密罐

密罐

應用于計算機領域的陷阱
蜜罐,是HoneyPot的中文譯名。這是一種頗具神秘感的安全技術,即使對閱曆豐富的安全專家來說。因為盡管很多年前蜜罐技術就已經出現,但是至今對其在安全領域的意義、價值、地位都未有一個公認的結論。盡管在蜜罐的定義上還存在一定的分歧,但是為了方便讨論,還是統合各種意見,對蜜罐下一個相對通用的定義:蜜罐是一種供攻擊者攻擊從而産生價值的安全設施。[1]
    中文名:密罐 外文名:HoneyPot 所屬學科: 性質:安全技術 使用時候:受到攻擊的情況下 蜜罐功能1:迷惑入侵者,保護服務器 蜜罐功能2:抵禦入侵者,加固服務器

種類

做為已經出現了很久的一項技術,蜜罐已經獲得了相當廣泛的應用。不同形式的蜜罐可以發揮不同的作用,為了更好的認識哪種蜜罐系統更适合自己的需要,在這裡有必要對不同種類的蜜罐進行一些說明。

欺騙型蜜罐

欺騙性可以說本身就是蜜罐系統最核心的本質之一,一個蜜罐系統産生作用的前提就是使攻擊者認為這是一個正常的系統。純粹的以欺騙性目的存在的蜜罐系統,則是通過僞裝成攻擊目标,從而轉移攻擊者的注意力,同時通過報警等各種附加機制對攻擊的發生進行響應。例如可以搭建一個僞裝成文件服務器的蜜罐系統,在其中存放一些虛假的産品開發成果、機密性資料等等,從而達到吸引和蒙蔽攻擊者的作用。

欺騙型蜜罐往往要使攻擊者可以較為容易的了解到蜜罐系統上的資源,同時又不能留下特别高危的入口使惡意行為生效。通常這種欺騙型蜜罐系統都是應用于商業環境,特别是那些擁有高度敏感信息的企業和組織。瞄準這類設施的攻擊者往往是具有高端技術的攻擊者,他們開發自己的漏洞,編寫自己的工具。基于此類攻擊者,常規的防禦措施在不少時候根本無法發現他們的行蹤。欺騙型蜜罐可以增強防禦方的力量,使用戶有更多的手段應對這些高階的攻擊。之所以提到不能在欺騙型蜜罐系統中保留高危漏洞,一方面是因為一個具有很明顯漏洞的系統非常容易引起攻擊者的警覺(一個存儲了重要資料的計算機按照常理來說是不應該有特别明顯的漏洞),另一方面是因為互聯網環境的一個重要事實,那就是大部分的攻擊流量來自那些初階攻擊者們發動的“自動化攻擊”。

這些攻擊賴以成功的基礎是互聯網上海量的計算機目标,通過自動化的工具不停的嘗試每台機器可以使這些攻擊者發現大量的具有特定安全漏洞的系統。這些攻擊者的攻擊方式與針對特定目标展開手術刀般精巧滲透的攻擊者完全不同,是不折不扣的機會主義者。所以欺騙型蜜罐通常用于防禦和處理高級攻擊,對以上被戲稱為腳本小子(Script Kiddie)的攻擊群體來說欺騙型蜜罐并不非常高效。

威懾型蜜罐

這種蜜罐系統與欺騙型蜜罐的模式相當類似,隻不過欺騙型蜜罐是以誘騙為主,而威懾型蜜罐則主要是對攻擊者産生心理上的威吓及迷惑作用。威懾型蜜罐的主要職責就是告訴攻擊者自己是個蜜罐系統,這樣可以形成一定的阻吓作用,減弱攻擊者的攻擊意圖。當然,不排除在一些情況下引起适得其反的效果,攻擊者可能會因為發現了蜜罐系統而被激怒或引起更高的興趣。不過即使如此,威懾型蜜罐還是有助于防禦一方将主動權控制在自己手中。

威懾型蜜罐的另外一個方面的作用就是對攻擊者産生心理迷惑,攻擊者将開始懷疑所有系統的真實性,并因為發現蜜罐系統這一事實開始改變攻擊的方法和節奏。一攻擊者在攻擊過程中采取一些錯誤的、不必要的、違反習慣的手段,就會降低效率并提高防禦成功的可能性。與欺騙型蜜罐相同,威懾型蜜罐通常無法應對“自動化攻擊”,因為攻擊工具并不具有人性的弱點。而且威懾型蜜罐能夠作用的攻擊群體要更小一些,非常高階的攻擊者往往較少受到威懾型蜜罐的影響。在實際的應用當中,将威懾型蜜罐和欺騙型蜜罐結合起來應用是相當容易和有效的。

檢測型蜜罐

就像防火牆和入侵檢測系統等防禦手段一樣,也可以搭建側重于檢測和發現攻擊行為的蜜罐系統。通過提高蜜罐系統的檢測能力,用戶不隻可以通過蜜罐系統的活動情況判斷攻擊行為的發生,還可以更加廣泛和細緻的監測攻擊活動。在檢測技術領域,兩個最重要的困擾就是誤報和漏報問題。過多的報警可能會使安全檢測機制無法産出可用的信息,而過少的報警又無法保證安全設施提供足夠的保護。以入侵檢測系統為例,如何識别更多的攻擊一直是制約入侵檢測技術取得更大成就的阻礙,而如何調整規則才能有效的去除無用的告警也一直是在應用入侵檢測系統過程中令人困擾的問題。

對于蜜罐系統來說,問題則簡單得多。引起蜜罐系統告警的行為不是攻擊就是誤用,不然則是某些配置錯誤引起的,所以蜜罐系統基本上不會産生誤報。而密罐同樣可以解決漏報問題,因為蜜罐系統并不通過攻擊行為特征而是通過流量産生來判斷攻擊的發生。一個專門用于檢測攻擊的蜜罐系統通常被部署在類似防火牆的DMZ區域這樣較多為外網訪問的區域,因為這些區域往往是首先被攻擊者探測的區域。建立起模拟用戶系統情況的檢測型蜜罐,有助于發現整個網絡中易受攻擊的部分,可以為修補系統缺陷和限制攻擊行為提供時間緩沖。值得一提的是,檢測型密罐不僅僅可以用于檢測來自外網的攻擊,如果接受到内部網絡的連接,有可能發現已經被攻破的系統。

研究型蜜罐

以上談到的蜜罐系統的幾種應用更多的集中于産生安全防禦實效,而一個與安全實效同樣重要甚至說更具價值的應用就是對攻擊行為的研究。在安全領域當中,防守方最大的弱勢之一就是對攻擊者的情報不足。攻擊者可以很容易的獲取各種系統的問題以及有針對性的方法和工具,而防守方所獲得的資訊總是顯得滞後和不充分。

以研究為目的的蜜罐系統可以提供一個非常強大的用于了解攻擊者和安全威脅的機制。很多安全組織和廠商都在利用研究型蜜罐對互聯網上的安全問題進行研究,例如通過模拟某些安全缺陷來分析蠕蟲病毒的感染行為、收集攻擊者所使用的工具、了解流行的攻擊手法等等。而且非常重要的是,研究型蜜罐可以讓使用者獲悉很多未知的安全隐患和攻擊方法,這可以做為一種預警機制來提前發現将要造成破壞的攻擊行為。研究型蜜罐除了用于研究和學習目的之外,同樣可以為阻止攻擊行為做出貢獻,隻不過這種作用要間接一些。

相關詞條

相關搜索

其它詞條