什么是蜜罐技术？带你了解蜜罐技术

　　当今的互联网安全面临着巨大的考验，当网络被攻陷破坏后，我们甚至不知道对手是谁，对他们使用了哪些工具、以何种方式达成攻击目标，以及为什么进行攻击更是一无所知。难道在电脑技术大量应用的今天，安全领域却得不到一点援助？答案是有的，它就是在安全领域里代替网络管理员上阵的“虚拟演员”?--蜜罐技术。
　　“知己知彼，百战不殆”，IT安全人员只有在掌握攻击者的攻击技术、技巧和战术、甚至心理和习惯等，才能更有效地维护互联网安全，而蜜罐技术为捕获黑客的攻击行为，并深入分析黑客提供了基础。
　　1、蜜罐概念
　　从字面上解析，蜜罐就是一个装满蜜糖的罐子，很甜的感觉。听着，口腔里唾液腺的分泌不自觉的加强了。那么在网络安全中，蜜罐又是一个什么样子的东西？其实，道理是相通的蜜罐，里面装满了黑客期待的蜜糖。而这些蜜糖的存在的意义就是诱骗黑客攻击蜜罐，对于黑客来说，蜜罐是甜的。蜜网项目组（The Honeynet Project）的创始人Lance Spitzener给出了对蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明并无其他实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。
　　蜜罐并非一种安全解决方案这是因为蜜罐并不会“修理”任何错误。
　　蜜罐只是一种工具，如何使用这个工具取决 于使用者想要做到什么。蜜罐可以仅仅是一个对其他系统和应用的仿真，可以创建一个监禁环境将攻击者困在其中，还可以是一个标准的产品系统。无论是使用者如何建立和使用蜜罐，只有蜜罐受到攻击，它的作用才能发挥出来。为了方便攻击者攻击，最好经蜜罐设置成域名服务器（Domain Name Server，DNS）、web或电子邮件转发服务等流行应用中的某一种。蜜罐在系统中的一种配置方法如图所示，从中可以看出其在整个安全防护体系中的地位。
　　
　　蜜罐是用来被探测、被攻击甚至最后被攻陷的，它不会修补任何东西，这样就为我们提供了额外的、有价值的信息。
　　蜜罐不会直接提高计算机安全网络，但它却是其他安全策略所不可代替的一种主动防御技术。
　　2、蜜罐的发展历程
　　蜜罐技术的发展历程可以分为以下三个阶段：
　　从九十年代蜜罐概念的提出直到1998年左右，“蜜罐”还仅仅限于一种思想，通常由网络人员应用，通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。
　　从1998年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工具，如Fred Cohen所开发的DTK（欺骗工具包）、Niels Provos开发的honeyed等，同时也出现了像KHSensor、Specter等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为作出回应，从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。
　　但是由于虚拟蜜罐工具存在着交互程度低，较容易被黑客识别等问题，从2000年之后，安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，但与之前不同的是，融入了更加强大的数据库捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪到入侵蜜网中的黑客并对他们的攻击行为进行分析。
　　随着时间推进，蜜罐开始进入公众视野，功能也不断完善，添加上网络监控、主机监控等多方面支持。后来蜜罐也向多个方向发展，蜜罐系统、工控蜜罐、linux蜜罐等等。
　　3、蜜罐的类型
　　世界上不会有非常全面的东西，蜜罐也一样。根据管理员的需要，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，而不是盲目设置来无聊的，因此，就产生多种多样的蜜罐……
　　(1)实系统蜜罐
　　实系统蜜罐是最真实的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是最初的。没有任何SP补丁，或者打了低版本SP补丁，根据管理员需要，也可能补上了一些漏洞，只要值得研究的漏洞还存在即可。然后把蜜罐连接上网络，根据目前的网络扫描频繁度来看，这样的蜜罐很快就能吸引到目标并接受攻击，系统运行着的记录程序会记下入侵者的一举一动，但同时它也是最危险的，因为入侵者每一个入侵都会引起系统真实的反应，例如被溢出、渗透、夺取权限等。
　　(2)伪系统蜜罐
　　什么叫伪系统呢?不要误解成“假的系统”，它也是建立在真实系统基础上的，但是它最大的特点就是“平台与漏洞非对称性”。
　　大家应该都知道，世界上操作系统不是只有windows一家而已，在这个领域，还有Linux、Unix、OS2、BeOS等，它们的核心不同，因此会产生的漏洞缺陷也就不尽相同，简单的说，就是很少有能同时攻击几种系统的漏洞代码，也许你用LSASS溢出漏洞能拿到Windows的权限，但是用同样的手法去溢出Linux只能徒劳。根据这种特性，就产生了“伪系统蜜罐”，它利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”，入侵这样的 “漏洞”，只能是在一个程序框架里打转，即使成功“渗透”，也仍然是程序制造的梦境--系统本来就没有让这种漏洞成立的条件，谈何“渗透”?实现一个“伪系统”并不困难，Windows平台下的一些虚拟机程序、Linux自身的脚本功能加上第三方工具就能轻松实现，甚至在Linux/Unix下还能实时由管理员产生一些根本不存在的“漏洞”，让入侵者自以为得逞的在里面瞎忙。实现跟踪记录也很容易，只要在后台开着相应的记录程序即可。
　　这种蜜罐的好处在于，它可以最大程度防止被入侵者破坏，也能模拟不存在的漏洞，甚至可以让一些Windows蠕虫攻击Linux--只要你模拟出符合条件的Windows特征!但是它也存在坏处，因为一个聪明的入侵者只要经过几个回合就会识破伪装，另者，编写脚本不是很简便的事情，除非那个管理员很有耐心或者十分悠闲。
　　4、蜜罐的安全价值
　　蜜罐并不会替代其它安全防护工具,例如防火墙?入侵检测系统等?它们是增强现有安全性的强大工具,是一种可以了解黑客常用工具和工具策略的有效手段?安全就是降低各种网络威胁,网络用户永远都不能忽视各种威胁的存在,而安全就是降低组织受到的威胁并保护组织中的信息资源?下面,根据 Bruce Schnerier 在“Secrests and Lies"中的定义,从3个方面来研究蜜罐的安全实现价值?
　　(1)防护
　　安全工作者所能做的就是阻止恶意攻击者,尽可能地防止威胁?蜜罐则在防护中做的贡献很少,蜜罐不会将那些试图攻击的入侵者拒之门外?将入侵者阻挡在外部的安全产品在防护中可以做到最好,比如关闭不需要的或不安全的服务,而且还可以通过强认证机制来保障只有合法的用户才能访问相应的服务?而蜜罐设计的初衷就是妥协,因此它不会将入侵者拒绝在系统之外,事实上,蜜罐希望有人闯入系统,从而进行各项记录和分析工作?
　　有些人认为诱骗也是一种对攻击者进行防护的方法,因为诱骗使攻击者花费大量的时间和资源对蜜罐进行攻击,这就防止了攻击者对实际资源进行攻击?也就是说,攻击者会被吸引到蜜罐中对它进行攻击演练,从而一定程度上保证了真正的网络资源不会受到攻击?蜜罐的诱骗在一定程度上的确提供了安全防护的效果,但是,如果想要得到更高和好的防护效果,人们会主动去选取那些专门进行防护的安全产品?
　　(2)检测
　　虽然蜜罐的防护功能偏弱,但是它有很强的检测功能?对于部分组织来说,检测网络攻击是难度系数很大的一件事?
　　许多组织面临的是大量的正常网络通信与可疑的网络攻击行为混杂在一起的网络,比如千兆比特网络里的系统日志,想要从大量的网络行为中检测出攻击行为是一件非常困难的事情,甚至检测出哪些系统已经被攻陷也是一件困难的事情?入侵检测系统(IDS)是专门为检测攻击而设计的检测工具,然而 IDS 中发生的误报使系统管理员的工作变得极其繁重?误报是指 IDS 的探测器认为那些合法的网络行为具备了入侵攻击行为特征,就向系统管理员发出警告并要求进行处理?由于误报率很高,IDS 系统管理员每天不得花费大量时间来处理不计其数的报警信息,以至于不能完全处理完报警信息数据当真正的网络攻击行为到来时,系统管理员已经疲于处理过多的“误报",而放弃了真正的攻击行为所采取的攻击行动?
　　高误报率往往使IDS失去有效告警的作用,而蜜罐的误报率则远远低于大部分的 IDS 工具?
　　另一个问题是漏报,发生在 IDS 没有检测出攻击时?大部分 IDS,无论是基于特征匹配的还是基于协议分析的,都有可能遗漏新型的或未知的攻击?目前的 IDS 技术不能够有效地对新型攻击方法进行检测?同时,攻击者们一直在开发和研究?散布着各种各样的新型的 IDS 逃避策略,也在不断开发着各种各样的不能被 IDS 检测出来的攻击,甚至是 IDS 本身的攻击技术,比如 K2的 ADMMutae?
　　蜜罐可以解决漏报问题,因为它们很难躲避也很难被新的攻击方法攻陷?实际上使用蜜罐的首要目标就是在新的攻击和未知的攻击发生的时候将它们检测出来?蜜罐系统管理员无需担心特征数据库的更新和检测引擎的修订,也无需知晓对方使用何种攻击策略和攻击工具,因为蜜罐最希望看到的就是攻击是如何进行的?
　　蜜罐可以简化检测的过程?因为蜜罐没有任何有效的行为,所以所有与蜜罐相联系的网络行为都可以认定为可疑行为?
　　从原理上来讲,任何连接到蜜罐的连接都应该是侦探?扫描和攻击的一种?无论何时蜜罐发起一个连接,都可以认为蜜罐系统向攻击者妥协,这样就可以极大地降低误报率和漏报率,从而简化了检测过程?现在有很多蜜罐系统也自己发起自己的连接,这样做的目的也是为了迷惑攻击者?
　　其实,从某种意义上讲,蜜罐系统已经成为一个越来越复杂的安全检测工具?在某些技术领域里,而也可被称作为IDS的一个新型演变?
　　(3)响应
　　尽管在一般意义上讲,蜜罐也可以进行响应如果组织内的系统已经被入侵,这之后发生的所有的行为都是与入侵者相关的“污点证明"数据但是,如果内部用户和系统行为也掺杂到这些记录的数据中,系统管理员就无法知道区别,也就无法处理了?就如同系统管理员登录到网页服务器上,发现所有登录在网站上的用户都在使用已经被入侵的系统,这时候,再想收集入侵者的攻击行为证据就是一件很难的事情?
　　必须解决的问题是那些发生入侵事故的系统在被入侵之后不能脱机工作?否则,这些系统所提供的所有产品服务都将停止?同时,系统管理员也不能进行合适和全面的鉴定分析?
　　蜜罐可以解决甚至消除以上两个问题,它提供了一个具有低数据污染的系统,并且这个系统可以随时进行脱机工作?例如,某组织有3台服务器,这些服务器都被入侵了,系统管理员也可以进入系统并可以清楚特定问题,但他依然有可能不知道错误出在何处?系统受到何种程度的破坏?攻击者是否依然存在于系统内部?攻击者使用了何种攻击策略和行为?此时,如果将其中一台设置为蜜罐系统,系统管理员则可以将该系统置于脱机状态来进行鉴定工作?基于这些分析,系统管理员不仅能知道入侵者是如何进入系统的,而且还可以知道他做了那些坏事?根据这些经验,系统管理员就可以很好地解决其它2台服务器的安全问题,并可以在以后的工作中较好的防止进一步地网络攻击?
　　5、存在问题
　　蜜罐是用来给黑客入侵的，它必须提供一定的漏洞，但是我们也知道，很多漏洞都属于“高危”级别，稍有不慎就会导致系统被渗透，一旦蜜罐被破坏，入侵者要做的事情是管理员无法预料的，例如，一个入侵者成功进入了一台蜜罐，并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人，那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。
　　设陷技术关系到设置这台蜜罐的管理员的技术，一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏，由此导致的后果将十分严重。
　　由于蜜罐属于记录设备，所以它有可能会牵涉到隐私权问题，如果一个企业的管理员恶意设计一台蜜罐用于收集公司员工的活动数据，或者偷偷拦截记录公司网络通讯信息，这样的蜜罐就已经涉及法律问题了。
　　对于管理员而言，最倒霉的事情就是蜜罐被入侵者成功破坏了。有人也许会认为，既然蜜罐是故意设计来“牺牲”的，那么它被破坏当然合情合理，用不着小题大做吧。对，蜜罐的确是用来“受虐”的，但是它同时也是一台连接网络的计算机，如果你做的一台蜜罐被入侵者攻破并“借”来对某大学服务器进行攻击，因此引发的损失恐怕只能由你来承担了。还有一些责任是谁也说不清的，例如，你做的一台蜜罐不幸引来了Slammer、Sasser、Blaster等大名鼎鼎的“爬虫类”病毒而成了传播源之一，那么这个责任谁来负担?
　　随着网络入侵类型的多样化发展，蜜罐也必须进行多样化的演绎，否则它由一天将无法面对入侵者的肆虐。这也是对网络管理员的技术能力有了更高的要求，因为蜜罐--这个活跃在安全领域的虚拟演员，它的一举一动都是通过你来设计的。