基于Honeyd的蜜罐系統(tǒng)的設(shè)計與實現(xiàn).pdf

1、由于主流的網(wǎng)絡(luò)威脅逐漸從大范圍無差別的蠕蟲和電子郵件病毒攻擊轉(zhuǎn)向針對個體的以謀取利益為目的的入侵型黑客攻擊。傳統(tǒng)的數(shù)據(jù)鑒別、防火墻、數(shù)據(jù)加密和認(rèn)證等安全防護(hù)技術(shù)在手段上較為被動。蜜罐系統(tǒng)一種能夠主動防御網(wǎng)絡(luò)攻擊的技術(shù),它是一種通過偽造攻擊目標(biāo),誘騙攻擊者攻擊,從而實現(xiàn)保護(hù)實際目標(biāo)的技術(shù)。本文將通過設(shè)計和實現(xiàn)蜜罐系統(tǒng)來對該系統(tǒng)進(jìn)行研究。為了滿足實用性的要求,本文采用產(chǎn)品型蜜罐Honeyd作為設(shè)計和實現(xiàn)的蜜罐系統(tǒng)的核心。Honeyd蜜罐具有

2、精致小巧,安裝便捷,功能強(qiáng)大,實用性強(qiáng)等特點,非常適合作為一個產(chǎn)品化的蜜罐工具。然而,隨著技術(shù)的發(fā)展,Honeyd蜜罐不可避免的會存在一些問題。本文在研究Honeyd蜜罐和蜜罐系統(tǒng)的實際開發(fā)過程時,發(fā)現(xiàn)其存在如下問題：1. Honeyd所使用操作系統(tǒng)指紋庫過時。確定目標(biāo)主機(jī)的操作系統(tǒng)是攻擊者進(jìn)行攻擊活動的前奏,基本上是攻擊過程的必備步驟,對攻擊者的后續(xù)攻擊活動有著決定性意義。通常,攻擊者是通過操作系統(tǒng)的指紋技術(shù)來確定目標(biāo)主機(jī)的操作系統(tǒng)的

3、。因此,對于蜜罐系統(tǒng)來說,偽造虛擬主機(jī)指紋是一個非常重要的功能。Honeyd使用的是Nmap的指紋庫,Nmap是目前最為權(quán)威的掃描器之一,其強(qiáng)大的操作系統(tǒng)指紋庫使得它對操作系統(tǒng)的指紋掃描精度極高,許多黑客都使用Nmap來確定目標(biāo)主機(jī)操作系統(tǒng)。然而,由于掃描器技術(shù)的快速發(fā)展,而目前的Honeyd仍然使用上一代Nmap的指紋庫,從而新版本的Nmap無法檢測出Honeyd虛擬主機(jī)的操作系統(tǒng),使得Honeyd的功能失效。因此,本文在現(xiàn)有Hone

4、yd蜜罐的基礎(chǔ)上,進(jìn)行指紋庫的升級,使之可以適應(yīng)新版本的Nmap。2. Honeyd蜜罐的識別技術(shù)使得蜜罐系統(tǒng)失效。蜜罐系統(tǒng)是一種基于虛擬系統(tǒng)和協(xié)議的技術(shù),它和真實系統(tǒng)總存在著無法避免的區(qū)別。因此,妄圖攻擊的黑客們利用這種區(qū)別來識別出蜜罐系統(tǒng),使得蜜罐系統(tǒng)失去功效。目前,已經(jīng)有許多針對蜜罐的識別技術(shù)出現(xiàn)。本文選擇其中針對Honeyd的識別技術(shù)做簡要介紹,并給出相應(yīng)的反識別的方案。本文介紹了蜜罐系統(tǒng)的基本原理,著重介紹了Honeyd蜜罐,