● 科技信息 0 I丁技术论J:2 0 SCIENCE&TECHNOLOGY INFORMATION 2008年第29期 反蜜罐技术框架研究及实现 章英 408100) (长江师范学院网络信息中心 中国 重庆【摘要】蜜罐和反蜜罐的对抗在不断的发展,一旦蜜罐被攻击者所识别,就会失去其原有的价值。本文在大量实验的基础上,对反蜜罐的 技术框架进行研究,在文献川的基础上提出了一种新的识剐虚拟蜜罐Honeyd的方法,实现了对其在HNUX下的编程识别,并通过实验证明了 其有效性。 【关键词】蜜罐;反蜜罐;特征识别 1.引言 报为虚拟主机。蜜罐主机同样基于Fedora Core5平台,使用honeyd分 蜜罐及其蜜网技术是近几年发展起来的一种基于诱骗理论的安 别模拟出linux虚拟主机和windows虚拟主机各一台。 全技术。通过设置蜜罐系统可以分散入侵者对生产网络的注意力.通 过日志分析收集有关入侵者的有用信息,以及新的攻击技术,方法和 工具。所以相对于防火墙、入侵检测等传统的安全技术,蜜罐技术可使 我们在安全防护中变被动为主动,从而更好地保护网络系统。 蜜罐技术应用的成功与否决定与蜜罐系统对攻击者的迷惑性。因 此有必要从攻击者的角度对现有蜜罐系统进行检验,发现蜜罐系统的 不足之处加以改进,以使蜜罐系统起到更好的防护作用,即反蜜罐技 术。本文首先对现有反蜜罐技术进行总结.建立反蜜罐判定框架,然后 依据该框架,通过对最常见的虚拟蜜罐Honeyd源代码分析进行漏洞 发掘,找出Honeyd部署最为普遍的1.0版本的漏洞.并应用Libpeap 和Libnet开发包在Linux下实现了对该漏洞的识别。 2.反蜜罐技术 根据蜜罐的设计目的不同,可以分为产品型蜜罐和研究型蜜罐两 类。根据蜜罐的交互复杂度,又可以分为低交互蜜罐,中交互蜜罐和高 交互蜜罐三类。蜜罐中的主要技术有网络欺骗、端口重定向、报警、数 图1 将虚拟主机伪装成Windows NT 4.0 SP5一SP6的操作系统。在本脚 据控制和数据捕获,数据分析等。蜜罐虽然采用了各种隐藏方法和技 本中指定该蜜罐有5个开放的端口:80/tcp,139/tcp,137/tep,137/udp 术,但是它有自己的特征,蜜罐识别技术就是针对这些特征来对蜜罐 和135/udp。当一台机器试图连接该蜜罐的80端口时,蜜罐为该客户 进行识别的。 端提供由perl脚本模拟的IIS服务。对于关闭的端口,该配置指定:当 根据现有我们在网络攻防的实际经验和国内外相关文献。反蜜罐 连接为TCP时,系统发送RST信息,当连接为ICMP时,系统发送“端 技术主要是通过主动识别和被动识别来分类。 口不可达”信息。 主动识别是指攻击者通过主动发包.根据目标系统反馈特征进行 3.3蜜罐虚拟环境效果检测 识别。包括TCP3P协议栈指纹特征识别、TC P协议栈行为特征识 在局域网中对该蜜罐系统模拟虚拟主机网络行为进行了常规测 别、网络行为特征识别、服务行为特征识别、系统行为特征识别、饱和 试。以确定虚拟主机模拟蜜罐效果。 攻击特征识别和其他。其中前两种为最为常用的两种方法。 当未运行蜜罐时,在攻击主机上Ping虚拟主机IP192.168.0.130。 被动识别主要是攻击者利用嗅探工具捕捉蜜罐网络上的数据包 显示为不通。运行蜜罐之后,再Ping虚拟主机192.168.0.130,显示可以 来分析判断蜜罐的存在。如蜜罐的各个部分为了完成功能,就要通过 Ping通。实验结果表明蜜罐运行后,对ICMP包进行了正确的应答.并 网络有机的联系起来,捕捉信息的传输、日志信息的备份等都要通过 且在蜜罐的日志系统里显示如下: 'd[23471:Sending Ia Echo Reply:192.168.0.130一>192.188.0.135 网络进行。攻击者可以通过利用嗅探工具捕捉蜜罐网络上的这些异常 honey妯[2347]:S聃d lcIP Echo脚ly:192.168.0.130一>192.168.o.135 数据来判断蜜罐的存在。包括IP包特征识别、异常数据包特征识别和 hone ̄:rrdtool_fork:ezecv(/usr/bin/zrdtco1):lto such file or direnory 其他。 3.反蜜罐技术框架初步实践 3.1 honeyd简介 ho£叼畦【23t 1:rrdtool returni error0一re.me'ring。 honeyd[2 ̄7]:r,e ̄uir,z rrdtool too驰i ly hone蜩[2347]:Sending IcIP Echo Rep/r:192.168.0.130一>192.158.0.135 honeyd[2347]:Se,adin ̄ 呻Echo R砷l,:192.168。0.130一>192.168.0.135 Honeyd是一个小的虚拟蜜罐程序,它能够产生虚拟的主机,这些 主机能够被配置以提供任意的服务,系统特征也是与之相适应,以至 于使之看起来像真实的系统在运行。在一个局域网的网络仿真中, Honeyd能够使单个主机拥有许多IP(多达65536个)。通过提供对威 胁探测和评估的机制,增强了计算机的安全性,通过隐藏真实的系统 如上述实验结果,可见蜜罐虚拟主机同真实主机一样对ICMP包 进行了准确反应。应用上述方法难以分辨真实主机与蜜罐虚拟主机。 3.4本实验中反honeyd关键技术概述 经我们实验,在honeydO.8版本前,honeyd对同时包含SYN和 RST的TCP畸形包进行无条件的反应回包,从而出现了TCP/IP协议 在虚拟的系统中,也达到了阻止敌手的目的。Honeyd被设计用来应答 栈行为与真实主机上的显著区别。攻击者可根据这点识别出蜜罐虚拟 目标地址属于模拟蜜罐范围之内的网络包。 主机。应当指出的是,在国内某些文献中 将该漏洞认为是,honeyd虚 Honeyd提供仿真服务主要基于对应用层的协议进行模拟。通过 使用python编写的脚本,可以实现在各种服务中模拟真实应用层服务 的交互。 . 3.2实验环境搭建 拟的主机不能像真实主机一样在TCP/IP三次握手协议中对无反应的 远程主机进行持续发包,以此方法实现对honeyd虚拟主机的识别。经 我们反复实验,应用该方法发现不能复制出实验结果。 BUGTRAP上于2006年2月发布了honeyd蜜罐软件最新的一个 漏洞,攻击者可利用该漏洞实现对honeyd的检查。但该漏洞描述中未 给出漏洞的具体细节和攻击方法。通过对honeyd软件源代码分析,我 图1是我们的实验网络拓扑图。 攻击主机使用Fedora Core5平台,以便使用基于数据包构造包 Libnet自行开发的反蜜罐工具。在本实验网络中,设置有基于 们发现问题存在与honeyd的ip栈的实现上。存在该漏洞的honeyd版 windows2003 se ̄er服务的真实主机一台。将蜜罐主机和真实主机配 本中,其对某些分片的畸形ip包不能正确应答,而真实主机是可以应 置在同一子网中,主要用于检测该反蜜罐工具的准确率和误报率,即 答的。依据该原理,我们应用linux下最常用的数据包构造和发送工具 是否能准确从真实主机中分辨出虚拟主机,或者是否会将真实主机误 libnet开发出了anti—honeyd 0.1版本。 (下转第79页) 科技信息 o『r技术论坛0 SCIENCE&TECⅢi0L0GY INFORMATION 2008年第29期 分集效果,要求接收机具有更复杂的结构,这在硬件上也不易实现。 3.4IEEE 802.11g标准 IEEE 802.11a和802.I1b工作在不同的频谱.因此这两种标准互 缺点 不兼容。为了解决这一问题。IEEE在2003年提出了802.1lg这一 \ 成号本容较扰易高 较被,干信 低传用,输的能速用同少率户时 较数使 成本较高 5.结束语 WLAN新标准。802.11g兼容802.11b的物理层标准,并进行了速率上 的扩展,在2.4GHz频谱下支持最高54Mbps的传输速率。当传输速率 如今,无线局域网技术正被广泛应用,IEEE 802.1lg标准已成为 在20Mbps以下时,在物理层采用DSSS技术和CCK技术。当传输速 主流的产品标准。尽管如此,802.1la和802.1lb标准仍占据相当大一 率超过20Mbps时,在物理层使用OFDM技术。802.11g标准兼容 部分市场份额。由于802.11a和802.1lb、802.1lg运行在不同的频谱范 802.1lb并提供了更高的传输速率,但昂贵的成本阻碍了它的发展。 围.因此出现了兼容5GHz和2.4GHz频谱的无线接入产品.也就是 4.IEEE各标准对比 说,802.1la标准和802.1 lb标准802.】1g标准的产品均可实现无障碍 WLAN技术各IEEE标准之间的区别及各自的优缺点.可通过表 接入,并提供11Mbps和54Mbps两种传输速率。 1进行比较。 目前无线局域网产品大约只能覆盖100米的范围,为了扩大有效 表1 IEEE各标准对比 覆盖范围,有人提出了搭建WirelessMesh网络的设想。在 WirelessMesh网络内,无线终端能够经由装有特殊芯片的路由器访问 IEEE标准 802.11 8o2.11a 802.1lb 8021lg 网络,这可大大增加有效传输距离。 运行的频谱范围 2.4GHz 5 GHz 2.4GHz 24 GHz 总之,随着WLAN技术的不断改进,未来的无线传输将更加快速 传输速率 1 or 2Mbps 最高54Mbps 最高54Mbps 最高54Mbps OFDM(传输 和安全。 调制技术 FDSHSSS,S OFDM DSSS和CCK 感 (传输速度> 20Mbps 【参考文献】 [1]刘乃安.无线局域网(wLAN)——原理技术与Jg J ̄lf(M).西安:西安电子科技大 学出版社,20O4年 可用信道 \传输最大距离 \安全性 WEP 12 24m WEP 1l 53m W_EP 3 53m WEP 『2]Introduction to IEEE 802.11 fInternet). http://www.intelligraphics.corn/articled8021 larticle.html _[3]Frequency Hopping Spread Speetrum(Internet). http:gen.wikipedia.org/wiki/frequency—hoppingspreadspectrum. _优点 \ 高更速时多使率用用,户支。同 持 低不成易本被,干信扰号 更时不使易多被用阻,户信塞同号 高速率,支持 作者简介:吴慧敏(1972一),女,I程师,I学学士 权孟立(1982一),男,助理工程师,I学学士。 [责任编辑:张慧】 windows serv由2003体系结构规划、设计、实施与管理.[M].北京:冶金 (上接第73页)实用性,提出了由表及里、逐层深入的学习途径,便 [1]田丰.2006.09,21 1-224. 于学生循序渐进地学习信息技术的知识和技能。另外它也给了学生 工业出版社.[2]王隆杰,,梁广民,/杨名川.Windows Server2003网络管理实训教程[M].北京: 充分的自由。培养了学生动手实践的能力,极大地提高了学生学习 的兴趣。 清华大学出版社.2006.03. 【参考文献】 [责任编辑:田瑞鑫] (上接第83页)3.5检测结果 . 建立反蜜罐技术框架。本框架原型应用TCP/IP协议栈行为特征识别 在反Honeyd实验中进行了成功测试。建立反蜜罐框架的目的是在未 来的网络安全工作中建立检测蜜罐的一款通用工具,以及发现实际部 应用该工具测试真实主机192.168.0.44时.获得的实验结果为 【r∞t●1 ・l'哪t h。蕾 hplnt2_S-Y 192.108.0.144-p∞ 且Pl蕊192.1鲳.0.144(et的192.168.0.144J:SY Nt.∞ .der.+0 dItI bytes len= ̄len:帕irm192.168.0.144 tt1=64 DF ld=o●∞rt=∞jp=lB2.1fib.0.144 ttl::if4 DF Id=O sport ̄flt ̄s=2A髓q naEs= ̄win=0 rtt皇8.0雅 署中蜜罐的漏洞,对蜜罐进行改进,进一步提高其防护作用。 ltn=40 ip=192.168.0.144 tt1=64 DF ld:0-∞rt啪flaIF ̄∞q-l-in皇o rtt=O.1啦 麓a=2 Ijn=o rtt=o.2晦 len=40 lp=192.Iris.0.144 tt1=64 DF id=o slz= ̄=80 flags= ̄A叠a4 tin篁o rtt=O.1暗 【参考文献】 [1]蒋欣,薛质.针对honeypot的指纹识别及其防御对策[J].信息安全与通信保 密,2005;10:79—82. 应用该工具测试两个蜜罐虚拟主机.获得的实验结果分别为 l r ̄t@localho墨t hom j hpiqt2-S-y 192.168.0.13o.p t39 HPIm 192.168.0.130(ethO 192.168.0.1aO):sY set.柏Meaders十0 data b) ̄es lC lC神HDst Unreachable from jp=192.168.0.144犯噼 疆m■ 珏口st Unresthable from tP=192.1鹊.0.144碍伸=UNK -x [2]马艳丽,赵战生,黄轩.Honeydpot一网络陷阱[J].计算机工程与应用.2003,39 (4):162-165. [3]梁知音.honeyd框架[EB/OL].http://www.honeypot.corn.cn/article/honcyd框架. pdf,2004-10—30. lC蛳’H口st URresclmble from ip=192.168.0.144豫嘲:UN-:m暮X lreot ̄localhost hont j hptag2_s 192.168.0.131-p l∞ IIPI辩192.168.0.131(eth0 192.1if8.0.x3t):SY set.柏headers十0 data bytes JC胛lC奸】C舯胁st Unreachable from ip=192.168.0.144叫噼IU掰:狮■X 羁。皇t‰resolvable from t ̄=192.168.0.144 M∞ 雠 Host Unresthable from ip=192.168.0.144 m ;U敝 ■N [4]Honeynet Project.Know your enemy:Sebek[EB/OL1.http://www.honeynet.ors/ papers/sebek.pdf.2003-1 1 [5]JANUARY,FEBRUARY.Anti—Honeypot Technology [EB/OL】http://www. computer.org/seeurity/.2004 [6]李成.网络扫描工具的研究[EB/OL].http://www.honeynet.org.en/reports/网络 odf,2005—6—7. 由上述实验结果可见,真实的主机对分片的畸形IP包可以正确 扫描工具的研究.虚拟蜜罐系统框Honeyd的分析与研究[J].计算机工 应答,但是蜜罐机却不能应答.采用这种方法可以对Honeyd识别,我 [7]周莲英,曹登元,年轶.们自行开发的反蜜罐工具达到了预定效果。 程与应用,2005,27:l37—140. 4.结论 攻击者对蜜罐软件的检测如同软件工程的黑盒测试。攻击者可以 院网络信息中 。 通过对蜜罐外在行为的测试特别是虚拟主机在网络层次和应用层协 议上的表现来检出虚拟主机。本次实验的目的就是在攻击者的角度, 作者简介:章 ̄(1981.4—1,女,湖北成宁,硕士,讲师,信息安全,长江师范学 [责任编辑:韩铭]
