|
蜜罐不只是简单的计算机操作,需要信息安全专业知识支撑;蜜罐系统囊括了渗透测试、漏洞发现、网络入侵技术、网络入侵检测、恶意代码分析等各方面的信息安全专业知识;清楚明白蜜罐系统,对网络安全、网络攻防有全方位的认识;
1、蜜罐的定义从字面上解析,看着,是一个装满蜜糖的罐子,很甜的感觉。听着,口腔里唾液腺的分泌不自觉的加强了。那么在网络安全中,蜜罐又是一个什么样子的东西呢?其实,道理是相通的。蜜罐里面装满了网络黑客期待的蜜糖。而这些蜜糖存在的意义就是诱骗黑客攻击蜜罐,对于黑客来说,蜜罐就是甜的。比较官方的解析:蜜罐是一台无人使用但却被严密监控的网络主机,它包含虚假的高价值资源和一些漏洞,以此吸引入侵者攻击主机。并且在被入侵的过程中,实时记录和审计攻击者的攻击流量、行为和数据。以此了解攻击者的方式、手段和目的,并且完成对攻击溯源、取证等进一步的工作。
2、蜜罐的历史比较早的时候还没有蜜罐的定义,那时候有一间公司遭到来自内网的入侵攻击,而该公司却不能找出攻击的源头。此时,公司的一名员工伪造了一个有漏洞的系统服务,并且在此基础上添加了网络监控的功能。部署上线后该系统也遭到来自于内网的入侵攻击,网络监控也发挥了功能,捕获到攻击来源。其实,该系统就是我们所说的蜜罐系统,但是那时候还没有得到明确定义。随着时间推进,蜜罐开始进入公众视野,功能不断完善,添加上网络监控、主机监控等多方面支持。后来蜜罐也向多个方面发展,蜜网系统、工控蜜罐、Linux蜜罐等等。
3、蜜罐的使用价值蜜罐获得战争的制高点是我知道你要做什么。如果曹操提前得知孔明会草船借箭,他该怎么做?有人说:一支箭都不给孔明;有人说:箭还是给孔明,但是每支箭都点上火;而蜜罐是网络战争提前获得消息的利器,那么网络战争中如果知道敌人的攻击手段,你会怎么做?断网?防火墙?IPS?主动出击,先发制人。在蜜罐系统上伪装了各种真实的业务资源,例如邮箱服务,ftp服务、网站服务等等,用来欺骗敌人入侵蜜罐系统,并且在敌人毫不知情的情况下,记录他们入侵蜜罐系统的全部操作。所以说,蜜罐的价值在于诱骗攻击。
4、蜜罐的构成蜜罐系统的构成可以从逻辑模块以及功能模块两个方面来理解。 4.1逻辑模块数据控制:数据控制技术是控制攻击者出入蜜网主机的活动,使其不会以蜜网主机为跳板攻击和危害互联网上其它的主机。
数据捕获:数据捕获技术包括网络流量数据捕获以及主机上系统行为的捕获。网络流量数据的捕获结合网络入侵检测系统,配置相关敏感信息的检测规则,触发入侵检测规则时立即记录网络流量
数据分析:数据分析技术基于数据捕获技术之上,把收集到的网络数据、主机行为数据保存于数据库当中。分析技术需要信息安全网络攻防研究基础、数据库设计基础。
4.2功能模块主机监控:进程监控、文件监控、注册表监控、网络监控等,监控黑客入侵蜜罐系统后的一切操作,了解黑客入侵的目的。
入侵检测:蜜罐系统的入侵检测模块可以准确的检测出黑客入侵蜜罐的攻击手段,对黑客的入侵过程进行详细的记录。
攻击分析:分析主机监控以及入侵检测两个模块获得的数据。
5、蜜罐的网络系统HoneyProject官网上的蜜罐系统网络结构包括:透明网关HoneyWall、蜜罐主机HoenyPot。HoneyWall位于众多HoenyPot的前面,HoenyPot网络流量都经过HoneyWall。在HoneyWall上面部署透明网桥、网络入侵检测、防火墙、主机指纹识别等网络安全系统,用于控制以及监听进出HoenyPot的网络流量。那么,HoneyWall可以认为是一个路由器,一个或者多个HoenyPot连接路由器与外界进行通信。而该路由器上面部署了各种各样的网络安全系统来控制监听网络,最重要的一点是该路由器是透明设备,其他的网络用户并不能感知其存在。这样做就更加的隐蔽了。
6、蜜罐的展望Honey Farm:蜜场是蜜罐概念的发展。蜜场的思想是将网络中可疑数据流重定向到蜜场中。在网络中放置检测器,当发现可疑数据流时,利用重定向器将其导向蜜场。所有蜜罐集中于蜜场,与外网之间用防火墙隔离。蜜场的优势在于集中性。
7、存在的问题蜜罐系统部署后需要大量的人力物力进行维护;法律责任的问题等等 |
|
|
