密罐(应用于计算机领域的陷阱)
温馨提示:这篇文章已超过412天没有更新,请注意相关的内容是否还可用!
密罐
应用于计算机领域的陷阱
蜜罐,是HoneyPot的中文译名。这是一种颇具神秘感的安全技术,即使对阅历丰富的安全专家来说。因为尽管很多年前蜜罐技术就已经出现,但是至今对其在安全领域的意义、价值、地位都未有一个公认的结论。尽管在蜜罐的定义上还存在一定的分歧,但是为了方便讨论,还是统合各种意见,对蜜罐下一个相对通用的定义:蜜罐是一种供攻击者攻击从而产生价值的安全设施。
| 中文名 | 密罐 |
| 外文名 | HoneyPot |
| 性质 | 安全技术 |
| 使用时候 | 受到攻击的情况下 |
| 蜜罐功能1 | 迷惑入侵者,保护服务器 |
| 蜜罐功能2 | 抵御入侵者,加固服务器 |
种类
做为已经出现了很久的一项技术,蜜罐已经获得了相当广泛的应用。不同形式的蜜罐可以发挥不同的作用,为了更好的认识哪种蜜罐系统更适合自己的需要,在这里有必要对不同种类的蜜罐进行一些说明。
欺骗型蜜罐
欺骗性可以说本身就是蜜罐系统最核心的本质之一,一个蜜罐系统产生作用的前提就是使攻击者认为这是一个正常的系统。纯粹的以欺骗性目的存在的蜜罐系统,则是通过伪装成攻击目标,从而转移攻击者的注意力,同时通过报警等各种附加机制对攻击的发生进行响应。例如可以搭建一个伪装成文件服务器的蜜罐系统,在其中存放一些虚假的产品开发成果、机密性资料等等,从而达到吸引和蒙蔽攻击者的作用。
欺骗型蜜罐往往要使攻击者可以较为容易的了解到蜜罐系统上的资源,同时又不能留下特别高危的入口使恶意行为生效。通常这种欺骗型蜜罐系统都是应用于商业环境,特别是那些拥有高度敏感信息的企业和组织。瞄准这类设施的攻击者往往是具有高端技术的攻击者,他们开发自己的漏洞,编写自己的工具。基于此类攻击者,常规的防御措施在不少时候根本无法发现他们的行踪。欺骗型蜜罐可以增强防御方的力量,使用户有更多的手段应对这些高阶的攻击。之所以提到不能在欺骗型蜜罐系统中保留高危漏洞,一方面是因为一个具有很明显漏洞的系统非常容易引起攻击者的警觉(一个存储了重要资料的计算机按照常理来说是不应该有特别明显的漏洞),另一方面是因为互联网环境的一个重要事实,那就是大部分的攻击流量来自那些初阶攻击者们发动的“自动化攻击”。
这些攻击赖以成功的基础是互联网上海量的计算机目标,通过自动化的工具不停的尝试每台机器可以使这些攻击者发现大量的具有特定安全漏洞的系统。这些攻击者的攻击方式与针对特定目标展开手术刀般精巧渗透的攻击者完全不同,是不折不扣的机会主义者。所以欺骗型蜜罐通常用于防御和处理高级攻击,对以上被戏称为脚本小子(Script Kiddie)的攻击群体来说欺骗型蜜罐并不非常高效。
威慑型蜜罐
这种蜜罐系统与欺骗型蜜罐的模式相当类似,只不过欺骗型蜜罐是以诱骗为主,而威慑型蜜罐则主要是对攻击者产生心理上的威吓及迷惑作用。威慑型蜜罐的主要职责就是告诉攻击者自己是个蜜罐系统,这样可以形成一定的阻吓作用,减弱攻击者的攻击意图。当然,不排除在一些情况下引起适得其反的效果,攻击者可能会因为发现了蜜罐系统而被激怒或引起更高的兴趣。不过即使如此,威慑型蜜罐还是有助于防御一方将主动权控制在自己手中。
威慑型蜜罐的另外一个方面的作用就是对攻击者产生心理迷惑,攻击者将开始怀疑所有系统的真实性,并因为发现蜜罐系统这一事实开始改变攻击的方法和节奏。一旦攻击者在攻击过程中采取一些错误的、不必要的、违反习惯的手段,就会降低效率并提高防御成功的可能性。与欺骗型蜜罐相同,威慑型蜜罐通常无法应对“自动化攻击”,因为攻击工具并不具有人性的弱点。而且威慑型蜜罐能够作用的攻击群体要更小一些,非常高阶的攻击者往往较少受到威慑型蜜罐的影响。在实际的应用当中,将威慑型蜜罐和欺骗型蜜罐结合起来应用是相当容易和有效的。
检测型蜜罐
就像防火墙和入侵检测系统等防御手段一样,也可以搭建侧重于检测和发现攻击行为的蜜罐系统。通过提高蜜罐系统的检测能力,用户不只可以通过蜜罐系统的活动情况判断攻击行为的发生,还可以更加广泛和细致的监测攻击活动。在检测技术领域,两个最重要的困扰就是误报和漏报问题。过多的报警可能会使安全检测机制无法产出可用的信息,而过少的报警又无法保证安全设施提供足够的保护。以入侵检测系统为例,如何识别更多的攻击一直是制约入侵检测技术取得更大成就的阻碍,而如何调整规则才能有效的去除无用的告警也一直是在应用入侵检测系统过程中令人困扰的问题。
对于蜜罐系统来说,问题则简单得多。引起蜜罐系统告警的行为不是攻击就是误用,不然则是某些配置错误引起的,所以蜜罐系统基本上不会产生误报。而密罐同样可以解决漏报问题,因为蜜罐系统并不通过攻击行为特征而是通过流量产生来判断攻击的发生。一个专门用于检测攻击的蜜罐系统通常被部署在类似防火墙的DMZ区域这样较多为外网访问的区域,因为这些区域往往是首先被攻击者探测的区域。建立起模拟用户系统情况的检测型蜜罐,有助于发现整个网络中易受攻击的部分,可以为修补系统缺陷和限制攻击行为提供时间缓冲。值得一提的是,检测型密罐不仅仅可以用于检测来自外网的攻击,如果接受到内部网络的连接,有可能发现已经被攻破的系统。
研究型蜜罐
以上谈到的蜜罐系统的几种应用更多的集中于产生安全防御实效,而一个与安全实效同样重要甚至说更具价值的应用就是对攻击行为的研究。在安全领域当中,防守方最大的弱势之一就是对攻击者的情报不足。攻击者可以很容易的获取各种系统的问题以及有针对性的方法和工具,而防守方所获得的资讯总是显得滞后和不充分。
以研究为目的的蜜罐系统可以提供一个非常强大的用于了解攻击者和安全威胁的机制。很多安全组织和厂商都在利用研究型蜜罐对互联网上的安全问题进行研究,例如通过模拟某些安全缺陷来分析蠕虫病毒的感染行为、收集攻击者所使用的工具、了解流行的攻击手法等等。而且非常重要的是,研究型蜜罐可以让使用者获悉很多未知的安全隐患和攻击方法,这可以做为一种预警机制来提前发现将要造成破坏的攻击行为。研究型蜜罐除了用于研究和学习目的之外,同样可以为阻止攻击行为做出贡献,只不过这种作用要间接一些。
参考资料
1.HONEYPOT(蜜罐)技术·it610
