基于MHN蜜網的校園網防御部署及入侵分析

潘欽凱+吳耿佳+羅海波

摘 要 ：傳統的被動式防御為基礎的網絡保護措施已經很難適應新型的主動攻擊手段。為此我們采用蜜罐技術對校園網進行防御部署，有效的引導黑客的攻擊，并且對各種攻擊行為主動做出分析與判斷。根據蜜罐捕獲的數據分析，利用模擬的漏洞，分析黑客針對漏洞的入侵行為，為校園網防御黑客的入侵防御提供依據。

關鍵詞：主動式防御 校園網絡安全 蜜罐技術 蜜網

蜜罐技術是一種通過暴露特定的漏洞，從而引導迷惑黑客，從他們的手段中了解他們的目的與信息，并協助計算機取證的主動防御手段。本文基于蜜罐主動防御的思想，結合MHN部署技術在校園網內部署應用蜜罐，從而提高網絡安全性。

1、 MHN蜜網的部署

MHN（Modern Honey Network）由美國ThreatStream安全公司開發，以NoSql技術的MongoDB數據庫做為支持，結合Mnemosyne、ArcSight 與Splunk（Splunkweb+Splunkd）后端處理數據的一款蜜罐部署控制臺程序。利用MHN Server控制臺，把部署的大部分操作都簡化，節省了大量的時間成本，圖形界面提供了更直觀的數據，配合Splunk的使用，大大減少了對日志的分析所需要的勞動力。蜜罐校園部署拓撲如圖1。

圖1 蜜罐校園部署拓撲圖

蜜罐1：處于防火墻之外，完全暴露在互聯網上，不斷的收集黑客攻擊的數據，提供更多攻擊者的信息，掌握更多未知的木馬病毒與攻擊手法，使校園網能夠更安全的發展。

蜜罐2：DMZ區域是黑客重點訪問的對象，讓管理員最頭痛的就是黑客往往利用DMZ區域做為跳板，對數據庫拖庫，篡改數據，數據嗅探等等行為[12]。利用部署的蜜罐，以障眼法迷惑黑客，在一定時間內找出他們的目的，迅速作出反應。

蜜罐3：內網區域分布數臺蜜罐能有效的捕獲來自內網的攻擊，避免來攻擊造成的損失。

為了能更方便能夠接受外網數據，我們將內網的MHN Server以映射的方式到解析到mhn.belive.cc，訪問mhn.belive.cc，即可直接訪問MHN Server。利用MHN Server的一句話部署，能高效準確的安裝所需要的蜜罐。

蜜罐1我們可以部署Kippo + Dionaea，KIPPO蜜罐是一款中等交互的SSH模擬軟件，記錄黑客每一次對SSH的爆破記錄，若黑客爆破成功，將會提供一個模擬的shell環境迷惑黑客，并且將攻擊源IP，客戶端類型，輸入的命令以及上傳/下載的非法文件記錄在服務器中，還可以通過修改kippo系統文件，讓shell的模擬環境更真實。Dionaea蜜罐是一款低交互惡意代碼捕獲工具，將有漏洞的服務暴漏出來，保存黑客留下的惡意代碼以及其他非法文件。

這兩款中低交互蜜罐，都依靠自身虛擬出環境與漏洞，和真實系統沒有太多交互，所以這樣設計的優點是大大降低真實操作系的安全風險，而不完善的地方是模擬服務會降低數據捕獲能力并容易被黑客識別。

蜜罐2和3我們采用Kippo+Glastopf+Sn

ort+p0f分析模式，Glastopf是一款相當不錯的WEB蜜罐，能模擬許多漏洞，比如說常見的遠程文件包含漏洞，可以輕而易舉的捕獲到攻擊者上傳的可疑文件，為我們后期提取分析提供有力的數據支持。遠程OS指紋被動判別工具p0f，與入侵檢測系統Snort搭配利用，將安全模版和指紋判別結合，對網絡流量實施高效的監控與分析。

2 、入侵數據分析

經過數天的收集，分析可以發現來自內網攻擊的基本為學生，攻擊手段主要為端口掃描，萬能密碼與弱口令入侵，SQL注射攻擊，XSS/CSRF盲注，以及入侵成功對內網進行ARP攻擊。

通過與防火墻的配合，可以將已經被入侵或者有風險的IP進行隔離，待解除后在自動移出隔離區，并且從蜜罐處獲得該生的IP地址，并對其警告。

我們分析部署在蜜罐1的kippo蜜罐，包括攻擊次數，用戶名和密碼的口令猜測，攻擊時間間隔的分析，攻擊者IP的分布分析。賬戶admin與root被暴力破解次數最多，admin共計被破解1920次，root共計被破解1728次。密碼暴力破解前四排名為123456，admin，1234，ubnt，password。

我們還原了黑客在入侵后的操作，得知黑客利用了自動化腳本對網絡進行大量的掃描，暴力破解并，自動下載木馬文件與架設后門。

通過分析掃描得知該文件屬于Linux D

DOS 木馬文件，類型為Linux. BackDoor.Gat

es.6 ，經過調查通過調查發現Linux.BackDo

or.Gates.6木馬是一類有著豐富的歷史，隱藏手法巧妙，網絡攻擊行為顯著的DDoS木馬，木馬木馬名字源于函數中大量使用Gates這個單詞，該木馬主要針對中國地區的服務器進行DDoS攻。

使用file命令對木馬進行分析，發現其為一款基于I386的32位ELF可執行程序，使用insmod加載 /usr/lib/xpacket.ko 模塊。并且在運行后，目錄下會增加 Dest.cfg，appq.log，conf.n 三個新文件，且用戶無法正常使用ps，netstat等命令。通過對木馬的反編譯，發現了大量DNS節點與骨干網絡的IP信息。

3 、入侵防范措施

根據蜜罐捕獲的數據分析，利用模擬的漏洞，分析黑客針對漏洞的入侵行為。針對性提出幾個安全措施：

通過捕獲攻擊者的IP，錄入規則庫，添加訪問控制策略，對所監控的IP進行限制，對能攻擊者的IP進行一個確定，再將其添加進控制列表。

通過修改默認端口，避免黑客的端口攻擊，禁止root，mysql 賬號登錄，系統賬號不使用弱口令賬戶密碼，密碼采用數字+符號+大小寫英文單詞組合提高復雜性。Linux的網絡服務程序大部分基于守護進程 Deemon，因此可以關閉系統默認開啟的Daemon服務，提高網絡安全。

通過對ssh入侵以及其他蜜罐的分析，發現有大量的攻擊目的是針對抓取DDOS攻擊端主機，基于linux環境下，可以使用DDOS deflate 防御和減輕DDOS攻擊，自動阻擋僵尸主機的網絡連接。

參考文獻：

[1]諸葛建偉，唐勇，韓心慧，段海新. 蜜罐技術研究與應用進展[J]. 軟件學報，2013（04）

[2]石樂義，姜藍藍. 蜜罐誘騙防御機理的博弈理論分析[J]. 電子與信息學報，2012（06）