基于Honeypot安全防御機制的校園網安全系統研究與設計

摘要:隨著我國信息化進程不斷發展， 擴大了了網絡信息共享范圍， 提高了信息流動的速度， 促進了我們辦公自動化的效率， 但是在我們享受和利用信息化建設速度提供這些便利的同時， 計算機網絡安全問題也日益突現。蜜罐技術是一種采用了主動防御的網絡安全技術， 部署蜜罐的目的就是吸引攻擊者來攻擊， 捕獲攻擊者在蜜罐系統上的活動數據， 從而更好地研究攻擊者的行為和動機，研究入侵者所使用的攻擊工具、策略和方法。

關鍵詞:校園網絡安全;安全防御機制;蜜罐;蜜網

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)33-9234-03

隨著基于計算機網絡技術的現代教育手段應用的日益廣泛， 各地建設校園網的熱情空前高漲。校園網的普及對加快信息處理、合理配置教育資源、充分利用優質教育資源、提高工作效率、減輕勞動強度、實現資源共享都起到了不可估量的作用，信息安全問題也日益突出。 作為從局域網基礎上發展起來的校園網也面對這樣的安全問題。 因此， 解決網絡安全問題刻不容緩。網絡與信息安全技術的核心問題是對計算機系統和網絡進行有效地防護。網絡安全涉及面很廣， 從技術層面上講主要包括防火墻技術、入侵檢測技術、病毒防護技術、數據加密和認證技術、蜜罐技術等， 這些安全技術中， 大多數技術都是在攻擊者對網絡進行攻擊時對系統進行被動的防護。而可以采取主動的方式的蜜罐技術就是用特有的特征吸引攻擊者， 同時對攻擊者的各種攻擊行為進行分析并找到有效的對付方法。結合蜜罐構建的網絡安全防御系統， 可使網絡防御者化被動為主動， 更好地研究入侵者的行為和動機， 從而更好地保護校園網絡。

1 蜜罐的定義及分類

“蜜罐”的思想最早由Clifford Stoll 于1988 年6 月提出，作者在跟蹤黑客的過程中，利用了一些包含虛假信息的文件作為黑客“誘餌”來檢測入侵。明確提出蜜罐是Lance Spitzner 給出的定義:蜜罐是一種安全資源，其價值在于被探測、攻擊或者摧毀。蜜罐是一種預先配置好的系統，系統內含有各種偽造而且有價值的文件和信息，用于引誘黑客對系統進行攻擊和入侵。蜜罐系統可以記錄黑客進入系統的一切信息，同時還具有混浠黑客攻擊目標的功能，可以用來保護服務主機的正常運行。蜜罐系統收集到的信息可以作為跟蹤、研究黑客現有技術的重要資料，可以用來查找并確定黑客的來源;還可以用來分析黑客攻擊的目標，對可能被攻擊的系統提前做好防護工作。

蜜罐在編寫新的IDS特征庫、發現系統漏洞、分析分布式拒絕服務(DDOS)攻擊等方面是很有價值的。蜜罐本身并不直接增強網絡的安全性，將蜜罐和現有的安全防衛手段如入侵檢測系統(IDS)、防火墻(Firewall)、殺毒軟件等結合使用，可以有效提高系統安全性。

按照蜜罐實現時，允許操作系統與入侵者交互的復雜程度，蜜罐系統可以劃分為低交互級蜜罐系統、中交互級蜜罐系統和高交互級蜜罐系統。

1) 低交互級蜜罐系統:典型的低交互級蜜罐僅提供一些簡單的虛擬服務，例如在特定的端口監聽記錄所有進入的數據包。這類蜜罐沒有向入侵者提供可以遠程登錄的真實操作系統，因此風險最低，但是蜜罐所扮演的角色是非常被動的，就象一個單向連接，只有信息從外界流向本機，而沒有回應信息發出，無法捕捉到復雜協議下的通訊過程，所能收集到的信息有限。

2) 中交互級蜜罐系統:中交互級蜜罐系統也不提供真實的操作系統，但是卻為入侵者提供了更多復雜的誘騙進程，模擬了更多更復雜的特定服務，使攻擊者誤認為是一個真正的操作系統，能夠收集更多數據。但同時也增加了蜜罐的風險，因此要確保在模擬服務和漏洞時不產生新的真實漏洞，而給黑客攻擊真實系統的機會。

3) 高交互級蜜罐系統:高交互蜜罐提供了真實的操作系統和服務，可以了解黑客運行的全部動作，獲得更多有用信息，但遭受攻擊的可能性大，引入了更高風險，結構較復雜。高交互蜜罐系統部署的代價最高，需要系統管理員的連續監控。不可控制的蜜罐對任何組織來說沒有任何意義甚至可能成為網絡中最大的安全隱患。

從具體實現的角度，可以分為物理蜜罐和虛擬蜜罐。

1) 物理蜜罐:物理蜜罐通常是一臺或多臺真實的在網絡上存在的主機，這些主機上運行著真實的操作系統，擁有自己的IP 地址，提供真實的網絡服務來吸引攻擊。

2) 虛擬蜜罐:虛擬蜜罐通常用的是虛擬的機器、虛擬的操作系統，它會響應發送到虛擬蜜罐的網絡數據流，提供模擬的網絡服務等。

2 蜜罐的配置模式

1) 誘騙服務(deception service)

誘騙服務是指在特定的IP服務端口幀聽并像應用服務程序那樣對各種網絡請求進行應答的應用程序。DTK就是這樣的一個服務性產品。DTK吸引攻擊者的詭計就是可執行性，但是它與攻擊者進行交互的方式是模仿那些具有可攻擊弱點的系統進行的，所以可以產生的應答非常有限。在這個過程中對所有的行為進行記錄，同時提供較為合理的應答，并給闖入系統的攻擊者帶來系統并不安全的錯覺。例如，當我們將誘騙服務配置為FTP服務的模式。當攻擊者連接到TCP/21端口的時候，就會收到一個由蜜罐發出的FTP的標識。如果攻擊者認為誘騙服務就是他要攻擊的FTP，他就會采用攻擊FTP服務的方式進入系統。這樣，系統管理員便可以記錄攻擊的細節。

2) 弱化系統(weakened system)

只要在外部因特網上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。這樣的特點是攻擊者更加容易進入系統，系統可以收集有效的攻擊數據。因為黑客可能會設陷阱，以獲取計算機的日志和審查功能，需要運行其他額外記錄系統，實現對日志記錄的異地存儲和備份。它的缺點是“高維護低收益”。因為，獲取已知的攻擊行為是毫無意義的。

3) 強化系統(hardened system)

強化系統同弱化系統一樣，提供一個真實的環境。不過此時的系統已經武裝成看似足夠安全的。當攻擊者闖入時，蜜罐就開始收集信息，它能在最短的時間內收集最多有效數據。用這種蜜罐需要系統管理員具有更高的專業技術。如果攻擊者具有更高的技術，那么，他很可能取代管理員對系統的控制，從而對其它系統進行攻擊。

4) 用戶模式服務器(user mode server)

用戶模式服務器實際上是一個用戶進程，它運行在主機上，并且模擬成一個真實的服務器。在真實主機中，每個應用程序都當作一個具有獨立IP地址的操作系統和服務的特定是實例。用戶模式服務器這樣一個進程就嵌套在主機操作系統的應用程序空間中，當INTERNET用戶向用戶模式服務器的IP地址發送請求，主機將接受請求并且轉發到用戶模式服務器上。這種模式的成功與否取決于攻擊者的進入程度和受騙程度。它的優點體現在系統管理員對用戶主機有絕對的控制權。即使蜜罐被攻陷，由于用戶模式服務器是一個用戶進程，那么Administrator只要關閉該進程就可以了。另外就是可以將FIREWALL，IDS集中于同一臺服務器上。當然，其局限性是不適用于所有的操作系統。

3 蜜罐Honeypot 的在校園網中的實現

本人首先研究了宜興技師學院的網絡環境和面臨的安全威脅，分析了校園網的特殊性及校園網的安全需求， 根據校園網的需求和特點， 再結合宜興技師學院網絡的硬件設施和學院的具體情況， 提出了我院的網絡安全解決方案，構建了本院的蜜罐系統，取名為:HoneypotMe。我們設計該蜜罐系統的目的是為了研究和驗證蜜罐在校園網安全領域所起的作用，通過實踐加深對蜜罐思想的理解，并進一步在實際環境中使用它來加強網絡的安全性。

我們在校園網中搭建了如下的試驗平臺， HoneypotMe 的系統結構及虛擬網絡拓撲結構如圖1 所示。HoneypotMe 是由虛擬網絡、虛擬蜜罐、防火墻、虛擬蜜罐的日志及分析系統、入侵檢測系統及被動探測系統幾部分組成的綜合系統。

這里的虛擬蜜罐系統建立的是一個虛擬的網絡和主機環境。它通過模擬操作系統的TCP/IP 棧來建立蜜罐，可模擬各種不同的操作系統及設備，如Linux，Windows 2000，Windows NT，Cisco Switch等。它采用的方式是使用與Nmap 或Xprobe 相同的指紋(fingerprint)數據庫來模擬操作系統，以響應針對虛擬蜜罐的網絡請求，這樣可以愚弄像Xprobe 或Nmap 這樣的TCP/IP 棧指紋識別工具。另一方面，這個系統也可以模擬虛擬網絡拓撲，在模擬的網絡配置中包含路由器，并且包含路由器的連接特性，比如反應時間、包丟失和帶寬等。這樣可以愚弄traceroute 這類工具，使網絡流量看起來遵循了所模擬的網絡拓撲。在我們的系統中，不僅通過棧指紋愚弄和吸引攻擊者以探測攻擊，而且還建立了一些模擬的服務，讓它們來與攻擊者進行交互作用。不同的系統平臺上通過腳本模擬著不同的服務，例如:在模擬的Windows 系統上打開NetBIOS端口，在模擬的 Linux 系統中激活mail 和FTP，而模擬的Cisco 路由器有一個標準的Telnet 端口，這樣可使建立起來的網絡環境看上去更加真實可信。每個被模擬的計算機系統都有一個IP 地址與之綁定，這些被綁定的地址是一些未被分配網絡地址。這樣配置起來的系統靈活多變，與真實的生產性系統混合在一起，更增加其誘捕和欺騙作用。圖3.9 虛線框中所示就是為實驗環境設計的虛擬蜜罐的網絡拓撲圖。Honeyd 是一個構建虛擬蜜罐的軟件，可以利用它實現我們構建虛擬蜜罐的目標。另外，作為一個開放源代碼解決方案，可為開發利用提供方便，比如，可編寫其它的服務腳本以擴充系統的功能等。為了防止由于攻擊者對蜜罐系統的破壞，使蜜罐系統癱瘓，可使用防火墻來保護該蜜罐系統。防火墻被配置成允許任何連接進入到幾個虛擬蜜罐中，但是嚴格控制到系統本身的訪問，本系統選用IPTables 來保護宿主OS 的外部IP 地址。收集和分析攻擊者的信息是HoneypotMe 能力的一項重要體現。由于蜜罐沒有生產性的活動，沒有任何正常流量會流向它正在監視的幾個IP 地址。這使得分析它捕捉到的信息極其簡單，因此它捕捉到的任何東西很可能是具有敵意的。Honeyd軟件有生成日志的功能，日志全面描述了什么系統什么時候正在探測什么端口。IDS 能對已知的攻擊發出警報，同時可將所有網絡流量記錄到一個文件或數據庫中。為了獲得分析數據包捕獲的更詳細的信息，在HoneypotMe 蜜罐系統中安裝和配置了Snort 入侵檢測系統。Snort 收集到的信息一方面記錄到Snort 的日志文件中，另一方面記錄到Mysql 數據庫中以便觀察和統計分析之用。另外，我們打算利用被動探測詳細地分析攻擊者的特征。這就需要捕獲原始數據包供被動探測工具使用?？衫肧nort 入侵檢測系統獲取Tcpdump 這樣的二進制日志記錄格式以作為被動探測工具的輸入數據，獲取攻擊者更詳細的信息以實現隱蔽探測。

正如我們所看到的，蜜罐系統使用許多獨立的工具和腳本創建，在其中還包括一些日志文件和數據庫供分析之用。開發圖形用戶界面來配置、管理蜜罐以及集中管理所有信息來源是我們的目標。蜜罐收集了許多來自不同來源的信息，將它們存儲到多個日志文件和數據庫中。用GUI 來分析這些文件和使所收集的數據相關聯是會有很大的幫助的，這樣的話管理員就不需要記住存儲數據的所有文件。另一個很主要的優點是其外觀，在基于web 的GUI 上表示信息比訪問日志文件清晰整潔的多。目前，我們僅實現了在web 界面上瀏覽Honeyd 日志的功能。

4 實驗過程及結果分析

為了驗證該系統，虛擬蜜罐宿主機被連接到校園網的物理網絡環境中，并為其分配一個真實的分配給物理計算機的IP 地址，在這里我們給其分配的IP 地址為192.168.40.7。所有實現虛擬蜜罐系統的軟件都將運行在Linux9.0 操作系統下。圖3.9 的虛線部分顯示出我們要模擬的虛擬網絡結構及各個虛擬蜜罐。從圖中可以看出虛擬蜜罐1(IP 地址為192.168.40.56)、虛擬蜜罐2(IP 地址為192.168.40.57)、虛擬蜜罐3(IP 地址為192.168.40.58)和虛擬蜜罐4(IP 地址為192.168.40.59)與虛擬蜜罐宿主機處于同一個網段。從這個網段通過一個IP 地址為192.168.40.123 的路由器(路由器1)模擬一個地址空間為10.0.1.0/24 的網絡，在這個網段中包括兩個虛擬蜜罐:虛擬蜜罐5(10.0.1.51)和虛擬蜜罐6(10.0.1.52)。從這個網段通過一個IP 地址為10.0.1.100 的路由器(路由器2)又增加了另一個地址范圍為10.1.0.0/16 的網絡，在此網絡中分布了兩個蜜罐虛擬蜜罐7(10.1.0.51)和虛擬蜜罐8(10.1.0.52)。

我們知道虛擬蜜罐系統是一個完全被配置起來的計算機系統，它在配置文件中描述每一個引用。

每個樣本定義了每個模擬的操作系統的性能?！疤卣?personality)”這就是操作系統在IP 堆棧層要模擬的東西，可利用Nmap 指紋數據庫里相同的描述作為它的OS 類型。在樣本windows 里，特征為“Windows NT 4.0 Server SP5-SP6”，在linux樣本里，它的特征為“Linux 2.4.16 – 2.4.18”。注意，特征并不影響所模擬的服務的行為，僅僅修改IP 棧的行為。對于所模擬的服務，必須根據想要模擬的OS 的類型選擇不同的腳本。換句話說就是，如果特征是Windows，不要綁定一個模擬的Apache 腳本到HTTP 端口，而是綁定一個IIS 腳本到HTTP 端口。應該說，這些服務都是入侵者在相應的操作系統中希望找到的。在樣本中，你可以為端口規定明確的行為，也可以定義為一般的行為。兩個樣本中將TCP 和UDP 的缺省行為定義為reset，因此在一般情況下，對于TCP 來講將用RST(連接復位)去響應任意的連接企圖，對于UDP，將用ICMP 端口不可達去響應。對于定義為open 行為的端口，對于TCP 將用ACK 響應，而UDP 將什么也不響應。從樣本中可以看出，Windows系統的NetBIOS 端口處于打開狀態;當一個機器與這個蜜罐的80 端口連接時，該蜜罐用IIS 仿真程序perl 腳本與客戶機進行交互;另外Linux 系統的mail 和FTP服務被激活。上面的兩個樣本分別被綁定在不同的IP 地址上。

5 結論

總之蜜罐技術是靈活的，我們可以按照自己的實現目標來構建自己的蜜罐系統。在這里我們利用虛擬蜜罐框架來構建我們校園網的蜜罐，以實現蜜罐的欺騙和誘騙功能。為了控制黑客的行為，防止黑客對蜜罐系統的破壞和利用，在蜜罐系統中加入了防火墻，并選用了Linux 2.4 自帶的內核包過濾的工具iptables。為了了解黑客的行為，在蜜罐系統中加入了信息收集和統計分析功能。通過開發web 接口的日志文件查詢工具，使蜜罐管理員能夠方便快捷地查詢虛擬蜜罐框架收集的日志信息。為了獲得更詳細的黑客攻擊和掃描信息并及時得到報警，使用入侵檢測系統Snort 來滿足我們的需求。最終，為了獲取黑客自身的信息而又不被其發現，我們使用被動探測工具p0f 來獲取黑客的操作系統指紋。這是實現隱蔽探測的一個很好的思路，即利用蜜罐來引誘攻擊者的掃描和攻擊，然后使用被動探測工具探查攻擊者的信息。這也是我們構建蜜罐系統的一個創新點。綜上所述，我們構建的蜜罐系統是一個實現了欺騙和誘騙、行為控制、入侵檢測、被動探測、數據分析等功能的綜合性蜜罐系統。

參考文獻:

[1] 夏明，趙小敏.基于蜜罐技術的病毒樣本采集系統的設計和實現[J].信息網絡安全，2008(10).

[2] 張千里.陳光英絡安全新技術民郵電出版社，2006，113-112.

[3] Honeyd-A low involvement Honeypot in Action. Reto Baumann.http://security.rbaumann.net.