談真實和虛擬兩種honeypot技術的比較

woff

談真實和虛擬兩種honeypot技術的比較 作者：net130 發文時間：2005.03.16 近幾年來，很少有人會否認資訊安全已經成為網路管理員所面對的最嚴重問題。管理員必須花費大量的時間來確保他的網路已經安裝了最新的安全補丁以及防火牆，同時入侵檢測系統也能夠記錄所有的可疑活動。不幸的是，當前的防火牆和入侵檢測系統已經不再像以前那樣有效了，因為隨著網路的不安全因素的增多，防火牆和入侵檢測系統的日誌內容也日益龐大，甚至有些系統每天的日誌量就達1GB。在這個少花錢多辦事的世界裏，企業再也沒有過多的人力用來每天處理如此大量的日誌內容了。 我並不是說防火牆日誌和入侵檢測系統的報告是毫無價值的。事實上它們確實認真地履行了各自的任務。不過當你看到如此大量的資訊和報告，而其中大部分都是對系統沒有威脅的無目的的掃描時，你肯定會感到很沮喪。難道真的沒有一種更好的安全防範方法麼？ Honeypot解決資訊過量問題 從某些角度來說，honeypot也許是一個更好的方法。Honeypot主要分為兩類，真實的和虛擬的，這兩類都是入侵者的誘餌。Honeypot這個概念來自幾年前，那時候網路管理員希望有一種方法來找出到底是誰在探測網路。有句至理名言說“要想人不知，除非己莫為”，如果有人在探測網路，只要他向外發送資料，就一定會被察覺。因此有人利用了這個道理，在網路中建立了一個誘餌系統，它可以不時地向外發送與Windows網路服務有關的資料包，而那些監聽網路的駭客獲取資料包後，肯定會通過DNS查詢來確定這個誘餌系統的更多資料。一旦DNS查詢完成，則發送查詢的主機名和IP位址包括查詢時間就都會被記錄下來。 由於這種技術提出的較早，因此誘餌系統或者說是honeypots發展的非常迅速。到目前，有不少公司都能提供多種honeypot解決方案。如果你關注網路安全，那麼honeypot系統確實能讓你獲益匪淺。但在應用honeypot系統前，你需要在真實的honeypot或虛擬honeypot之間做個選擇。 真實vs虛擬 對於真實或是虛擬honeypot的選擇方面，你需要考慮的是風險和回報。虛擬honeypot比較廉價，但也有一定安全風險，它在抓住駭客方面做得沒有真實的honeypot好。另一方面，雖然真實的honeypot在入侵檢測方面比虛擬honeypot好很多，但最頂級的駭客有可能利用真實的honeypot接管你的網路。 虛擬honeypot的優勢 虛擬honeypot說白了是一個仿真程式。比如虛擬honeypot一般可以仿真FTP伺服器，並監視所有的TCP和UDP埠並記錄所有埠的活動情況。當駭客發現這個虛假的（他本人不知道）FTP時，就會試圖開啟一個FTP對話。這時虛擬FTP伺服器（虛擬honeypot）就會記錄下這個駭客的所有活動。比如honeypot會記錄下哪個埠被使用、採用何種認證機制等。而虛擬FTP伺服器會和真正的FTP伺服器一樣對駭客的行為作出回應。更好的是，由於這是個虛擬的FTP伺服器，它沒有真正的作業系統，因此就算駭客攻入了FTP，也不會進一步控制你網路中的其他電腦。 理論上說，這個方法相當好，它使用起來相當安全，並且可以捕獲大量的有用資訊。比如，如果獲取了駭客登錄時的憑證，你就可以查出到底是哪個帳戶被攻擊了，這樣就可以作出相應的補救動作。不過它的全部優勢也就是這些了。 虛擬honeypot的劣勢 對於虛擬honeypot來說，有兩點最主要的不足。首先，它只能愚弄那些初級駭客。你要記住，虛擬honeypot並沒有一個真正的作業系統支撐（有的解決方案中內嵌了簡單的Windows或Linux）。因此有經驗的駭客會發現很多命令在這台主機中不起作用。這會使他立即知道自己進入的只是一台honeypot，而不是真正的伺服器。 虛擬honeypot的另一個不足是它記錄的資訊種類有限。比如一個虛擬honeypot偽裝成FTP伺服器，那麼它就只能獲取和FTP相關的資訊。當然，大部分虛擬honeypot還可以獲取埠掃描和其他一些基本的攻擊資訊。然而，如果一個駭客利用IPv6埠發送加密的資訊又會如何呢？由於虛擬honeypot功能有限，它無法記錄這類的問題。簡單說，虛擬honeypot可以檢測並記錄已知的攻擊種類，但對於新型的攻擊卻沒什麼用處。 真實honeypot的優勢 一個真正的honeypot，是一個或多個真實的系統組成的誘餌系統。由於它是帶有作業系統的真實系統，因此它對於駭客的操作回應與網路上其他主機完全一樣。這有好處也有壞處。好處是，駭客幾乎不可能察覺到他們已經進入了一個陷阱，而不是真正的實用網路。實際上，唯一能讓駭客起疑心的現象就是那些不太完善的honeypot網路沒有採取任何正常的安全更新措施。 真實的honeypot最大的優點就在於入侵檢測能力。系統會假定任何發送到honeypot網路的資料都是帶有惡意的，因此完全不用擔心駭客會採用什麼新方法而不被honeypot捕獲。駭客的任何操作都會被真實的honeypot記錄下來。 真實honeypot的劣勢 真實的honeypot也有不足，它有可能被高級駭客征服而變為進攻你的正常網路的跳板。為了防止這種情況，你需要在honeypot網路與正常網路間架設防火牆，以阻擋二者間的任何資料通信。更複雜的Linux honeypot帶有防止駭客入侵正常網路的功能，而對於Windows上的honeypot，目前還沒有類似的功能。 真實明顯優於虛擬 從多種環境考慮，真實的honeypot比虛擬honeypot更具優勢。不過在你購買真實honeypot之前，你應該瞭解一下它的成本。除了購買機器外，你還需要購買作業系統以及其他安裝在真實honeypot上的軟體。最後你還要做好真實的honeypot會被最頂尖的駭客攻破的準備。

1049909

(*^__^*) 嘻嘻……   

5408866

你加油吧