蜜罐好比是情報收集系統。蜜罐好像是故意讓人攻擊的目標,引誘黑客前來攻擊。所以攻擊者入侵後,你就可以知道他是如何得逞的,隨時瞭解針對貴公司服務器發動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯繫,收集黑客所用的種種工具,並且掌握他們的社交網絡。
設置蜜罐並不難,只要在外部因特網上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。因爲黑客可能會設陷阱,以獲取計算機的日誌和審查功能,你就要在計算機和因特網連接之間安置一套網絡監控系統,以便悄悄記錄下進出計算機的所有流量。然後只要坐下來,等待攻擊者自投羅網。
不過,設置蜜罐並不是說沒有風險。這是因爲,大部分安全遭到危及的系統會被黑客用來攻擊其它系統。這就是下游責任(downstream liability),由此引出了蜜網(honeynet)這一話題。
蜜網是指另外採用了技術的蜜罐,從而以合理方式記錄下黑客的行動,同時儘量減小或排除對因特網上其它系統造成的風險。建立在反向防火牆後面的蜜罐就是一個例子。防火牆的目的不是防止入站連接,而是防止蜜罐建立出站連接。不過,雖然這種方法使蜜罐不會破壞其它系統,但同時很容易被黑客發現。
數據收集是設置蜜罐的另一項技術挑戰。蜜罐監控者只要記錄下進出系統的每個數據包,就能夠對黑客的所作所爲一清二楚。蜜罐本身上面的日誌文件也是很好的數據來源。但日誌文件很容易被攻擊者刪除,所以通常的辦法就是讓蜜罐向在同一網絡上但防禦機制較完善的遠程系統日誌服務器發送日誌備份。(務必同時監控日誌服務器。如果攻擊者用新手法闖入了服務器,那麼蜜罐無疑會證明其價值。)
近年來,由於黑帽子羣體越來越多地使用加密技術,數據收集任務的難度大大增強。如今,他們接受了衆多計算機安全專業人士的建議,改而採用SSH等密碼協議,確保網絡監控對自己的通訊無能爲力。蜜網對付密碼的計算就是修改目標計算機的操作系統,以便所有敲入的字符、傳輸的文件及其它信息都記錄到另一個監控系統的日誌裏面。因爲攻擊者可能會發現這類日誌,蜜網計劃採用了一種隱蔽技術。譬如說,把敲入字符隱藏到NetBIOS廣播數據包裏面。
蜜罐技術的優勢
蜜罐系統的優點之一就是它們大大減少了所要分析的數據。對於通常的網站或郵件服務器,攻擊流量通常會被合法流量所淹沒。而蜜罐進出的數據大部分是攻擊流量。因而,瀏覽數據、查明攻擊者的實際行爲也就容易多了。
自1999年啓動以來,蜜網計劃已經收集到了大量信息,你可以在www.honeynet.org上找到。部分發現結果包括:攻擊率在過去一年增加了一倍;攻擊者越來越多地使用能夠堵住漏洞的自動點擊工具(如果發現新漏洞,工具很容易更新);儘管虛張聲勢,但很少有黑客採用新的攻擊手法。
蜜罐主要是一種研究工具,但同樣有着真正的商業應用。把蜜罐設置在與公司的Web或郵件服務器相鄰的IP地址上,你就可以瞭解它所遭受到的攻擊。
當然,蜜罐和蜜網不是什麼“射後不理”(fire and forget)的安全設備。據蜜網計劃聲稱,要真正弄清楚攻擊者在短短30分鐘內造成的破壞,通常需要分析30到40個小時。系統還需要認真維護及測試。有了蜜罐,你要不斷與黑客鬥智鬥勇。可以這麼說:你選擇的是戰場,而對手選擇的是較量時機。因而,你必須時時保持警惕。
蜜罐領域最讓人興奮的發展成果之一就是出現了虛擬蜜網。虛擬計算機網絡運行在使用VMware或User-Mode Linux等虛擬計算機系統的單一機器之上。虛擬系統使你可以在單一主機系統上運行幾臺虛擬計算機(通常是4到10臺)。虛擬蜜網大大降低了成本、機器佔用空間以及管理蜜罐的難度。此外,虛擬系統通常支持“懸掛”和“恢復”功能,這樣你就可以凍結安全受危及的計算機,分析攻擊方法,然後打開TCP/IP連接及系統上面的其它服務。
對大組織的首席安全官(CSO)來說,運行蜜網最充分的理由之一就是可以發現內部不懷好意的人。
蜜罐技術的法律問題
出乎意料的是,監控蜜罐也要承擔相應的法律後果,譬如說,有可能違反《反竊聽法》。雖然目前沒有判例法,但熟悉這方面法律的人士大多數認爲,雙方同意的標語是出路所在。也就是說,給每個蜜罐打上這樣的標語:“使用該系統的任何人同意自己的行爲受到監控,並透露給其他人,包括執法人員。”
蜜罐技術解析
一、從影片特技到蜜罐技術
《特洛伊》裏龐大的希臘艦隊、《終結者2》裏隨意改變形體的“液體金屬”、《侏羅紀公園》裏滿地亂跑的恐龍們、《黑客帝國》裏的“子彈時間”…… 隨着計算機技術的不斷髮展,越來越多的電腦特技被應用在電影領域,不需要工資的虛擬演員不知辛勞地日夜工作,這些電腦技術使得導演可以構思現實中不可能存在的情節環境,也減少了影片開支。但是,在計算機的信息安全領域裏,網絡管理員要面對的是黑客真槍實幹的入侵破壞,難道在電腦技術大量應用的今天,安全領域卻得不到一點援助?答案是有的,它就是在安全領域裏代替網絡管理員上陣的“虛擬演員”——蜜罐技術。
蜜罐,或稱Honeypot,與應用於電影的特技相比,它並不神祕——所謂蜜罐,就是一臺不作任何安全防範措施而且連接網絡的計算機,但是與一般計算機不同,它內部運行着多種多樣的數據記錄程序和特殊用途的“自我暴露程序”——要誘惑貪嘴的黑熊上鉤,蜂蜜自然是不可少的。在入侵者的角度來看,入侵到蜜罐會使他們的心情大起大落——從一開始偷着樂罵管理員傻帽到最後明白自己被傻帽當成猴子耍的過程。
二、爲什麼要使用蜜罐
《終結者2》裏阿諾讓約翰把自己放入熔爐,《特洛伊》裏Achilles被王子射殺,戰爭片裏的機槍掃射,甚至《黑衣人》裏外星人發射的核彈毀滅了北極!如果這一切是真實的話,我們的明星已經成爲牆上的照片了,拍一部片要死多少人?況且,我們只有一個地球,值得爲了一部影片炸掉某個地區?所以人們必須採用電腦特技完成這些不能真實發生的劇情。同樣,管理員也不會爲了記錄入侵情況而讓入侵者肆意進入服務器搞破壞,所以蜜罐出現了。
前面說過了,蜜罐是一臺存在多種漏洞的計算機,而且管理員清楚它身上有多少個漏洞,這就像狙擊手爲了試探敵方狙擊手的實力而用槍支撐起的鋼盔,蜜罐被入侵而記錄下入侵者的一舉一動,是爲了管理員能更好的分析廣大入侵者都喜歡往哪個洞裏鑽,今後才能加強防禦。
另一方面是因爲防火牆的侷限性和脆弱性,因爲防火牆必須建立在基於已知危險的規則體系上進行防禦,如果入侵者發動新形式的攻擊,防火牆沒有相對應的規則去處理,這個防火牆就形同虛設了,防火牆保護的系統也會遭到破壞,因此技術員需要蜜罐來記錄入侵者的行動和入侵數據,必要時給防火牆添加新規則或者手工防禦。
設置蜜罐並不難,只要在外部因特網上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。因爲黑客可能會設陷阱,以獲取計算機的日誌和審查功能,你就要在計算機和因特網連接之間安置一套網絡監控系統,以便悄悄記錄下進出計算機的所有流量。然後只要坐下來,等待攻擊者自投羅網。
不過,設置蜜罐並不是說沒有風險。這是因爲,大部分安全遭到危及的系統會被黑客用來攻擊其它系統。這就是下游責任(downstream liability),由此引出了蜜網(honeynet)這一話題。
蜜網是指另外採用了技術的蜜罐,從而以合理方式記錄下黑客的行動,同時儘量減小或排除對因特網上其它系統造成的風險。建立在反向防火牆後面的蜜罐就是一個例子。防火牆的目的不是防止入站連接,而是防止蜜罐建立出站連接。不過,雖然這種方法使蜜罐不會破壞其它系統,但同時很容易被黑客發現。
數據收集是設置蜜罐的另一項技術挑戰。蜜罐監控者只要記錄下進出系統的每個數據包,就能夠對黑客的所作所爲一清二楚。蜜罐本身上面的日誌文件也是很好的數據來源。但日誌文件很容易被攻擊者刪除,所以通常的辦法就是讓蜜罐向在同一網絡上但防禦機制較完善的遠程系統日誌服務器發送日誌備份。(務必同時監控日誌服務器。如果攻擊者用新手法闖入了服務器,那麼蜜罐無疑會證明其價值。)
近年來,由於黑帽子羣體越來越多地使用加密技術,數據收集任務的難度大大增強。如今,他們接受了衆多計算機安全專業人士的建議,改而採用SSH等密碼協議,確保網絡監控對自己的通訊無能爲力。蜜網對付密碼的計算就是修改目標計算機的操作系統,以便所有敲入的字符、傳輸的文件及其它信息都記錄到另一個監控系統的日誌裏面。因爲攻擊者可能會發現這類日誌,蜜網計劃採用了一種隱蔽技術。譬如說,把敲入字符隱藏到NetBIOS廣播數據包裏面。
蜜罐技術的優勢
蜜罐系統的優點之一就是它們大大減少了所要分析的數據。對於通常的網站或郵件服務器,攻擊流量通常會被合法流量所淹沒。而蜜罐進出的數據大部分是攻擊流量。因而,瀏覽數據、查明攻擊者的實際行爲也就容易多了。
自1999年啓動以來,蜜網計劃已經收集到了大量信息,你可以在www.honeynet.org上找到。部分發現結果包括:攻擊率在過去一年增加了一倍;攻擊者越來越多地使用能夠堵住漏洞的自動點擊工具(如果發現新漏洞,工具很容易更新);儘管虛張聲勢,但很少有黑客採用新的攻擊手法。
蜜罐主要是一種研究工具,但同樣有着真正的商業應用。把蜜罐設置在與公司的Web或郵件服務器相鄰的IP地址上,你就可以瞭解它所遭受到的攻擊。
當然,蜜罐和蜜網不是什麼“射後不理”(fire and forget)的安全設備。據蜜網計劃聲稱,要真正弄清楚攻擊者在短短30分鐘內造成的破壞,通常需要分析30到40個小時。系統還需要認真維護及測試。有了蜜罐,你要不斷與黑客鬥智鬥勇。可以這麼說:你選擇的是戰場,而對手選擇的是較量時機。因而,你必須時時保持警惕。
蜜罐領域最讓人興奮的發展成果之一就是出現了虛擬蜜網。虛擬計算機網絡運行在使用VMware或User-Mode Linux等虛擬計算機系統的單一機器之上。虛擬系統使你可以在單一主機系統上運行幾臺虛擬計算機(通常是4到10臺)。虛擬蜜網大大降低了成本、機器佔用空間以及管理蜜罐的難度。此外,虛擬系統通常支持“懸掛”和“恢復”功能,這樣你就可以凍結安全受危及的計算機,分析攻擊方法,然後打開TCP/IP連接及系統上面的其它服務。
對大組織的首席安全官(CSO)來說,運行蜜網最充分的理由之一就是可以發現內部不懷好意的人。
蜜罐技術的法律問題
出乎意料的是,監控蜜罐也要承擔相應的法律後果,譬如說,有可能違反《反竊聽法》。雖然目前沒有判例法,但熟悉這方面法律的人士大多數認爲,雙方同意的標語是出路所在。也就是說,給每個蜜罐打上這樣的標語:“使用該系統的任何人同意自己的行爲受到監控,並透露給其他人,包括執法人員。”
蜜罐技術解析
一、從影片特技到蜜罐技術
《特洛伊》裏龐大的希臘艦隊、《終結者2》裏隨意改變形體的“液體金屬”、《侏羅紀公園》裏滿地亂跑的恐龍們、《黑客帝國》裏的“子彈時間”…… 隨着計算機技術的不斷髮展,越來越多的電腦特技被應用在電影領域,不需要工資的虛擬演員不知辛勞地日夜工作,這些電腦技術使得導演可以構思現實中不可能存在的情節環境,也減少了影片開支。但是,在計算機的信息安全領域裏,網絡管理員要面對的是黑客真槍實幹的入侵破壞,難道在電腦技術大量應用的今天,安全領域卻得不到一點援助?答案是有的,它就是在安全領域裏代替網絡管理員上陣的“虛擬演員”——蜜罐技術。
蜜罐,或稱Honeypot,與應用於電影的特技相比,它並不神祕——所謂蜜罐,就是一臺不作任何安全防範措施而且連接網絡的計算機,但是與一般計算機不同,它內部運行着多種多樣的數據記錄程序和特殊用途的“自我暴露程序”——要誘惑貪嘴的黑熊上鉤,蜂蜜自然是不可少的。在入侵者的角度來看,入侵到蜜罐會使他們的心情大起大落——從一開始偷着樂罵管理員傻帽到最後明白自己被傻帽當成猴子耍的過程。
二、爲什麼要使用蜜罐
《終結者2》裏阿諾讓約翰把自己放入熔爐,《特洛伊》裏Achilles被王子射殺,戰爭片裏的機槍掃射,甚至《黑衣人》裏外星人發射的核彈毀滅了北極!如果這一切是真實的話,我們的明星已經成爲牆上的照片了,拍一部片要死多少人?況且,我們只有一個地球,值得爲了一部影片炸掉某個地區?所以人們必須採用電腦特技完成這些不能真實發生的劇情。同樣,管理員也不會爲了記錄入侵情況而讓入侵者肆意進入服務器搞破壞,所以蜜罐出現了。
前面說過了,蜜罐是一臺存在多種漏洞的計算機,而且管理員清楚它身上有多少個漏洞,這就像狙擊手爲了試探敵方狙擊手的實力而用槍支撐起的鋼盔,蜜罐被入侵而記錄下入侵者的一舉一動,是爲了管理員能更好的分析廣大入侵者都喜歡往哪個洞裏鑽,今後才能加強防禦。
另一方面是因爲防火牆的侷限性和脆弱性,因爲防火牆必須建立在基於已知危險的規則體系上進行防禦,如果入侵者發動新形式的攻擊,防火牆沒有相對應的規則去處理,這個防火牆就形同虛設了,防火牆保護的系統也會遭到破壞,因此技術員需要蜜罐來記錄入侵者的行動和入侵數據,必要時給防火牆添加新規則或者手工防禦。
