基于蜜網技術的校園網絡安全防御研究

劉松

摘 要：當前，計算機網絡技術在校園中被普遍應用，校園網絡安全日益受到人們的重視。對此，對基于蜜網技術的校園網絡安全防御展開了研究，對蜜網技術進行了概述，并詳細介紹了校園網絡安全防御中蜜網技術的實現，旨在為有關方面提供幫助。

關鍵詞：蜜網技術；校園網絡；安全防御；數據控制

中圖分類號：TP393.18 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2016.16.092

隨著計算機網絡技術的不斷發展，計算機網絡技術已經深入到社會的方方面面中，計算機網絡安全也成為了社會廣泛關注的問題，而校園網絡安全問題更是人們關注的重點。在校園網絡安全防御系統中，應用蜜網技術能夠對已知和未知的新型入侵手段進行預警、有效地防護和主動預防，具有主動防御功能，能夠有效地保證校園網絡的安全。基于此，筆者對基于蜜網技術的校園網絡安全防御進行介紹。

1 蜜網技術

蜜網（Honeynet）技術是由Honeynet項目組（The Honeynet Project）提出并倡導的一種對攻擊行為進行捕獲和分析的新技術，從本質上來講，仍然是一種蜜罐技術。要成功地建立一個Honeynet，需要面臨數據控制、數據捕獲和數據分析3個問題。

數據控制代表一種規則，你必須能夠確定你的信息包能夠發送到什么地方。數據控制是對攻擊者在Honeynet中對第三方發起的攻擊行為進行限制的機制，用以降低部署Honeynet所帶來的安全風險。數據捕獲，即監控和記錄攻擊者在Honeynet內的所有行為，最大的挑戰在于搜集盡可能多的數據，而又不被攻擊者所察覺。數據分析則是對捕獲到的攻擊數據進行整理和融合，以輔助安全專家從中分析出這些數據背后蘊涵的攻擊工具、方法、技術和動機。

2 蜜罐技術在網絡安全防御中的實現

在本文的研究中，根據我院校園網絡環境的實際要求，通過使用虛擬軟件（VMWare）和物理計算機建立一個混合虛擬Honeynet，從而減少了物理計算機的需要。VMWare宿主主機（物理計算機）配置Honeywall網關和控制機，在主機中的虛擬機中配置2臺基于Linux和Windows的蜜罐，并使用一臺物理計算機部署為Windows的蜜罐。部署的虛擬Honeynet如圖1所示。

2.1 數據控制的實現

數據控制的策略主要是對流經系統的數據進行控制。首先，讓攻擊者順利進入并攻擊系統是部署虛擬Honeynet的目的之一，因此對流入的虛擬Honeynet的數據不作任何限制；然而，為了降低虛擬Honeynet的風險，防止攻擊者將虛擬Honeynet作為跳板攻擊其他正常系統，應對虛擬Honeynet外出的連接作流量限制，并且還要分析數據包抑制攻擊數據包的傳播。

在部署的Honeynet中，數據控制的第一個策略是將所有流向192.168.x.0/24的數據都導向Honeywall宿主主機。虛擬Honeynet中的2個蜜罐對于攻擊者是隱蔽的，攻擊者在攻擊時不知道哪個是真實的系統。在防火墻中，所有主機訪問校園內網路由器中192.168.0.x/24字段的數據均通過eth0導向Honeywall宿主主機（192.168.216.5），通過設置Iptables模塊完成數據流量導向，設置如下：

[root@hnroot]#Iptables-PINPUTDROP

[root@hnroot]#Iptables-PFORWARDDROP

[root@hnroot]#Iptables-POUTPUTACCEPT

[root@hnroot]#Iptables-AFORWARD-Ieth0-d192.168.0.2/24 -jACCEPT

數據控制的第二個策略是在部署的虛擬Honeynet中對流出的數據流量進行了限制，每分鐘流出的TCP、UDP、ICMP和其他協議數據包不超過20個，同時，防火墻是否將包發給Snort-inline，Snort-inline對已知攻擊包設置方式為Replace。如果流出數據流量超過20個/min或發現已知攻擊時，系統將通過Swatch產生Email報警發送給宿主主機（管理機）。具體實現如圖2數據控制機制所示。

2.2 數據捕獲的實現

數據捕獲是蜜網的一個重要目的。如果沒有捕獲到數據，那么蜜網只能是一堆浪費網絡帶寬、金錢的廢鐵而已。蜜網通過3個層次來捕獲數據，即Honeywall的日志記錄、Snort記錄的網絡流和Sebek捕獲的系統活動。

把蜜墻、Snort及sebek上收集到的數據捕獲，經過處理后放到數據庫和pcap文件中，為后續的數據分析提供資料。

2.2.1 Honeywall的日志記錄

Honeywall的日志可以輕松捕獲經過Honeywall的數據，通過配置rc.honeywall腳本就可以實現，在Honeywall日志記錄中的所有進入和外出的連接均被記錄到/var/log/messages。這樣可以從整體的角度來看系統干了些什么。

2.2.2 網絡原始數據流

Snort進程捕獲所有的網絡活動和內部網絡接口（eth1）的數據包的數據流量信息，包括所有用UDP包來發送的Sebek活動。當Snort運行在數據包記錄器模式下時，它會把所有抓取的數據包按IP分類存放到log_directory中。可用-h指定本地網絡，以使Snort記錄與本地網絡相關的數據包。命令如下：Snort-vde-llog_directory-h192.168.1.0/24.

2.2.3 Sebek捕獲的系統活動

雖然蜜罐對于攻擊者是不可見的，但是產生在蜜罐上的大量數據應被捕獲，Sebek就是一個在數據加密情況下進行數據捕獲的工具。Sebek有2個組成部分，即客戶端和服務端。客戶端安裝在虛擬Honeynet的蜜罐上，蜜罐里攻擊者行為被捕獲后發送到網絡（對攻擊者是不可見的），并且由Honeywall網關被動地收集。

在本次研究中，在Honeywall網關上自動配置了Sebek的服務端，在蜜罐192.168.0.4、蜜罐192.168.0.5和蜜罐192.168.0.6中配置了Sebek客戶端。

2.3 數據分析的實現

當數據捕獲后，如果不對其進行分析，則捕獲的數據沒有任何意義。在本文部署的Honeynet中，采用自動報警機制與輔助分析機制2種機制。Swatch工具為蜜網中的Snort日志文件與IPTables提供了視功能，同時在被攻擊時能夠發出自動報警。在蜜網中，主機被攻擊者攻陷，然后它會向外部發起連接，Swatch工具根據指定特征的配置文件進行匹配并自動向安全管理人員發出報警郵件。

2.4 對Honeypot的滲透攻擊

工作人員常用Metasploit來檢測系統的安全性。在linux平臺上，版本比較舊的samba服務的smbd守護進程由于對外部輸入缺少正確的邊界緩沖區檢查，遠程攻擊者可以利用這個漏洞以root用戶權限在系統上執行任意指令。本系統利用這個漏洞來滲透攻擊。安全漏洞檢測工具選擇開源免費的Metasploit。滲透攻擊步驟為：①在宿主主機上安裝Metasploit。②Metasploit滲透攻擊測試。將宿主主機的防火墻打開，使其能夠接收4444端口的連入。在Honeypot上開放samba服務，然后運行MSFConsole，輸入滲透攻擊命令，獲得反向shell。③對攻擊數據進行分析，驗證蜜網數據捕獲和分析功能。

漏洞滲透攻擊成功，我們通過Walleye分析工具來查看蜜網網關捕獲的數據和分析結果，發現數據記錄。

我們再看一下對攻擊數據包的解碼結果，可以看到有很長一段數據是重復的“A”或“0”。這是典型的緩沖區溢出的包的特征，可以判斷這是一次緩沖區溢出的攻擊。

攻擊結果是得到了一個反向的Shell。在這里，輸入ls和cd命令僅作為測試，可以看到有相應的結果輸出。

本文詳細介紹了蜜罐技術三大核心機制（數據控制、數據捕獲和數據分析）的實現，通過在校園內網中的實際攻擊測試，驗證了所部署的蜜網對這些攻擊測試數據的捕獲和分析能力。結果證明，本次部署的各功能均達到了預期效果。只要進行簡單設置調整，就可以廣泛應用于實際互聯網中，從而降低網絡被攻擊的概率。

3 結束語

綜上所述，蜜網技術在校園網絡安全防御系統中的應用能夠檢測出一些已知和未知的入侵，并采取主動防御措施對這些入侵進行有效的阻止和抑制，從而有效地保證校園網絡的安全，提高網絡安全防御系統的防御功能。因此，蜜網技術值得在類似的網絡安全防御系統中推廣應用。

參考文獻

[1]趙宏，王靈霞.基于蜜罐技術的校園網絡安全防御系統設計與實現[J].自動化與儀器儀表，2015（03）.

[2]薛飛.蜜網設計及其在校園網應用研究[J].科教文匯（中旬刊），2015（12）.

〔編輯：劉曉芳〕