基于MHN蜜網(wǎng)的校園網(wǎng)防御部署及入侵分析

潘欽凱+吳耿佳+羅海波

摘 要 ：傳統(tǒng)的被動(dòng)式防御為基礎(chǔ)的網(wǎng)絡(luò)保護(hù)措施已經(jīng)很難適應(yīng)新型的主動(dòng)攻擊手段。為此我們采用蜜罐技術(shù)對校園網(wǎng)進(jìn)行防御部署，有效的引導(dǎo)黑客的攻擊，并且對各種攻擊行為主動(dòng)做出分析與判斷。根據(jù)蜜罐捕獲的數(shù)據(jù)分析，利用模擬的漏洞，分析黑客針對漏洞的入侵行為，為校園網(wǎng)防御黑客的入侵防御提供依據(jù)。

關(guān)鍵詞：主動(dòng)式防御 校園網(wǎng)絡(luò)安全 蜜罐技術(shù) 蜜網(wǎng)

蜜罐技術(shù)是一種通過暴露特定的漏洞，從而引導(dǎo)迷惑黑客，從他們的手段中了解他們的目的與信息，并協(xié)助計(jì)算機(jī)取證的主動(dòng)防御手段。本文基于蜜罐主動(dòng)防御的思想，結(jié)合MHN部署技術(shù)在校園網(wǎng)內(nèi)部署應(yīng)用蜜罐，從而提高網(wǎng)絡(luò)安全性。

1、 MHN蜜網(wǎng)的部署

MHN（Modern Honey Network）由美國ThreatStream安全公司開發(fā)，以NoSql技術(shù)的MongoDB數(shù)據(jù)庫做為支持，結(jié)合Mnemosyne、ArcSight 與Splunk（Splunkweb+Splunkd）后端處理數(shù)據(jù)的一款蜜罐部署控制臺程序。利用MHN Server控制臺，把部署的大部分操作都簡化，節(jié)省了大量的時(shí)間成本，圖形界面提供了更直觀的數(shù)據(jù)，配合Splunk的使用，大大減少了對日志的分析所需要的勞動(dòng)力。蜜罐校園部署拓?fù)淙鐖D1。

圖1 蜜罐校園部署拓?fù)鋱D

蜜罐1：處于防火墻之外，完全暴露在互聯(lián)網(wǎng)上，不斷的收集黑客攻擊的數(shù)據(jù)，提供更多攻擊者的信息，掌握更多未知的木馬病毒與攻擊手法，使校園網(wǎng)能夠更安全的發(fā)展。

蜜罐2：DMZ區(qū)域是黑客重點(diǎn)訪問的對象，讓管理員最頭痛的就是黑客往往利用DMZ區(qū)域做為跳板，對數(shù)據(jù)庫拖庫，篡改數(shù)據(jù)，數(shù)據(jù)嗅探等等行為[12]。利用部署的蜜罐，以障眼法迷惑黑客，在一定時(shí)間內(nèi)找出他們的目的，迅速作出反應(yīng)。

蜜罐3：內(nèi)網(wǎng)區(qū)域分布數(shù)臺蜜罐能有效的捕獲來自內(nèi)網(wǎng)的攻擊，避免來攻擊造成的損失。

為了能更方便能夠接受外網(wǎng)數(shù)據(jù)，我們將內(nèi)網(wǎng)的MHN Server以映射的方式到解析到mhn.belive.cc，訪問mhn.belive.cc，即可直接訪問MHN Server。利用MHN Server的一句話部署，能高效準(zhǔn)確的安裝所需要的蜜罐。

蜜罐1我們可以部署Kippo + Dionaea，KIPPO蜜罐是一款中等交互的SSH模擬軟件，記錄黑客每一次對SSH的爆破記錄，若黑客爆破成功，將會(huì)提供一個(gè)模擬的shell環(huán)境迷惑黑客，并且將攻擊源IP，客戶端類型，輸入的命令以及上傳/下載的非法文件記錄在服務(wù)器中，還可以通過修改kippo系統(tǒng)文件，讓shell的模擬環(huán)境更真實(shí)。Dionaea蜜罐是一款低交互惡意代碼捕獲工具，將有漏洞的服務(wù)暴漏出來，保存黑客留下的惡意代碼以及其他非法文件。

這兩款中低交互蜜罐，都依靠自身虛擬出環(huán)境與漏洞，和真實(shí)系統(tǒng)沒有太多交互，所以這樣設(shè)計(jì)的優(yōu)點(diǎn)是大大降低真實(shí)操作系的安全風(fēng)險(xiǎn)，而不完善的地方是模擬服務(wù)會(huì)降低數(shù)據(jù)捕獲能力并容易被黑客識別。

蜜罐2和3我們采用Kippo+Glastopf+Sn

ort+p0f分析模式，Glastopf是一款相當(dāng)不錯(cuò)的WEB蜜罐，能模擬許多漏洞，比如說常見的遠(yuǎn)程文件包含漏洞，可以輕而易舉的捕獲到攻擊者上傳的可疑文件，為我們后期提取分析提供有力的數(shù)據(jù)支持。遠(yuǎn)程OS指紋被動(dòng)判別工具p0f，與入侵檢測系統(tǒng)Snort搭配利用，將安全模版和指紋判別結(jié)合，對網(wǎng)絡(luò)流量實(shí)施高效的監(jiān)控與分析。

2 、入侵?jǐn)?shù)據(jù)分析

經(jīng)過數(shù)天的收集，分析可以發(fā)現(xiàn)來自內(nèi)網(wǎng)攻擊的基本為學(xué)生，攻擊手段主要為端口掃描，萬能密碼與弱口令入侵，SQL注射攻擊，XSS/CSRF盲注，以及入侵成功對內(nèi)網(wǎng)進(jìn)行ARP攻擊。

通過與防火墻的配合，可以將已經(jīng)被入侵或者有風(fēng)險(xiǎn)的IP進(jìn)行隔離，待解除后在自動(dòng)移出隔離區(qū)，并且從蜜罐處獲得該生的IP地址，并對其警告。

我們分析部署在蜜罐1的kippo蜜罐，包括攻擊次數(shù)，用戶名和密碼的口令猜測，攻擊時(shí)間間隔的分析，攻擊者IP的分布分析。賬戶admin與root被暴力破解次數(shù)最多，admin共計(jì)被破解1920次，root共計(jì)被破解1728次。密碼暴力破解前四排名為123456，admin，1234，ubnt，password。

我們還原了黑客在入侵后的操作，得知黑客利用了自動(dòng)化腳本對網(wǎng)絡(luò)進(jìn)行大量的掃描，暴力破解并，自動(dòng)下載木馬文件與架設(shè)后門。

通過分析掃描得知該文件屬于Linux D

DOS 木馬文件，類型為Linux. BackDoor.Gat

es.6 ，經(jīng)過調(diào)查通過調(diào)查發(fā)現(xiàn)Linux.BackDo

or.Gates.6木馬是一類有著豐富的歷史，隱藏手法巧妙，網(wǎng)絡(luò)攻擊行為顯著的DDoS木馬，木馬木馬名字源于函數(shù)中大量使用Gates這個(gè)單詞，該木馬主要針對中國地區(qū)的服務(wù)器進(jìn)行DDoS攻。

使用file命令對木馬進(jìn)行分析，發(fā)現(xiàn)其為一款基于I386的32位ELF可執(zhí)行程序，使用insmod加載 /usr/lib/xpacket.ko 模塊。并且在運(yùn)行后，目錄下會(huì)增加 Dest.cfg，appq.log，conf.n 三個(gè)新文件，且用戶無法正常使用ps，netstat等命令。通過對木馬的反編譯，發(fā)現(xiàn)了大量DNS節(jié)點(diǎn)與骨干網(wǎng)絡(luò)的IP信息。

3 、入侵防范措施

根據(jù)蜜罐捕獲的數(shù)據(jù)分析，利用模擬的漏洞，分析黑客針對漏洞的入侵行為。針對性提出幾個(gè)安全措施：

通過捕獲攻擊者的IP，錄入規(guī)則庫，添加訪問控制策略，對所監(jiān)控的IP進(jìn)行限制，對能攻擊者的IP進(jìn)行一個(gè)確定，再將其添加進(jìn)控制列表。

通過修改默認(rèn)端口，避免黑客的端口攻擊，禁止root，mysql 賬號登錄，系統(tǒng)賬號不使用弱口令賬戶密碼，密碼采用數(shù)字+符號+大小寫英文單詞組合提高復(fù)雜性。Linux的網(wǎng)絡(luò)服務(wù)程序大部分基于守護(hù)進(jìn)程 Deemon，因此可以關(guān)閉系統(tǒng)默認(rèn)開啟的Daemon服務(wù)，提高網(wǎng)絡(luò)安全。

通過對ssh入侵以及其他蜜罐的分析，發(fā)現(xiàn)有大量的攻擊目的是針對抓取DDOS攻擊端主機(jī)，基于linux環(huán)境下，可以使用DDOS deflate 防御和減輕DDOS攻擊，自動(dòng)阻擋僵尸主機(jī)的網(wǎng)絡(luò)連接。

參考文獻(xiàn)：

[1]諸葛建偉，唐勇，韓心慧，段海新. 蜜罐技術(shù)研究與應(yīng)用進(jìn)展[J]. 軟件學(xué)報(bào)，2013（04）

[2]石樂義，姜藍(lán)藍(lán). 蜜罐誘騙防御機(jī)理的博弈理論分析[J]. 電子與信息學(xué)報(bào)，2012（06）