網(wǎng)絡(luò)攻擊陷阱技術(shù)與應(yīng)用(網(wǎng)絡(luò)攻擊陷阱技術(shù)與應(yīng)用書(shū))網(wǎng)絡(luò)攻擊陷阱技術(shù)擬通過(guò)改變保護(hù)目標(biāo)對(duì)象的信息，欺騙網(wǎng)絡(luò)攻擊者，從而改變網(wǎng)絡(luò)安全防守方的被動(dòng)性，提升網(wǎng)絡(luò)安全防護(hù)能力。網(wǎng)絡(luò)攻擊陷阱技術(shù)原理網(wǎng)絡(luò)誘騙技術(shù)就是一種主動(dòng)的防御方法，作為網(wǎng)絡(luò)安全的重要策略和技術(shù)方法，它有利于網(wǎng)絡(luò)安全管理者獲得信息優(yōu)勢(shì)。網(wǎng)絡(luò)攻擊誘騙網(wǎng)絡(luò)攻擊陷阱可以消耗攻擊者所擁有的資源，加重攻擊者的工作量，迷惑攻擊者，甚至可以事先掌握攻擊者的行為，跟蹤攻擊者，并有效地制止攻擊者的破壞行為，形成威懾攻擊者的力量。目前，網(wǎng)絡(luò)攻擊誘騙技術(shù)有蜜罐主機(jī)技術(shù)和陷阱網(wǎng)絡(luò)技術(shù)。1．蜜罐主機(jī)技術(shù)蜜罐主機(jī)技術(shù)包括空系統(tǒng)、鏡像系統(tǒng)、虛擬系統(tǒng)等?？障到y(tǒng)?？障到y(tǒng)是標(biāo)準(zhǔn)的機(jī)器，上面運(yùn)行著真實(shí)完整的操作系統(tǒng)及應(yīng)用程序。在空系統(tǒng)中可以找到真實(shí)系統(tǒng)中存在的各種漏洞，與真實(shí)系統(tǒng)沒(méi)有實(shí)質(zhì)區(qū)別，沒(méi)有刻意地模擬某種環(huán)境或者故意地使系統(tǒng)不安全。任何欺騙系統(tǒng)做得再逼真，也絕不可能與原系統(tǒng)完全一樣，利用空系統(tǒng)做蜜罐是一種簡(jiǎn)單的選擇。鏡像系統(tǒng)。攻擊者要攻擊的往往是那些對(duì)外提供服務(wù)的主機(jī)，當(dāng)攻擊者被誘導(dǎo)到空系統(tǒng)或模擬系統(tǒng)的時(shí)候，會(huì)很快發(fā)現(xiàn)這些系統(tǒng)并不是他們期望攻擊的目標(biāo)。因此，更有效的做法是，建立一些提供敵手感興趣的服務(wù)的服務(wù)器鏡像系統(tǒng)，這些系統(tǒng)上安裝的操作系統(tǒng)、應(yīng)用軟件以及具體的配置與真實(shí)的服務(wù)器基本一致。鏡像系統(tǒng)對(duì)攻擊者有較強(qiáng)的欺騙性，并且，通過(guò)分析攻擊者對(duì)鏡像系統(tǒng)所采用的攻擊方法，有利于我們加強(qiáng)真實(shí)系統(tǒng)的安全。虛擬系統(tǒng)。虛擬系統(tǒng)是指在一臺(tái)真實(shí)的物理機(jī)上運(yùn)行一些仿真軟件，通過(guò)仿真軟件對(duì)計(jì)算機(jī)硬件進(jìn)行模擬，使得在仿真平臺(tái)上可以運(yùn)行多個(gè)不同的操作系統(tǒng)，這樣一臺(tái)真實(shí)的機(jī)器就變成了多臺(tái)主機(jī)（稱為虛擬機(jī)）。通常將在真實(shí)的機(jī)器上安裝的操作系統(tǒng)稱為宿主操作系統(tǒng)，將在仿真平臺(tái)上安裝的操作系統(tǒng)稱為客戶操作系統(tǒng)，仿真軟件在宿主操作系統(tǒng)上安裝。VMware是典型的仿真軟件，它在宿主操作系統(tǒng)和客戶操作系統(tǒng)之間建立了一個(gè)虛擬的硬件仿真平臺(tái)，客戶操作系統(tǒng)可以基于相同的硬件平臺(tái)模擬多臺(tái)虛擬主機(jī)。另外，在因特網(wǎng)上，還有一個(gè)專(zhuān)用的虛擬蜜罐系統(tǒng)構(gòu)建軟件Honcyd，它可以用來(lái)虛擬構(gòu)造出多種主機(jī)，并且在虛擬主機(jī)上，還可以配置運(yùn)行不同的服務(wù)和操作系統(tǒng)，模擬多種系統(tǒng)脆弱性。Honcyd的應(yīng)用環(huán)境如圖所示。2．陷阱網(wǎng)絡(luò)技術(shù)陷阱網(wǎng)絡(luò)由多個(gè)蜜罐主機(jī)、路由器、防火墻、IDS、審計(jì)系統(tǒng)共同組成，為攻擊者制造一個(gè)攻擊環(huán)境，供防御者研究攻擊者的攻擊行為。陷阱網(wǎng)絡(luò)一般需要實(shí)現(xiàn)蜜罐系統(tǒng)、數(shù)據(jù)控制系統(tǒng)、數(shù)據(jù)捕獲系統(tǒng)、數(shù)據(jù)記錄、數(shù)據(jù)分析、數(shù)據(jù)管理等功能。第一代陷阱網(wǎng)絡(luò)，出入陷阱網(wǎng)絡(luò)的數(shù)據(jù)包都經(jīng)過(guò)防火墻和路由器，防火墻的功能是控制內(nèi)外網(wǎng)絡(luò)之間的通信連接，防止陷阱網(wǎng)絡(luò)被作為攻擊其他系統(tǒng)的跳板，其規(guī)則一般配置成不限制外部網(wǎng)對(duì)陷阱網(wǎng)絡(luò)的訪問(wèn)，但需要對(duì)陷阱網(wǎng)絡(luò)中的蜜罐主機(jī)對(duì)外的連接加強(qiáng)控制，包括:限制對(duì)外連接的目的地、限制主動(dòng)對(duì)外發(fā)起連接、限制對(duì)外連接的協(xié)議類(lèi)型等，路由器安放在防火墻和陷阱網(wǎng)絡(luò)之間，路由器可以隱藏防火墻，即使攻擊者控制著網(wǎng)絡(luò)中的蜜罐主機(jī)，發(fā)現(xiàn)路由器與外部網(wǎng)相連接，也能被防火墻發(fā)現(xiàn)。同時(shí)，路由器具有訪問(wèn)控制功能，可以彌補(bǔ)防火墻的不足，例如用于防止地址欺騙攻擊、DoS、基于ICMP的攻擊等。陷阱網(wǎng)絡(luò)的數(shù)據(jù)捕獲設(shè)備是IDS，它監(jiān)測(cè)和記錄網(wǎng)絡(luò)中的通信連接并報(bào)警可疑的網(wǎng)絡(luò)活動(dòng)。此外，為掌握攻擊者在蜜罐主機(jī)中的行為，必須設(shè)法獲取系統(tǒng)活動(dòng)記錄，方法有兩種：一是讓所有的系統(tǒng)日志不但在本地記錄，同時(shí)也傳送到一個(gè)遠(yuǎn)程的日志服務(wù)器上；二是安放監(jiān)控軟件，進(jìn)行擊鍵記錄、屏幕拷貝、系統(tǒng)調(diào)用記錄等，然后傳送到遠(yuǎn)程主機(jī)第二代陷阱網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)了數(shù)據(jù)控制系統(tǒng)、數(shù)據(jù)捕獲系統(tǒng)的集成系統(tǒng)，這樣就更便于安裝與管理，如圖所示。它的優(yōu)點(diǎn)包括：一是可以監(jiān)控非授權(quán)的活動(dòng)；二是隱蔽性強(qiáng)；三是可以采用積極的響應(yīng)方法限制非法活動(dòng)的效果，如修改攻擊代碼字節(jié)，使攻擊失效。研究人員正在開(kāi)發(fā)虛擬陷阱網(wǎng)絡(luò)（VirtualHoncynets），它將陷阱網(wǎng)絡(luò)所需要的功能集中到一個(gè)物理設(shè)備中運(yùn)行，實(shí)現(xiàn)蜜罐系統(tǒng)、數(shù)據(jù)控制系統(tǒng)、數(shù)據(jù)捕獲系統(tǒng)、數(shù)據(jù)記錄等功能，我們把它稱作第三代陷阱網(wǎng)絡(luò)技術(shù)，如圖所示。網(wǎng)絡(luò)攻擊陷阱技術(shù)應(yīng)用網(wǎng)絡(luò)攻擊陷阱技術(shù)是一種主動(dòng)性網(wǎng)絡(luò)安全技術(shù)，已經(jīng)逐步取得了用戶的認(rèn)可，其主要應(yīng)用場(chǎng)景為惡意代碼監(jiān)測(cè)、增強(qiáng)抗攻擊能力和網(wǎng)絡(luò)態(tài)勢(shì)感知。1．惡意代碼監(jiān)測(cè)對(duì)蜜罐節(jié)點(diǎn)的網(wǎng)絡(luò)流量和系統(tǒng)數(shù)據(jù)進(jìn)行惡意代碼分析，監(jiān)測(cè)異常、隱蔽的網(wǎng)絡(luò)通信，從而發(fā)現(xiàn)高級(jí)的惡意代碼。2．增強(qiáng)抗攻擊能力利用網(wǎng)絡(luò)攻擊陷阱改變網(wǎng)絡(luò)攻防不對(duì)稱狀況，以虛假目標(biāo)和信息干擾網(wǎng)絡(luò)攻擊活動(dòng)，延緩網(wǎng)絡(luò)攻擊，便于防守者采取網(wǎng)絡(luò)安全應(yīng)急響應(yīng)。3．網(wǎng)絡(luò)態(tài)勢(shì)感知利用網(wǎng)絡(luò)攻擊陷阱和大數(shù)據(jù)分析技術(shù)，獲取網(wǎng)絡(luò)威脅者情報(bào)，掌握其攻擊方法、攻擊行為特征和攻擊來(lái)源，從而有效地進(jìn)行網(wǎng)絡(luò)態(tài)勢(shì)感知。學(xué)習(xí)參考資料：信息安全工程師教程（第二版）建群網(wǎng)培信息安全工程師系列視頻教程信息安全工程師5天修煉