蜜罐的型別
世界上有形形色色的生物,蜜罐也一樣。根據管理員的需要,蜜罐的系統和漏洞設定要求也不盡相同,蜜罐是有針對性的,用於不同場合、不同目的的蜜罐需要開放不同的漏洞並做不同的設定。因此,就產生了多種多樣的蜜罐。
實系統蜜罐
實系統蜜罐是最真實的蜜罐,它執行著真實的系統,並且帶著真實可入侵的漏洞,屬於最危險的漏洞,但是它記錄下的入侵資訊往往是最真實的。這種蜜罐安裝的系統一般都是原始系統,沒有任何安全補丁,或者打了低版本的sp補丁,根據管理員需要,也可能補上了其他一些漏洞――最重要的是,值得研究的漏洞沒有被補上即可。蜜罐系統安裝、設定好以後,就可以把蜜罐連線上網路。根據目前的網路掃瞄頻繁度來看,這樣的蜜罐很快就能吸引到目標並接受攻擊,系統後台執行著的記錄程式會記下入侵者的一舉一動。需要注意的是,這種蜜罐雖然最有效,但同時它也是最危險的,因為入侵者每乙個入侵都會引起系統真實的反應,例如被溢位、滲透、奪取許可權等。
偽系統蜜罐
什麼叫偽系統呢?不要誤解成「假的系統」,它也是建立在真實系統基礎上的,但是它最大的特點就是「平台與漏洞非對稱性」。
大家應該都知道,世界上作業系統不是只有windows乙個,在這個領域,還有linux、unix、os2、beos等,它們的核心不同,因此會產生的漏洞缺陷也就不盡相同。簡單地說,就是很少有能同時攻擊幾種系統的漏洞**,也許你用lsass溢位漏洞能輕易拿到windows作業系統的許可權,但是用同樣的手法試圖去溢位攻擊linux只能是徒勞無功。根據這種特性,就產生了「偽系統蜜罐」,它利用一些工具程式強大的模仿能力,偽造出不屬於自己平台的「漏洞」。黑客入侵這樣的蜜罐,只能是在乙個程式框架裡打轉,即使成功「滲透」,也仍然是程式製造的夢境――系統本來就沒有讓這種漏洞成立的條件,談何「滲透」?
實現乙個「偽系統」並不困難,windows平台下的一些虛擬機器程式、linux自身的指令碼功能加上第三方工具都能輕鬆實現,甚至在linux/unix下還能實時由管理員產生一些根本不存在的「漏洞」,讓入侵者自以為得逞地在裡面瞎忙。實現跟蹤記錄也很容易,只要在後台開著相應的記錄程式即可。
偽系統蜜罐的好處在於,它可以最大程度地防止被入侵者破壞,也能模擬不存在的漏洞,甚至可以讓一些windows蠕蟲攻擊linux――只要你模擬出符合條件的windows作業系統特徵!但是它也存在壞處,因為乙個聰明的入侵者只要經過幾個回合就會識破蜜罐的偽裝。另外,編寫指令碼不是很簡便的事情,除非那個管理員很有耐心或者十分悠閒。
使用你的蜜罐
既然蜜罐不是隨隨便便做來玩的,管理員自然就不會做個蜜罐然後讓它賦閒在家,那麼蜜罐做來到底怎麼用呢?
迷惑入侵者,保護伺服器
在一般的客戶/伺服器模式下,瀏覽者是直接與**伺服器連線的,換句話說,整個**伺服器都暴露在入侵者面前,如果伺服器安全措施不夠,那麼整個**的資料都有可能被入侵者輕易毀滅。但是如果在客戶/伺服器模式裡嵌入蜜罐,讓蜜罐作為伺服器角色,真正的**伺服器作為乙個內部網路在蜜罐上做網路埠對映,這樣就可以把**的安全係數提高,入侵者即使滲透了位於外部的「伺服器」,也得不到任何有價值的資料,因為他入侵的只是蜜罐而已。
可能有人會問:難道入侵者就不能在蜜罐的基礎上跳進內部網路進而對真正的伺服器進行破壞嗎?是的,高明的入侵者的確可以做到這一點。但那要比直接攻下一台外部伺服器複雜得多,許多水平不足的入侵者只能望而卻步。蜜罐也許會被破壞,可是不要忘記了,它本來就是專門用來給人破壞的角色。
在這種用途上的蜜罐不能再設計得漏洞百出了。因為這個蜜罐既然成了內部伺服器的保護層,就必須要求它自身足夠堅固,否則,整個**都要「拱手送人」了。
抵禦入侵者,加固伺服器
入侵與防範一直都是資訊保安領域倍受使用者、資訊保安專家以及黑客關注的熱點。如果能夠在入侵者和伺服器之間插入乙個蜜罐環節的話,將會使防範變得有趣。這樣一來,這台蜜罐被設定得與內部網路伺服器一樣,當乙個入侵者費盡力氣入侵了這台蜜罐的時候,管理員已經收集到足夠的攻擊資料來加固真實的伺服器。
採用這個策略去布置蜜罐,需要管理員配合監視,否則如果入侵者成功攻破了蜜罐,真正的伺服器可能就有危險了。
誘捕網路罪犯
「誘捕網路罪犯」是乙個相當有趣的蜜罐應用,當管理員發現乙個普通的客戶/伺服器模式**伺服器已經犧牲成為肉雞的時候,如果技術能力允許,管理員會迅速修復伺服器。那麼下次呢?既然入侵者已經確信自己把該伺服器做成了肉雞,他下次必然還會來檢視戰果,難道就這樣任由他放肆?一些高明的網路管理員絕對不會就此罷休,他們會設定乙個蜜罐模擬出已經被入侵的狀態,做起「姜太公」。同樣,一些企業為了查詢惡意入侵者,也會故意設定一些有不明顯漏洞的蜜罐,讓入侵者在不起疑心的情況下乖乖被記錄下一切行動證據,有些人把此戲稱為「監獄機」,通過與電信局的配合,可以輕易揪出ip源頭的那雙**。
結語 隨著網路入侵型別的多樣化發展,蜜罐也必須進行多樣化的演繹,否則它有一天將無法面對入侵者的肆虐。這也對網路管理員的技術能力有了更高的要求,因為蜜罐――這個活躍在安全領域的虛擬演員,它的一舉一動,都是通過你來設計的,我們無法讓蜜罐像t-x那樣變化無常,但是,至少要防止我們設計的「阿諾」再次被t-x踏斷脖子注入反叛指令。
領域 當Party就是PartyRole會這樣
2006年05月24日 13 47 00 首先要說明的是partyrole和party到底都是什麼?partyrole,簡而言之,就是角色 可能是人的角色,也可能是物的角色。人的角色如 父親,兒子,丈夫,員工,物的角色如 抵押品,車輛,固定資產。在早期的ooad中 特別是使用了傳統的名詞概念法 這些...
領域 當Party就是PartyRole會這樣
2006年05月24日 13 47 00 首先要說明的是partyrole和party到底都是什麼?partyrole,簡而言之,就是角色 可能是人的角色,也可能是物的角色。人的角色如 父親,兒子,丈夫,員工,物的角色如 抵押品,車輛,固定資產。在早期的ooad中 特別是使用了傳統的名詞概念法 這些...
領域 當Party就是PartyRole會這樣
2006年05月24日 13 47 00 首先要說明的是partyrole和party到底都是什麼?partyrole,簡而言之,就是角色 可能是人的角色,也可能是物的角色。人的角色如 父親,兒子,丈夫,員工,物的角色如 抵押品,車輛,固定資產。在早期的ooad中 特別是使用了傳統的名詞概念法 這些...