚至可以將蜜罐服務器配置成接入網絡即組成一臺真正能提供應用的服務器，只是注意將蜜罐操作系統的安全性配置成低于正常的應用服務器的安全性，或者故意留出一個或幾個最新發現的漏洞，以便達到“誘騙”的目的。

正常配置的蜜罐技術一旦使用，便可發揮其特殊功能。

1) 由于蜜罐并沒有向外界提供真正有價值的服務，正常情況下蜜罐系統不被訪問，因此所有對其鏈接的嘗試都將被視為可疑的，這樣蜜罐對網絡常見掃描、入侵的反應靈敏度大大提高，有利于對入侵的檢測。

2) 蜜罐的另一個用途是拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。如圖二， 正常提供服務的服務器有4個，加入4個蜜罐，在攻擊者看來，服務器有8個，其掃描與攻擊的對象也增加為8個，所以大大減少了正常服務器受攻擊的可能性。同時，由于蜜罐的漏洞多于正常服務器，必將更加容易吸引攻擊者注意，讓其首先將時間花在攻擊蜜罐服務器上。蜜罐服務器靈敏的檢測并及時報警，這樣可以使網絡管理員及時發現有攻擊者入侵并及時采取措施，從而使最初可能受攻擊的目標得到了保護，真正有價值的內容沒有受到侵犯。

3) 由于蜜罐服務器上安裝了入侵檢測系統，因此它可以及時記錄攻擊者對服務器的訪問，從而能準確地為追蹤攻擊者提供有用的線索，為起訴攻擊者搜集有效的證據。從這個意義上說，蜜罐就是“誘捕”攻擊者的一個陷阱。

經過多年的發展，蜜罐技術已成為保護網絡安全的切實有效的手段之一。對企事關單位業務數據處理，均可以通過部署蜜罐來達到提高其安全性的目的。

3 蜜罐與蜜網技術

蜜罐最初應用是真正的主機與易受攻擊的系統，以獲取黑客入侵證據、方便管理員提前采取措施與研究黑客入侵手段。1998年開始，蜜罐技術開始吸引了一些安全研究人員的注意，并開發出一些專門用于欺騙黑客的開放性源代碼工具，如Fred Cohen所開發的DTK（欺騙工具包）、Niels Provos開發的Honeyd等，同時也出現了像KFSensor、Specter等一些商業蜜罐產品。

這一階段的蜜罐可以稱為是虛擬蜜罐，即開發的這些蜜罐工具能夠模擬成虛擬的操作系統和網絡服務并對黑客的攻擊行為做出回應，從而欺騙黑客。虛擬蜜罐工具的出現也使得部署蜜罐變得比較方便。但是由于虛擬蜜罐工具存在著交互程度低、較容易被黑客識別等問題。從2000年之后，安全研究人員更傾向于使用真實的主機、操作系統和應用程序搭建蜜罐，與之前不同的是，融入了更強大的數據捕獲、數據分析和數據控制的工具，并且將蜜罐納入到一個完整的蜜網體系中．使得研究人員能夠更方便地追蹤侵入到蜜網中的黑客并對他們的攻擊行為進行分析。

蜜網技術的模型如圖3所示。由圖中可以看出，蜜網與蜜罐最大的差別在于系統中多布置了一個蜜網網關（honeywall）與日志服務器。其中蜜網網關僅僅作為兩個網絡的連接設備，因此沒有MAC地址，也不對任何的數據包進行路由及對TTL計數遞減。蜜網網關的這種行為使得攻擊者幾乎不可能能覺察到它的存在。任何發送到蜜網內的機器的數據包都會經由Honeywall網關，從而確保管理員能捕捉和控制網絡活動。而日志服務器則記錄了攻擊者在蜜罐機上的所有的行為以便于對攻擊者的行為進行分析，并對蜜罐機上的日志進行備份以保留證據。這樣攻擊者并不會意識到網絡管理員正在監視著他，捕獲的行為也使管理員掌握了攻擊者使用的工具、策略和動機。

4 蜜罐部署

由前述內容可以看出，蜜罐服務器布置得越多，應用服務器被掃描與攻擊的風險則越小，但同時系統成本將大幅度提高，管理難度也加大。正因為如此，實際中蜜罐的部署是通過虛擬計算系統來完成的。

當前在Windows平臺上流行的虛擬計算機系統主要有微軟的Virtual Pc與Vmware。以Vmware為例，物理主機配置兩個網卡，采用Windows2000或Windows XP操作系統，并安裝VMwar。建立一臺虛擬機作為蜜網網關，此虛擬機設置三個虛擬網卡（其虛擬網卡類型見圖4），分別連接系統工作網、虛擬服務器網與監控服務器。虛擬服務器網根據物理主機內存及磁盤空間大小可虛擬多個服務器并安裝相應的操作系統及應用軟件，以此誘惑黑客攻擊。蜜網服務器用于收集黑客攻擊信息并保留證據。系統拓撲結構如圖4所示。

系統部署基本過程如下：

4.1 主機硬件需求

CPU：Pentium 4 以上CPU，雙核更佳。

硬盤：80G以上，視虛擬操作系統數量而定。

內存：1G以上，其中蜜網軟件Honeywall至少需要256M以上。其它視虛擬操作系統數量而定。（下轉第346頁）

（上接第341頁）

網卡：兩個，其中一個作為主網絡接入，另一個作為監控使用。

其它設備：視需要而定

4.2 所需軟件

操作系統安裝光盤：Windows 2000或Windows 2003；

虛擬機軟件：VMware Workstation for Win32；

蜜網網關軟件：Roo Honeywall CDROM v1.2，可從蜜網項目組網站（一個非贏利國際組織，研究蜜網技術，網址為http://www.honeynet.org）下載安裝光盤。

4.3 安裝過程

1）安裝主機操作系統。

2) 安裝虛擬機軟件。

3) 構建虛擬網絡系統。其中蜜網網關虛擬類型為Linux，內存分配為256M以上，最好為512M，硬盤空間為4G以上，最好為10G。網卡三個，分別設為VMnet0、VMnet1和VMnet2，如圖4所示。

4) 在蜜網網關機上安裝honeywall，配置IP信息、管理信息等。

5) 在蜜網網關機上配置Sebek服務器端，以利用蜜網網關收集信息。

6) 安裝虛擬服務器組，并布設相應的應用系統。注意虛擬服務器組均配置為VMnet1，以使其接入蜜網網關機后。

7) 在虛擬服務器組上安裝并配置sebek客戶端。

8) 通過監控機的瀏覽器測試蜜網網關數據。

總之，虛擬蜜網系統旨在利用蜜網網關的數據控制、數據捕獲和數據分析等功能，通過對蜜網防火墻的日志記錄、eth1上的嗅探器記錄的網絡流和Sebek 捕獲的系統活動，達到分析網絡入侵手段與方法的目的，以利于延緩網絡攻擊、改進網絡安全性的目的。

參考文獻：

[1] 王連忠.蜜罐技術原理探究[J].中國科技信息，2005(5):28.

[2] 牛少彰，張 瑋. 蜜罐與蜜網技術[J].通信市場，2006(12):64-65.

[3] 殷聯甫.主動防護網絡入侵的蜜罐(Honeypot)技術[J].計算機應用，2004(7):29-31.

[4] 葉飛.蜜罐技術淺析[J].網絡安全技術與應用.2007(5):36-37.

[5] 杜顏輝.利用蜜罐技術實現對互聯網非法活動進行監控[J].中國人民公安大學學報:自然科學版，2007，13(4):78-80.

[6] 粱建明，孫德榮.基于honeyd的蜜罐系統研究[J].成都大學學報:自然科學版，2007:26(2):119-121.