蜜罐与蜜网技术介绍-zhao-.ppt
《蜜罐与蜜网技术介绍-zhao-.ppt》由会员分享,可在线阅读,更多相关《蜜罐与蜜网技术介绍-zhao-.ppt(78页珍藏版)》请在咨信网上搜索。
1、蜜罐与蜜网技术介绍1内容蜜罐技术的提出蜜罐技术蜜罐概念实例工具:DTK,honeyd蜜网技术蜜网概念、蜜网项目组实例工具:Gen II 蜜网蜜罐/蜜网技术的应用新概念和新方向2蜜罐技术的提出要解决什么问题?3互联网安全状况安全基础薄弱操作系统/软件存在大量漏洞安全意识弱、安全加强 rarely done任何主机都是攻击目标!DDoS、跳板攻击需要大量傀儡主机蠕虫、病毒的泛滥并不再仅仅为了炫耀4Hold your friends close,but your enemies closer.”_Michael Corleone:TheGodfather,Part II 5互联网安全状况(2)攻击者
2、不需要太多技术攻击工具的不断完善更多的目标:Linux、Windows更容易使用,工具整合Metasploit:30+Exploits更强力攻击脚本和工具可以很容易得到和使用0-day exploits:packetstorm团队协作6网络攻防的不对称博弈工作量不对称攻击方:夜深人静,攻其弱点防守方:24*7*365,全面防护信息不对称攻击方:通过网络扫描、探测、踩点对攻击目标全面了解防守方:对攻击方一无所知后果不对称攻击方:任务失败,极少受到损失防守方:安全策略被破坏,利益受损7蜜罐技术的提出扭转工作量不对称增加攻击代价假目标扭转信息不对称了解你的敌人!他们是谁?他们使用什么工具?如何操作?
3、为什么攻击你?扭转后果不对称防守方不受影响损失计算机取证对攻击方的威慑8蜜罐技术什么是蜜罐?蜜罐的发展历史Fred Cohen DTKHoneyd9蜜罐的概念Honeypot:首次出现在Cliff Stoll的小说“The Cuckoos Egg”(1990)蜜网项目组给出如下定义:“A security resource whos value lies in being probed,attacked or compromised”没有业务上的用途,因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷用以监视、检测和分析攻击10蜜罐与没有防护的PC的区别蜜罐是网络管理员经过周密布置而设下的“
4、黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;没有防护的计算机是送给入侵者的礼物,即使被入侵也不一定查得到痕迹因此,蜜罐的定义是:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。”11蜜罐的要求设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者 12蜜罐技术的发展历史被攻陷的真实主机(1990)An Evening with Berferd虚拟蜜罐工具(1997)模拟网络服务,虚拟系统
5、Fred Cohen:DTK被监控的真实系统(2000)更多的数据捕获、分析、控制工具在一个蜜网的框架中蜜网项目组:Gen II蜜网13蜜罐的分类部署目标产品型研究型交互性:攻击者在蜜罐中活动的交互性级别低交互型高交互型14产品型蜜罐部署目标:保护单位网络防御检测帮助对攻击的响应需要网管尽可能少的工作商业产品KFSensor,Specter,ManTrap15研究型蜜罐部署目标:对黑客攻击进行捕获和分析这些“坏家伙”在干什么了解攻击方法捕获他们的键击记录捕获他们的攻击工具监控他们的会话需要大量时间和精力投入!实例:Gen II蜜网,Honeyd16低交互型蜜罐模拟服务和操作系统只能捕获少量信息
6、容易部署,减少风险实例:Specter,KFSensor,and Honeyd.17高交互型蜜罐提供真实的操作系统和服务,而不是模拟可以捕获更丰富的信息部署复杂,高安全风险实例:ManTrap,Gen II蜜网18蜜罐技术优势高保真高质量的小数据集很小的误报率很小的漏报率捕获新的攻击及战术并不是资源密集型简单19蜜罐技术弱势劳力/技术密集型局限的视图不能直接防护信息系统带来的安全风险20安全风险发现发现蜜罐蜜罐黑客知道要避免进入哪些系统向蜜罐反馈虚假、伪造的信息消除蜜罐的指纹蜜罐-反蜜罐技术:博弈问题!利用蜜罐攻利用蜜罐攻击击第三方第三方期望黑客获得蜜罐的root权限黑客会将其用作危害第三方的
7、跳板引入多层次的数据控制机制人为分析和干预21蜜罐工具实例DTKDeception Toolkit(1997)by Fred CohenFred Cohen,A Framework for Deception.HoneydA virtual honeypot frameworkHoneyd 1.0(Jan 22,2005)by Niels Provos,Google Inc.22DTK用户:普通互联网用户目标在几分钟内部署一系列的陷阱显著提高攻击代价,同时降低防御代价欺骗自动攻击程序,使其无效23从物理蜜罐到DTK24从物理蜜罐到DTK25DTK如何工作?模拟有漏洞的网络服务基于状态机变迁脚本
8、#State Input NexStat Exit ln/file output/filename0 START 011220 ESMTP Sendmail 8.1.2/8.1.3;0 ERROR 011500 Command unrecognized-please say Helo0 help 011214-No help available26效果及局限效果增大了攻击代价,增加攻击成功所需技术门槛让低水平的攻击者一头雾水通过日志可以了解攻击企图局限根据攻击者输入给出对应输出的方法过于简单所能够提供的欺骗手段有限27Honeyd可以模拟任意TCP/UDP网络服务IIS,Telnet,pop3
9、支持同时模拟多个IP地址主机经过测试,最多同时支持65535个IP地址支持ICMP对ping和traceroute做出响应通过代理和重定向支持对实际主机、网络服务的整合add windows tcp port 23 proxy“162.105.204.159 23”UI用户界面(v1.0)28Honeyd监控未使用IP地址29Honeyd设计上的考虑接收网络流量模拟蜜罐系统仅模拟网络协议栈层次,而不涉及操作系统各个层面可以模拟任意的网络拓扑Honeyd宿主主机的安全性限制对手只能在网络层面与蜜罐进行交互保证对手不会获得整个系统的访问权限捕获网络连接和攻击企图日志功能30接收网络流量Honeyd
10、模拟的蜜罐系统接收相应网络流量三种方式为Honeyd模拟的虚拟主机建立路由ARP代理支持网络隧道模式(GRE)31Honeyd体系框架配置数据库存储网络协议栈的个性化特征中央数据包分发器将输入的数据包分发到相应的协议处理器协议处理器个性化引擎可选路由构件32FTP服务模拟case$incmd_nocase in QUIT*)echo-e 221 Goodbye.rexit 0;SYST*)echo-e 215 UNIX Type:L8r;HELP*)echo-e 214-The following commands are recognized(*=s unimplemented).recho
11、-e USER PORT STOR MSAM*RNTO NLST MKD CDUPrecho-e PASS PASV APPE MRSQ*ABOR SITE XMKD XCUPrecho-e ACCT*TYPE MLFL*MRCP*DELE SYST RMD STOUrecho-e SMNT*STRU MAIL*ALLO CWD STAT XRMD SIZErecho-e REIN*MODE MSND*REST XCWD HELP PWD MDTMrecho-e QUIT RETR MSOM*RNFR LIST NOOP XPWDrecho-e 214 Direct comments to f
12、tp$domain.r;USER*)33个性化引擎为什么需要个性化引擎?不同的操作系统有不同的网络协议栈行为攻击者通常会运行指纹识别工具,如Xprobe和Nmap获得目标系统的进一步信息个性化引擎使得虚拟蜜罐看起来像真实的目标每个由Honeyd产生的包都通过个性化引擎引入操作系统特定的指纹,让Nmap/Xprobe进行识别使用Nmap指纹库作为TCP/UDP连接的参考使用Xprobe指纹库作为ICMP包的参考34路由拓扑结构Honeyd支持创建任意的网络拓扑结构对路由树的模拟配置一个路由进入点可配置链路时延和丢包率模拟任意的路由路径扩展将物理主机融合入模拟的网络拓扑通过GRE隧道模式支持分布式
13、部署35路由拓扑定义实例route entry 10.0.0.1route 10.0.0.1 add net 10.1.0.0/16 latency 55ms loss 0.1route 10.0.0.1 add net 10.2.0.0/16 latency 55ms loss 0.1route 10.1.0.1 link 10.1.0.0/16route 10.2.0.1 link 10.2.0.0/16create routeroneset routeone personality“Cisco 7206 router(IOS 11.1(17)”set routerone default
14、tcp action resetset routerone default udp action resetbind 10.0.0.1 routeronebind 10.1.0.1 routeronebind 10.2.0.1 routerone36日志功能Honeyd支持对网络活动的多种日志方式Honeyd对任何协议创建网络连接日志,报告试图发起的、或完整的网络连接在网络协议模拟实现中可以通过stderr进行相关信息收集Honeyd也可以与NIDS结合使用,捕获更多更全面的攻击信息37Feb 12 23:06:33 Connection to closed port:udp(210.35.1
15、28.1:1978-172.16.85.101:1978)Feb 12 23:23:40 Connection request:tcp(66.136.92.78:3269-172.16.85.102:25)Feb 12 23:23:40 Connection established:tcp(66.136.92.78:3269-172.16.85.102:25)sh scripts/smtp.shFeb 12 23:24:14 Connection dropped with reset:tcp(66.136.92.78:3269-172.16.85.102:25)Feb 12 23:34:53
16、Killing attempted connection:tcp(216.237.78.227:3297-172.16.85.102:80)Feb 12 23:39:14 Connection:udp(10.5.5.71:1026-172.16.85.101:137)Feb 12 23:39:14 Connection established:udp(10.5.5.71:1026-172.16.85.101:137)Wed Feb 12 23:23:40 UTC 2003:SMTP started from Port EHLO MAIL From:RCPT To:Honeyd的日志记录38蜜网
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 蜜罐 技术 介绍 zhao
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。