基于蜜網技術的校園網數據控制的實現

摘 要：數據控制主要是對于流經系統的數據包進行控制，這一蜜網系統的第一核心功能是由蜜網網關Honeywall實現的。數據控制的策略是對于流入系統的數據不做任何限制，使得非法入侵者能夠順利攻入系統，非法入侵者的任何的掃描、探測、連接對于Honeynet來說都是受歡迎的，它們正是我們蜜網系統需要捕獲的對象。對于流出系統的數據則要進行嚴格的控制，防止非法入侵者攻入系統后把系統作為跳板發送非法信息或者入侵其他的機器，同時我們還要盡可能的做到讓非法入侵者不會察覺自己已經被監控。

關鍵詞：數據控制；入侵包抑制

我們采用入侵包抑制和連接數限制兩種方式進行嚴格控制。這樣數據控制其實是解決兩個方面的問題，一是對外連接數限制，一是入侵包抑制。只有連接數限制是不夠的，因為在連接數所允許的范圍內放行的少量數據包有可能是有害的入侵數據包，一旦這些數據包通過網關流出到校園網絡中，我們的安全系統也便成為了入侵源，會對整個校園網絡造成威脅甚至是很大的破壞，因此對這些數據包內容要進行檢測，即不僅要使用對外連接數限制還要使用入侵包抑制手段來進行數據控制。

1 對外連接數限制

對外連接數限制我們是通過Honeywall的防火墻Iptables來實現的，主要是針對網絡掃描和Ddos入侵等入侵活動。部署者事先設置防火墻，設定蜜罐主機在單位時間內可允許向外發起的連接數，如果非法入侵者利用攻破的蜜罐向外發起掃描及Ddos入侵等，這時Iptables將按照事先設置的規則對超出連接數限制上限的數據包進行丟棄或修改，將其記錄在防火墻日志上，中斷其以后的連接，另外還可以通過響應模塊進行報警來通知和提醒安全人員，從而避免對其他網絡造成危害。

具體的做法是利用Iptables的-mlimit-limit來實現外出連接數限制功能，通過limit我們可以事先設置各種類型協議的連接數據限制規則，來限制外出連接數的上限，指定單位時間內所允許的最大連接數，單位時間可以使秒、分鐘、小時等，單位時間內（周期），外出連接數超出限制最大值則把相關信息記錄在防火墻日志文件中，并發出警告通知安全人員，Iptables則可以根據事先定制的規則選擇丟棄或修改這些數據包。通過limit可以控制各種類型協議的數據包發送，如常見的TCP，UDP，ICMP包。外出連接數的限制規則通過c.firewall腳本文件實現，如下圖所示規則：

通過設置這樣的連接數限制規則，就可以很好地限制對外連接數量。

通過Honeywall的字符界面直接使用命令行來實現這一功能，如我們可以通過限制TCP包的連接，UDP、ICMP等數據包也一樣。通過管理機Web管理界面遠程設置，這種方法相對前兩種較為簡單。

2 入侵包抑制

入侵包抑制主要針對那些沒超出外出連接數限制最大值的數據包，按照數據控制規則，這也數據包符合放行條件，但是它們卻有可能是有害的惡意入侵包，有些入侵方法使用很少的連接便可以發起入侵，如權限提升入侵等，之所以這樣是因為這些數據在通過防火墻時只是進行了連接數的限制，并沒有檢測數據包的內容，無法辨別數據包是否有害。

在Honeywall中使用入侵檢測snort-inline工具作為入侵包抑制器，利用特征檢測來檢測現有的已知的惡意數據包。從系統出境的數據一般都要通過snort-inline的檢測無異常后才能放行，當然這也不能完全杜絕惡意數據包通過，因為不包含在snort-inline規則庫里的任何數據包依然是能夠通過的。值得一提的是，Snort_inline并不知道如何充當路由器的功能，必需借助于和IPTables的交互才能完成，通過IPTables的QUEUE選項把數據包發送給Snort_inline進行檢測。入侵包抑制策略能最大限度的提高校園網絡的安全性，降低部署蜜網系統的安全風險，當然也并不能夠完全消除，某些特殊情況還是需要人工干預。整個數據控制策略如下圖所示。

參考文獻

[1]劉松.基于蜜網技術的校園網絡安全防御研究[J].科技與創新，2016，（16）：92-93.

[2]王龍江.基于蜜網技術的校園網安全系統的研究與實現[D].安徽大學，2011.

（作者單位：宿州職業技術學院）