基于物聯(lián)網(wǎng)蜜罐的主動(dòng)防御研究與應(yīng)用

◆陳偉

（中國電子科技集團(tuán)公司第五十八研究所 江蘇 214000）

嵌入式Linux 因其優(yōu)異的性能，多CPU 架構(gòu)的支持，可裁剪，可配置，豐富的軟件資源及活躍的社區(qū)支持，越來越廣泛地應(yīng)用于邊緣計(jì)算、機(jī)器視覺、數(shù)字孿生等物聯(lián)網(wǎng)設(shè)備中，是收集、生產(chǎn)、處理和傳輸有價(jià)值數(shù)據(jù)的實(shí)際載體，而未加安全防范的嵌入式Linux 設(shè)備的漏洞和攻擊點(diǎn)無處不在，成為惡意攻擊的重要目標(biāo)[1]。利用Shodan搜索引擎，可以發(fā)現(xiàn)大量的基于嵌入式Linux 系統(tǒng)的IPC、NVR、NAS、打印機(jī)、路由器等設(shè)備以默認(rèn)密碼、弱密碼或空密碼的形式暴露在互聯(lián)網(wǎng)上，時(shí)刻遭受被入侵的威脅。物聯(lián)網(wǎng)蜜罐技術(shù)通過構(gòu)建安全可控的誘餌環(huán)境，主動(dòng)引誘入侵者攻擊，捕捉入侵者信息并進(jìn)行入侵行為審計(jì)，為后續(xù)的攻擊組織畫像及溯源工作提供情報(bào)支撐，同時(shí)與具有真實(shí)服務(wù)的物聯(lián)網(wǎng)設(shè)備建立情報(bào)共享，及時(shí)阻斷入侵行為，盡可能地減少損失。

1 物聯(lián)網(wǎng)蜜罐定義

物聯(lián)網(wǎng)蜜罐是指以物聯(lián)網(wǎng)計(jì)算、網(wǎng)絡(luò)、感知及執(zhí)行等資源為誘餌，部署于真實(shí)物聯(lián)網(wǎng)設(shè)備周邊，具有物聯(lián)網(wǎng)安全威脅發(fā)現(xiàn)、捕獲、分析和告警功能，保護(hù)真實(shí)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)欺騙技術(shù)[2]。區(qū)別于常規(guī)蜜罐，物聯(lián)網(wǎng)蜜罐硬件平臺(tái)多源異構(gòu)，例如基于不同的CPU 架構(gòu)（ARM64、ARMv7、MIPS32）、運(yùn)行不同的操作系統(tǒng)（Ubuntu-core、Debian、Fedora IoT）以及具有多樣的硬件資源（LTE、Wi-Fi、Ethernet、RS232、RS485），使得物聯(lián)網(wǎng)蜜罐誘餌環(huán)境多樣化，通用性有所限制。雖然物聯(lián)網(wǎng)蜜罐誘餌環(huán)境多樣，架構(gòu)封閉且構(gòu)建難度高，但由于物聯(lián)網(wǎng)蜜罐改變了傳統(tǒng)入侵防御的被動(dòng)局面，其所帶來的優(yōu)勢(shì)也是顯而易見的[3]。

2 物聯(lián)網(wǎng)蜜罐結(jié)構(gòu)形態(tài)

物聯(lián)網(wǎng)蜜罐組成結(jié)構(gòu)主要分為誘餌模塊、數(shù)據(jù)處理模塊、安全控制模塊3 個(gè)部分。

誘餌模塊實(shí)現(xiàn)與入侵者交互的系統(tǒng)資源或服務(wù)，用于吸引和誘惑入侵者，主要分為3 個(gè)部分：

（1）建立誘餌環(huán)境，包含一些生產(chǎn)服務(wù)所需的且存在安全漏洞的應(yīng)用，如使用弱密碼的SSH、Telnet 以及未加安全防范的HTTP、MySQL 服務(wù)等。

（2）建立盡可能真實(shí)且可交互的系統(tǒng)環(huán)境，包括文件系統(tǒng)環(huán)境、程序執(zhí)行環(huán)境、底層硬件環(huán)境甚至網(wǎng)絡(luò)環(huán)境，如模擬出系統(tǒng)的文件系統(tǒng)信息、進(jìn)程信息、網(wǎng)絡(luò)狀態(tài)等。

（3）建立物聯(lián)網(wǎng)設(shè)備的業(yè)務(wù)模型，包括物聯(lián)網(wǎng)設(shè)備的物理信息感知、執(zhí)行器的物理操作和狀態(tài)變化。

3 主動(dòng)防御系統(tǒng)實(shí)現(xiàn)

3.1 物聯(lián)網(wǎng)蜜罐部署

我們使用HFish 作為物聯(lián)網(wǎng)蜜罐框架，HFish 是一款基于Golang開發(fā)的跨平臺(tái)輕量級(jí)多功能主動(dòng)誘導(dǎo)型蜜罐平臺(tái)，非常適合于基于嵌入式Linux 系統(tǒng)的物聯(lián)網(wǎng)設(shè)備部署應(yīng)用，作為物聯(lián)網(wǎng)中的情報(bào)收集者，HFish 能夠時(shí)刻捕捉網(wǎng)絡(luò)中的攻擊行為，竊聽入侵者之間的聯(lián)系，收集入侵者所用的種種工具，甚至掌握他們的社交網(wǎng)絡(luò)。

3.2 情報(bào)共享

HFish 提供API 接口，將捕獲到的入侵信息與各種不同平臺(tái)進(jìn)行情報(bào)共享，包括入侵時(shí)間、入侵類型、入侵者IP 等信息。

因此可以很方便地通過編寫程序，以輪詢的方式實(shí)時(shí)向多個(gè)HFish 蜜罐查詢是否存在入侵行為，由于蜜罐系統(tǒng)并不存在真實(shí)有效的應(yīng)用服務(wù)，任何試圖連接蜜罐系統(tǒng)的行為都可以簡(jiǎn)單地判定為攻擊行為，從而將入侵者IP 地址加入防火墻規(guī)則或利用TCP Wrappers 訪問控制及時(shí)進(jìn)行阻攔，實(shí)現(xiàn)主動(dòng)防御.

3.3 測(cè)試驗(yàn)證

通常在網(wǎng)絡(luò)攻防過程中，入侵者在入侵最初階段主要利用探測(cè)、掃描等手段對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行信息獲取，分析目標(biāo)網(wǎng)絡(luò)中存在的脆弱點(diǎn)及漏洞，找出最合適的網(wǎng)絡(luò)攻擊策略，使網(wǎng)絡(luò)攻擊效益最大化。因此我們使用Kali Linux（IP 地址為192.168.0.101），并使用網(wǎng)絡(luò)探測(cè)工具nmap 以及SSH 暴力破解工具Hydra 來模擬攻擊測(cè)試，Ubuntu18.04（IP 地址為192.168.0.103）作為具有真實(shí)服務(wù)資源的物聯(lián)網(wǎng)設(shè)備，安裝有SSH 服務(wù)、HTTP 服務(wù)，嵌入式Linux 平臺(tái)i.MX6UL（分配兩個(gè)IP 地址，分別為192.168.0.102、192.168.0.104，操作系統(tǒng)為Debian 10.5）作為蜜罐，部署兩套HFish 蜜罐，測(cè)試示意如圖1所示。

圖1 測(cè)試示意

（1）運(yùn)行HFish 蜜罐，在Kali Linux（IP 地址為192.168.0.101）上用nmap 工具掃描192.168.0.0/24 網(wǎng)絡(luò)，使用命令為：

nmap 192.168.0.0/24

從掃描結(jié)果中可以看出IP 地址為192.168.0.103 開啟了SSH 服務(wù)（端口22）和HTTP 服務(wù)（端口80），同時(shí)可以看到其中一個(gè)蜜罐（IP 地址為192.168.0.102）虛擬出了SSH 服務(wù)（端口22），另外一個(gè)蜜罐（IP 地址為192.168.0.104）虛擬出了Telnet（端口23）及MySQL服務(wù)（端口3306）。

（2）在Kali Linux（IP 地址為192.168.0.101）上模擬入侵者使用SSH 暴力破解工具Hydra 攻擊其中一個(gè)蜜罐（IP 地址為192.168.0.102），執(zhí)行命令：

hydra -l root -P /usr/share/wordlists/dirb/small.txt -t 2 -vV -e ns 192.168.0.102 ssh

此時(shí)，物聯(lián)網(wǎng)設(shè)備（IP 地址為192.168.0.103）立刻獲取到了蜜罐共享的攻擊信息，圖2所示。

圖2 攻擊信息

（3）在Kali Linux（IP 地址為192.168.0.101）上再次用nmap工具掃描192.168.0.0/24 網(wǎng)絡(luò)，從掃描結(jié)果中可以看出，真實(shí)物聯(lián)網(wǎng)設(shè)備（IP 地址為192.168.0.103）未顯示出任何服務(wù)，即使嘗試進(jìn)行SSH 連接也是拒絕服務(wù)。攻擊蜜罐前后nmap 探測(cè)網(wǎng)絡(luò)結(jié)果如圖3所示。

圖3 攻擊蜜罐前后nmap 探測(cè)網(wǎng)絡(luò)結(jié)果

經(jīng)過多次測(cè)試驗(yàn)證，HFish 蜜罐都能夠第一時(shí)間將捕獲的入侵信息共享給具有真實(shí)物聯(lián)網(wǎng)服務(wù)的設(shè)備，實(shí)現(xiàn)主動(dòng)防御，通過部署更多的HFish 蜜罐，可以極大降低具有真實(shí)服務(wù)的物聯(lián)網(wǎng)設(shè)備被直接攻擊的概率，從而達(dá)到設(shè)計(jì)要求。

4 總結(jié)

俗話說“凡事預(yù)則立，不預(yù)則廢”，面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形式，我們更需要做出充分的準(zhǔn)備加以應(yīng)對(duì)，而基于嵌入式Linux 平臺(tái)的物聯(lián)網(wǎng)蜜罐技術(shù)能夠改變以往被動(dòng)防御的局面，主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中正在發(fā)生的攻擊行為，實(shí)現(xiàn)對(duì)各類攻擊行為的主動(dòng)防御，有效保護(hù)了物聯(lián)網(wǎng)設(shè)備的安全運(yùn)行。