蜜罐系統搭建與測試分析互聯網作為世界交互的接口，是各國互聯網治理的必由之路。速度快、多變化、無邊界、多維度的網絡傳播，不僅加速了全球化的進程，也削減差異阻隔，尤其在全球經濟一體化開展的背景下，互聯網已成為各國政治、文化和經濟融合化、無邊界、多維度的網絡傳播，不僅加速了全球化的進程，也削減差異阻隔，尤其在全球經濟一體化開展的背景下，互聯網已成為各國政治、文化和經濟融合與博弈的重要場域。但是，與此同時互聯網安全面臨著巨大的考驗。開放性和各種操作系統、軟件的缺省安裝配置存在很多安全漏洞和缺陷，同時，大局部的網絡使用者還未真正擁有安全意識，也還很少進展安全加強工作，如與時打補丁、安裝防火墻和其他安全工具等，從而導致了目前的互聯網具有巨大的安全隱患。另一方面，隨著網絡攻擊技術的開展，特別是分布式拒絕效勞攻擊、跳板〔Step-stone〕攻擊與互聯網蠕蟲的盛行，互聯網上的每一臺主機都已經成為攻擊的目標。此外，黑客社團也不像互聯網早期那么純潔，不再僅僅為了興趣和炫耀力量而出動，而更多的由于國家利益、商業利益與黑暗心理等因素促使其對互聯網安全構成危害。同時攻擊者也不再需要很多的專業技術和技巧，他們可PacketStorm〕。而這些由高級黑客們開發的攻擊腳本和工具越來越簡潔使用，功能也越來越強，能夠造成的破壞也越來越大。特別值得留意的一個趨勢是多種攻擊腳本和工具的融合，如大量的內核后門工具包〔Rootkit〕，與能夠集成多種攻擊腳本并供給易用接口的攻擊框架的消滅。以何種方式達成攻擊目標，以與為什么進展攻擊更是一無所知。作為安全防護工1/21作者，無論是安全爭論人員、安全產品研發人員、安全治理人員和安全響應效勞人員，都需要首先對黑客社團有深入的了解，包括他們所把握的攻擊技術、技巧和戰術、甚至心理和習慣等。只有在充分了解對手的前提下，我們才能更有效地維護互聯網安全。而蜜罐和蜜網技術為捕獲黑客的攻擊行為，并深入分析黑客供給了根底。蜜罐的概念1990年出版的一本小說《TheCuckoo’sEgg》中，在這本小說事。“蜜網工程組〞〔TheHoneynetProject〕的創始人LanceSpitzner了對蜜罐的權威定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。這個定義明確蜜罐并無其他實際作用，因此全部流入/流出蜜罐的網絡流量都可1990年出版的一本小說《TheCuckoo’sEgg》中，在這本小說事。“蜜網工程組〞〔TheHoneynetProject〕的創始人LanceSpitzner了對蜜罐的權威定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。這個定義明確蜜罐并無其他實際作用，因此全部流入/流出蜜罐的網絡流量都可檢測和分析。蜜罐技術的開展從九十年月初蜜罐概念的提出直到1998年左右，“蜜罐〞還僅僅限于2/21一種思想，通常由網絡治理人員應用，通過哄騙黑客到達追蹤的目的。這一階段的蜜罐實質上是一些真正被黑客所攻擊的主機和系統。從1998年開頭，蜜罐技術開頭吸引了一些安全爭論人員的留意，并開發FredCohen所開發的DTK〔哄騙工HoneydKFSensor、Specter等一些商業蜜罐產品。這一階段的蜜罐可以稱為是虛擬蜜罐，即開發的這些蜜罐從而哄騙黑客。虛擬蜜罐工具的消滅也使得部署蜜罐也變得比較便利。但是由于虛擬蜜罐工具存在著交互程度低，較簡潔被黑客識別等問題，2023年之后，安全爭論人員更傾向于使用真實的主機、操作系統和應用程序搭建蜜罐，但與之前不同的是，融入了更強大的數據捕獲、數據分析和數據掌握的工具，并且將蜜罐納入到一個完整的蜜網體系中，使得爭論人員能夠更便利地追蹤侵入到蜜網中的黑客并對他們的攻擊行為進展分析。蜜罐的分類目的在于為一個組織的網絡供給安全保護，包括檢測攻擊、防止攻擊造成破壞與幫助治理員對攻擊做出與時正確的響應等功能。一般產品型蜜罐較簡潔部署，而且不需要治理員投入大量的工作。較具代表性的產品型蜜罐包括DTK、honeyd等開源工具和KFSensor、ManTraq等一系列的商業產品。爭論型蜜罐如此是特地用于對黑客攻擊的捕獲和分析，通過部署爭論型蜜罐，對黑客攻擊進展追蹤和分析，能夠捕獲黑客的鍵擊記錄，了解到黑客所使用的攻擊工具與攻擊方法，甚3/21至能夠監聽到黑客之間的交談，從而把握他們的心理狀態等信息。爭論型蜜罐需具是“蜜網工程組〞所推出的其次代蜜網技術。和網絡效勞，較簡潔部署且風險較小，但黑客在低交互蜜罐中能夠進展的攻擊活動較為有限，因此通過低交互蜜罐能夠收集的信息也比較有限，同時由于低交互蜜罐通常是模擬的虛擬蜜罐，或多或少存在著一些簡潔被黑客所識別的指紋〔Fingerprinting〕信息。統和網絡效勞，沒有任何的模擬，從黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子〞，因此在高交互蜜罐中，我們能夠獲得很多黑客攻擊的信息。高ManTrap，屬于高交互蜜罐。蜜罐的優缺點蜜罐技術的優點包括：1、收集數據的保真度，由于蜜罐不供給任何實際的作用，因此其收集到的數據很少，同時收集到的數據很大可能就是由于黑客攻擊造成的，蜜罐不依靠于任何簡單的檢測技術等，因此削減了漏報率和誤報率。2、使用蜜罐技術能夠收集到的攻擊工具和攻擊方法，而不像目前的大局4/21部入侵檢測系統只能依據特征匹配的方法檢測到的攻擊。3不需要大量的資金投入。4、相對入侵檢測等其他技術，蜜罐技術比較簡潔，使得網絡治理人員能夠比較簡潔地把握黑客攻擊的一些學問。蜜罐技術存在的缺陷有：1、需要較多的時間和精力投入。2不像入侵檢測系統能夠通過旁路偵聽等技術對整個網絡進展監控。3、蜜罐技術不能直接防護有漏洞的信息系統。4、部署蜜罐會帶來肯定的安全風險。部署蜜罐所帶來的安全風險主要有蜜罐可能被黑客識別和黑客把蜜罐作從而避開蜜罐，甚至他會向蜜罐供給錯誤和虛假的數據，從而誤導安全防護和爭論人員。防止蜜罐被識別的解決方法是盡量消退蜜罐的指紋，并使得蜜罐與真實Anti-Honeypot〕之間相當于一個博弈問題，總是在相互競爭中共同開展。另外，蜜罐技術的初衷即是讓黑客攻破蜜罐并獲得蜜罐的掌握權限，并跟蹤其攻破蜜罐、在蜜罐埋伏等攻擊行為，但我們必需防止黑客利用蜜罐作為跳板對第三方網絡發起攻擊。為了確保黑客活動不對外構成威逼，必需引入多個層次的數據掌握措施，必要的時候需要爭論人員的人工干預。5/21蜜網的根本概念蜜網是在蜜罐技術上逐步開展起來的一個的概念，又可成為誘捕網絡。蜜在這個架構中，我們可以包含一個或多個蜜罐，同時保證了網絡的高度可控性，以與供給多種工具以便利對攻擊信息的采集和分析。VMWare和UserModeLinux大的風險，黑客有可能識別出虛擬操作系統軟件的指紋，也可能攻破虛擬操作系統軟件從而獲得對整個虛擬蜜網的掌握權。蜜網的核心需求蜜網有著三大核心需求：即數據掌握、數據捕獲和數據分析。通過數據掌握能夠確保黑客不能利用蜜網危害第三方網絡的安全，以減輕蜜網架設的風險；數安全爭論人員從捕獲的數據中分析出黑客的具體活動、使用工具與其意圖。以下其次代蜜網技術：其次代蜜網所需的關鍵工具：HoneyWallSebek。其次代蜜網方案的整體架構如圖，其中最為關鍵的部件為稱為HoneyWall的蜜網網關，包括三個網絡接口，eth0接入外網，eth1連接蜜網，而eth2作為一個隱秘HoneyWall是一個對黑客不行見的鏈路層橋接設6/21備，作為蜜網與其他網絡的唯一連接點，全部流入流出蜜網的網絡流量都將通過HoneyWallHoneyWall是一個工作在鏈路層的橋TTL遞減和網絡路由，也不會供給本身的MAC地址，因此對黑客而言，HoneyWall攻擊的網絡是一個蜜網。1其次代蜜網方案的整體架構HoneyWallHoneyWall的數據掌握機制，HoneyWall網，但對黑客使用蜜網對外發起的跳板攻擊進展嚴格掌握。掌握的方法包括：7/21●攻擊包抑制；●對外連接數限制；2HoneyWall的數據掌握機制在HoneyWall中使用了snort_inlineNIPS制器，檢測出從蜜網向外發出的含有的攻擊特征的攻擊數據包，發出報警信息并對攻擊數據包加以拋棄或修改，使其不能對第三方網絡構成危害。HoneyWall通IPTables如此IPTables將其記錄到日志，并阻斷其后繼連接，從而防止蜜網中被攻陷的蜜罐作為黑客的跳板對第三方網絡進展探測或拒絕效勞攻擊。8/213HoneyWall中數據掌握的具體流程3HoneyWall中實現的數據掌握機制〔即攻擊包抑制和對外Swatch監視工具將snort_inline和IPTablesmail圖4HoneyWall圖4如此給出了HoneyWalleth0IPTables防火墻，依據防火墻規如此，將對9/21流入的連接活動進展記錄，由于我們無需對流入的攻擊進展過濾，因此可以直接snort_inline，但在eth1流出的時候，由一個作為網絡監聽器使用的snort5，在蜜Sebek的客戶端，能夠對黑客在蜜罐上的活動進展記錄，并通過對黑客隱蔽的通道將收集到的鍵擊記錄等信息傳送到位于HoneyWallSebeketh2隱蔽通道對HoneyWall中收集到的數據進展分析，從而學習到黑客所發動的攻擊方法。10/21試驗演示：winXPhoneywallwinXP攻擊機和靶機互ping11/21Honeywall測試Walleye遠程訪問，在192.168.200.2這臺虛擬機問s://192.168.200.8，結果如下12/21ICMPping包是否通過外網口和內網口，攻擊機ping靶機的時候，tcpdump-ieth0icmpping靶機的時候，tcpdump-ieth1icmp13/21ping攻擊機的時候，tcpdump-ieth0icmpping攻擊機的時候，tcpdump-ieth1icmpSebek14/21Honeywall的MAC00:0C:29:1D:C7:83Honeywall15/21遠程訪問Walleye所觀看到