基于ＬＫＭ的無線蜜罐實現技術研究

摘 要:為降低真實AP被探測攻擊的概率及實現對探測攻擊行為進行跟蹤研究，提出了一種基于可加載內核模塊LKM與無線網卡驅動MadWiFi的無線接入點蜜罐實現技術，隨機生成大量的虛假無線接入點并響應連接探測，同時對探測攻擊行為進行跟蹤分析。實驗結果表明該無線蜜罐實現技術達到了預期效果。

關鍵詞:無線蜜罐; MadWiFi; 接入點; LKM

中圖分類號:TP393文獻標志碼:A

文章編號:1001-3695(2009)09-3516-03

doi:10.3969/j.issn.1001-3695.2009.09.090

Wireless Honeypot implementation technology based on LKM

DONG Qian-lan， HE Ju-hou

(School of Computer Science， Shaanxi Normal University， Xi’an 710062， China)

Abstract:For reducing the probability of real APs being attacked， and tracking and studying the action which probing and attacking real APs， the paper presented a Wireless Honeypot implementation technology. It based on LKM technology with wireless network card driver MadWiFi to build a wireless honeypot platform that could deceive attackers by generating a large number of faked wireless APs to reply probing access. It also could track and analyze activities of attackers. The result of the experiment shows this implementation technology can meet the requirements of the honeypot system.

Key words:Wireless Honeypot; MadWiFi; access point(AP); LKM

0 引言

隨著無線網絡技術的發展普及，無線網絡的安全成為研究熱點[1]。無線網絡特質所決定的安全約束[1]和廣播SSID設置等機制使其安全隱患區別于常規有線網絡，目前現有的MAC地址過濾、SSID 訪問控制、有線等效保密(WEP)、新一代無線安全技術—IEEE 802.11i等主要無線安全技術均是一種被動的安全防患對策，且討論的焦點在于無線網絡通信信道的加密和認證上，在其他方面的安全防護存在不足，而采取主動防御策略的無線網絡安全技術Wireless Honeypot則彌補了這一不足。

Wireless Honeypot[2]是等待攻擊者或惡意用戶訪問的無線資源。它通過搭建具有無線服務資源平臺的蜜罐，誘使攻擊者入侵，將攻擊者拖延在該蜜罐上，使得攻擊者花費大量精力對付偽造的目標，消耗攻擊者的資源，降低攻擊造成的破壞程度，從而間接保護真實的無線系統;同時記錄下攻擊頻率、攻擊手段、攻擊成功的次數、攻擊者的技術水平、最容易被攻擊的安全措施等真實統計數據。

1 無線蜜罐技術研究現狀

目前，針對Honeypot[3]的研究已經十分廣泛，各種專用的Honeypot產品也投入到使用當中。文獻[4]中介紹了大量相關類型的Honeypot產品及其關鍵技術和發展前景。而針對Wireless Honeypot的研究還屬于一個新興領域，目前還處于研究階段。基于無線網絡安全威脅狀況的特殊性，Wireless Honeypot區別于Honeypot，現階段Wireless Honeypot相關技術研究主要有兩大類。

1.1 簡易型Wireless Honeypot

這種Wireless Honeypot 即借助硬件設施為依附，利用一些簡單的Honeypot軟件實現功能簡單的無線蜜罐系統，這種類型的蜜罐實施簡單，交互性易調節;但是容易被識破，若其所連入的網絡一旦被攻破，可能被利用，通過定制后被動的等待并反擊無線驗證的無線客戶端。

文獻[2]介紹了兩種分別基于Honeyd[5]和Fakeap[6]來實現Wireless Honeypot的實現技術。通過Honeyd構造TCP/IP協議棧，使用偽裝的AP管理Web頁面來響應攻擊者基于nmap或xprobe等遠程指紋識別工具的探測，同時監視攻擊者的探測攻擊行為。基于Fakeap實現的無線蜜罐中，通過FakeAP發送大量的802.11b信標數據幀，進而偽裝成大量的AP來迷惑攻擊者。這兩種無線蜜罐實施簡單，但是隱蔽性不好，易被識別。

1.2 綜合型Wireless Honeypot

文獻[7]提出了一種綜合型的Wireless Honeypot，是一種低交互用于研究802.11無線網絡中網絡活動的研究型無線蜜罐，整個系統部署由access point、target、monitor三部分組成。該蜜罐的特點是:提前定義了一些數據來源避免突然斷電造成的單點失效，并設有可量化的流量分類以便分析。802.11蜜罐就像一個虛擬的便攜式無線局域網，可以置于任何網絡場所。

HoneySpot[8]是用于監測無線網絡攻擊者活動的無線蜜罐，其關鍵技術目前還處于研究階段，現階段的研究主要集中在針對802.11無線技術之上的無線蜜罐部署、攻擊源信息捕獲、分析工具的建立等。Spanish Honeynet Project[8]正致力于這個方向的研究，其性能還有待考驗。

文獻[9，10]介紹了一種實施縱深誘騙的無線蜜罐，它是一個無線網絡與有線網絡相結合的蜜罐系統，通過由外到內的FakeAP、Honeyd、HoneypotAsset三層縱深欺騙來實施，旨在通過欺騙攻擊者層層陷入來迷惑攻擊者，捕獲無線網絡攻擊和入侵行為，特別是對攻擊者所使用的工具和手法等信息進行收集，以待研究。

2 基于LKM的無線蜜罐

本文提出的基于LKM的無線蜜罐實現技術，與現有的無線蜜罐技術相比，無線蜜罐基于真實AP平臺實現，無須為無線蜜罐設置專門的設備，同時真實AP和無線蜜罐綜合布置，降低了真實AP被探測攻擊的概率。該無線蜜罐基于LKM實現，可以在內核級對探測攻擊行為進行跟蹤分析，通過部署的真實AP對攻擊探測請求進行響應，可以有效地避免偽裝AP容易被識破的不足。

2.1 總體設計

基于LKM的無線蜜罐的總體框架如圖1所示。

a)虛擬無線接入點發送大量的802.11b信標數據幀，進而偽裝成大量的AP來迷惑攻擊者，誘使攻擊者嘗試接入，同時在其中部署真實的AP對攻擊探測請求進行響應，使偽裝環境趨于真實，避免偽裝AP被識破。

b)對于探測請求接入偽裝AP的攻擊者，虛擬無線接入點能夠跟蹤攻擊者的攻擊過程，并根據該攻擊者的歷史攻擊行為進行偽裝響應，決定是否允許其接入以進一步深入誘惑;并將攻擊者的活動信息發送到遠程日志中心以備進一步分析處理。

c)對于已經接入偽裝AP的攻擊者，內部蜜罐系統將進一步對其實施偽裝交互，獲取攻擊者的相關信息，并將其發送給遠程日志中心。無線蜜罐的層層欺騙過程可以把攻擊者困擾在蜜罐系統中，消耗其大量時間和精力;同時降低了真實AP被攻擊的概率，保護了真實的無線接入點的安全。

該無線蜜罐的核心部分即虛擬無線接入點搭建在開源的Linux操作系統平臺之上。借助無線網卡驅動MadWiFi將無線網卡模擬成AP，并通過LKM技術加載功能模塊實現內核級欺騙，對外廣播大量的偽裝802.11b信標數據幀，對內只依賴MadWiFi所模擬的AP與內部網絡通信，在跟蹤攻擊者的連接嘗試的同時進行信息捕獲和回復偽裝報文。其功能模塊框架如圖2所示。

偽裝AP發生器生成大量的偽裝802.11b信標數據幀，誘惑攻擊者接入;當攻擊者嘗試接入時，攻擊探測數據報處理器對攻擊者的探測請求報文進行處理，將攻擊者的信息實時更新記錄到跟蹤數據中心，并將其請求處理結果交付偽裝回復數據報生成器; 回復數據報生成器根據攻擊探測數據報處理器的處理結果以及跟蹤數據中心的攻擊者的歷史攻擊行為來生成偽裝報文回復攻擊者，同時與MadWiFi轉發路由器建立連接;MadWiFi轉發路由器控制已接入的攻擊者進入內部蜜罐系統的進出路徑;跟蹤控制中心協調以上四部分機制協調統一工作;跟蹤數據中心實時記錄攻擊者的歷史行為，并負責將該信息交付遠程日志中心備份。

本文所涉及到的蜜罐技術的重點集中在實現虛擬無線接入點功能的跟蹤活動、fake packet、LKM三項關鍵技術上，內部蜜罐系統即Honeypot和遠程日志中心的部署技術已經比較成熟，這里不再贅述。

2.2 關鍵技術

2.2.1 跟蹤活動

為捕獲攻擊者信息，虛擬無線接入點除要搭建逼真的無線網絡訪問點環境，還要建立如圖2所示的層層跟蹤機制記錄攻擊者的連接行為。

a)偽裝AP發生器產生大量的虛假無線接入點vap[n]。

蜜罐的價值在于誘惑攻擊者攻擊的過程，為此，需創建虛假無線接入點群vap[n]={vap0，…，vapi，…，vapn}(0≤i≤n)，如圖3所示，無線蜜罐將廣播這些vap，吸引攻擊者來嘗試連接。值得一提的是，為提高蜜罐的隱蔽性，這些虛擬接入點的ssid、mac、安全級別等參數應該設置成差異較大的數據。

b)對攻擊者嘗試連接報文的截獲處理。跟蹤數據中心保留有一個記錄攻擊者歷史攻擊行為的信息列表attacker_action[n]={a0，…，ai，…，an}(0≤i≤n)，該信息列表是對攻擊者連接情況的真實記錄，其中的每一個元素都存有特定攻擊者的歷史連接信息，如圖4所示，一旦請求報文到達，攻擊探測數據報處理器將查詢該列表中是否有該攻擊者的歷史攻擊記錄。若有，則更新該列表;若無，則添加該項記錄到列表中。該信息列表由攻擊探測數據報處理器維護，可作為分析攻擊者的攻擊趨勢和回復偽裝報文的重要參考依據。

圖4中:amac表示攻擊者的mac;assid表示此攻擊者最近一次所連接的無線接入點ssid;atime表示此攻擊者最近一次連接的時間;ltime表示此攻擊者最近一次連接距離上次連接的時間間隔;cnumber表示此攻擊者的歷史連接次數。也可根據特定網絡需求設置獲取攻擊者信息的其他相關參數。

c)實現接入功能的AP。

這一功能主要靠MadWiFi[11]實現，MadWiFi是一款非常流行的基于Linux平臺的開放源代碼無線網卡驅動，能將網卡設置成多種工作模式。本蜜罐系統利用MadWiFi將無線網設置成無線接入點工作模式，實現接入功能。MadWiFi提供的網絡命令對網卡工作模式處理相當靈活簡便，如配置一個簡單的接入點只需如下設置:

#wlanconfig ath0 create wlandev wifi0 wlanmode ap

#iwconfig ath0 essid ″ccs″

#ifconfig ath0 192.168.1.6 netmask 255.255.255.0

#iwconfig ath0 rate 54M auto

#iwconfig ath0 channel 6

該無線接入點ccs 的通道為6、傳輸速度為54M、IP地址為192.168.1.6。在本無線蜜罐系統中，該接入點對外部無線用戶不可見。當攻擊者成功接入時，MadWiFi轉發路由器在MadWiFi實現接入功能的基礎之上建立路徑控制機制，對攻擊者的連接和斷開進行詳細的記錄。

2.2.2 Fake packet

Fake packet是該無線蜜罐系統根據跟蹤攻擊者的歷史攻擊行為特征來回復的偽裝數據報，由偽裝回復數據報生成器生成，它的真實性在一定程度上體現了無線蜜罐性能的高低。根據無線網絡訪問規則，fake packet大致分為兩類:

a)響應連接成功的fake packet。這種數據報只需包含接入點的ssid、mac、chan、speed等建立連接所需的信息，仿照真實的AP與無線客戶端的連接交互準則來建立連接。

b)響應連接失敗的fake packet。這種數據報的內容應根據攻擊者的具體攻擊行為特征而有所區別，相應地可模擬真實AP的安全策略，設置MAC地址過濾、SSID 訪問控制、有線等效保密(WEP)等障礙的fake packet。如圖5所示，攻擊者在接入偽裝ap0時被要求提供網絡密鑰。

由于無線蜜罐的價值在于被探測、攻擊和摧毀的過程對于多數攻擊者的嘗試連接返回的fake packet應是連接成功的fake packet，但為達到讓模擬的接入點群趨于真實、迷惑攻擊者的目的，一定數量連接失敗的fake packet是必需的。

2.2.3 LKM

LKM 技術[12]是基于開源的Linux操作系統中所采用的內核擴展技術，一個模塊對應提供一項功能，Linux操作系統中提供了模塊操作的相關命令，這些模塊可以根據需要隨時加載或卸載，而無須重新編譯內核，從而節省了時間和減少了資源的占用率，使內核集中于基本事件的運行，擴展功能則由模塊實現。每個LKM 模塊必須提供兩個基本的函數，即

int init_module(void) { /*模塊初始化時調用*/

dev_add_pack(proto);

return 0;

}

void cleanup_module(void) { /*模塊卸載時進行清理*/

dev_remove_pack(proto);

}

LKM技術為本蜜罐系統實現內核級欺騙提供了一個平臺，通過內核模塊編程在模塊初始化函數中添加功能模塊函數，并在模塊加載時被調用，從而廣播大量無線偽裝802.11b信標數據幀，積極跟蹤捕獲攻擊者的活動信息。本系統功能模塊涉及到兩個非常重要的結構體net_device和sk_buff。文獻[13]對兩者的結構、功能和應用作了詳細說明。

3 結束語

基于LKM的無線蜜罐具有很好的擴展性和移植性等優點，實驗證明，針對AP的無線蜜罐可以有效地保護真實接入點的安全，能夠積極獲取攻擊者的活動信息，彌補了傳統無線安全策略的不足。如圖6所示，在已安裝該無線蜜罐系統的辦公場合中，惡意無線用戶被成功地誘惑接入蜜罐系統中，其活動信息將被無線蜜罐截獲。

當然，該系統對并行處理多個攻擊者的最優調度策略和工作效率有待進一步提高。同時，如何根據蜜罐中記錄的攻擊者的歷史行為特征為真實AP提供預警，以備真實AP采取相應的安全防患措施，將是該無線蜜罐發展的一大方向。可以預見，針對無線蜜罐技術的研究將對未來無線網絡的安全作出巨大貢獻。

參考文獻:

[1]郭長庚，連智鋒. 無線模擬AP的安全模型設計[J].微計算機信息，2007，23(4-3):64-66.

[2]OUDOT L. Wireless Honeypot countermeasures[EB/OL].(2004-02-13)[2007-12-10].http://www.securityfocus.com/infocus/1761.

[3]SPITZNER L. Honeypot:追蹤黑客[M].鄧云佳，譯.北京:清華大學出版社，2004.

[4]唐勇，盧錫城，胡華平，等. Honeypot技術及其應用研究綜述[J].小型微型計算機系統， 2007，28(8):1345-1351.

[5]Honeyd project [EB/OL]. http://www.honeyd.org.

[6]BlackAlchemy.FakeAP[EB/OL].http://www.blackalchemy.to/project/fakeap/.

[7]802.11Honeypot[EB/OL].(2006).http://www.loud-fat-bloke.co.uk/articles/whoneypot.pdf.

[8]HoneySpot[EB/OL].(2008).http://honeynet.org.es/?p=41language=en.

[9]李娟，薛質. 利用無線蜜罐實施縱深欺騙[J].信息安全與通信保密，2007(6):126-128.

[10]YEK S. Implementing network defence using deception in wireless honeypot[C]//Proc of the 2nd Australian Computer Network Information and Forensics Conference. [S.l.]:Edith Cowom University，2004.

[11]MadWiFi[EB/OL]. http://madwifi.org/.

[12]DESOUSA D J M， DESOUSA E A F. Loadable kernel modules[J]. IEEE Software， 1998， 15(1): 65-71.

[13]WEHRLE K， PHLKE F， RITTER H，et al. The Linux networking architecture: design and implementation of network protocols in the Linux kernelLoadable kernel modules[M].[S.l.]:Prentice Hall， 2004.