虛擬蜜罐的探索與研究

楊銘

摘 要：隨著網絡入侵事件的增加和黑客攻擊水平的提高，網絡安全問題日趨嚴重。為了有效的解決新型的網絡安全威脅，本文介紹一個新型網絡安全防御系統—虛擬蜜罐。文章首先講述蜜罐的定義、分類、虛擬蜜罐的結構、路由拓撲，并對其進行測試和總結。

關鍵詞：蜜罐；Honeypot；路由拓撲

1 蜜罐（Honeypot）的定義

信息化的社會中，網絡安全問題越來越嚴重。學者們多年的研究，制定了一系列的網絡安全體系。然而，黑客可以利用大規模的漏洞掃描工具，使計算機系統遭受破壞，我們仍然保證不了網絡系統的安全，甚至無法準確評估它們的安全性。這里筆者介紹一種新型網絡安全防御系統：蜜罐（Honeypot）。

蜜罐就像一個情報收集系統。它偽裝成故意讓人攻擊的目標，引誘黑客前來攻擊。一旦攻擊者入侵后，我們就可以分析其攻擊行為和過程，掌握黑客針對服務器發動的最新的攻擊和漏洞。也能通過竊聽黑客之間的聯系，獲取黑客采用的工具，掌握其技術及社交網絡。

2 蜜罐（Honeypot）的分類

Honeypot可以分為低交互性蜜罐和高交互性蜜罐兩類。

低交互性蜜罐是一種仿真服務，通常運行于現有操作系統上，交互動作少，黑客的活動范圍局限在仿真服務預設內，它的優點是容易部署，結構簡單，風險較低。

高交互性蜜罐構建于真實的操作系統，給黑客提供的是真實的系統及服務。此種方式便于獲取大量的有用信息，甚至是一些我們完全不了解的新型網絡攻擊技術。與此同時，高交互性蜜罐構使系統面臨更多的風險，黑客極有可能通過這個真實的開放系統，攻擊和滲透網絡中的其他主機。

3 虛擬蜜罐Honeyd結構

Honeyd是一個輕型的開放源代碼的虛擬蜜罐的框架，可以模擬多個操作系統和網絡服務，同時支持IP協議族，允許創建任意拓撲結構，支持網絡通道的虛擬網絡。

為了使Honeyd能正常的接受和回應屬于虛擬蜜罐之一的網絡數據包的目的IP地址，可以為指向Honeyd主機的虛擬IP地址創建特定路由，使用ARP代理及網絡通道。當情況較復雜時，可以在網絡地址空間和hondyd主機之間建立通道。

Honeyd由配置數據庫、中央包分配器、協議處理器、個性化引擎及隨機的路由組件幾部分組成。中央包分配器首先檢測輸入包的IP包長度，并校驗驗證，然后查詢配置數據庫，查找與目的IP地址相對應的蜜罐配置，如果專用的配置不存在，則應用缺省模板。配置確定以后，由相應的協議處理器處理該數據包。

Honeyd支持ICMP，TCP和UDP三種互聯網協議。ICMP協議處理器支持大多數的ICMP請求。如果缺省，則對ECHO請求做出反應，返回目的地址不可達信息。對TCP和UDP來說，Honeyd結構可以為任意的服務提供連接，服務是在STDIN上接受數據，然后將輸出發送到STDOUT的外部應用。Honeyd中含有簡化的TCP狀態機，很好的支持“三次握手”的建立連接以及通過FIN或RST的撤消連接，但是接受器和擁塞窗口管理并沒有完全實現。每當收到一個發往封閉端口的UDP包時，就會默認發出一個ICMP端口不可達的信息。

4 虛擬蜜罐Honeyd路由拓撲（Routing Topology）

Honeyd可以實現隨機的網絡路由拓撲。虛擬的路由拓撲呈樹形結構，數據包進入虛擬網絡的入口就是根節點。每個路由器代表著樹的一個內部節點。每個包含著時間等待和包損失等特性的連接用一個邊表示。樹的終端節點同網絡對應。

Honeyd還能將虛擬的路由拓撲和真實的系統相結合，當Honeyd接收的數據包來自一個真實系統時，包沿著網絡拓撲行走直到真實網絡空間的一個虛擬路由器。Honeyd結構回復相應的虛擬路由器的ARP來響應真正的系統發出的ARP請求。

5 虛擬蜜罐的測試

將虛擬主機的IP添加到路由規則中，使機器能夠將數據包正確的路由到蜜罐上。查看honeyd的主要參數，并運行。將honeyd中操作系統指紋設置為windows，利用nmap掃描驗證。

測試中，攻擊主機為59.64.153.234，如圖1所示，紅框中顯示了攻擊主機與蜜罐虛擬的主機建立連接。通過查詢這些信息，可以收集攻擊者的入侵證據，同時由于這些主機都是由蜜罐虛擬出來的，所以不會對系統造成威脅。

6 結語

Honeyd通過提供威脅檢測與評估機制來提高計算機系統的安全性，將真實系統隱藏在虛擬系統中來阻止外來的攻擊者。但是Honeyd只能進行網絡級的模擬，而沒有真實的交互環境，所獲取的攻擊者的信息有限。只有將Honeyd所模擬的蜜罐系統和現有的安全機制有機地結合一起部署，才能組成功能強大、花費又少的網絡攻擊信息收集系統，才能應對更為復雜的網絡攻擊。

[參考文獻]

[1]張毅，萬里勇.基于主動防御的蜜罐技術研究的綜述[J].廣西輕工業.2011（05）.

[2]胡征昉.一種基于蜜罐技術的入侵檢測模型設計[J].軟件導刊.2007（07）.

[3]司瑾，王光宇.蜜網技術與網絡安全[J].電腦編程技巧與維護.2009（S1）.

[4]王淑敏，李軍豪.蜜罐技術在社交網絡反垃圾信息中應用[J].煤炭技術.2011（07）.