Honeyd在網絡防御中的應用實踐

黃旭鵬

摘要：Honeyd是一個小巧的用于在網絡上創建虛擬主機的后臺程序。通過精心配置，將Honeyd引入到網絡安全防御體系中，可在無需增加安全設備的情況下利用虛擬技術快速搭建網絡入侵防御平臺，對各類網絡攻擊行為進行監控，還可起到迷惑及拖延網絡入侵的作用，彌補傳統安全產品的不足。

關鍵詞： Honeyd；虛擬蜜罐；蜜罐；主動防御；網絡安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）01-0078-03

Abstract： Honeyd is a small daemon that creates virtual hosts on a network. By carefully configuring， Honeyd is introduced into the network security defense system， The network intrusion prevention platform can be quickly built without increasing the security equipment， it can monitor all kinds of network attack， and can also confuse and delay the network intrusion， which makes up for the shortage of traditional safety products.

Key word： Honeyd； virtual honeypot； honeypot； active defense； network security

1 蜜罐技術簡介

1.1 蜜罐的定義

蜜罐是一種在互聯網上運行的計算機系統，是網絡管理員經過精心設計而部署下的誘捕網絡攻擊者的一個陷阱。“蜜網項目組”創始人Lance Spitzner將蜜罐定義為：“蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷”。

蜜罐系統是安全人員利用蜜罐技術模擬一個或多個存在漏洞的仿真主機及開放相應端口，故意暴露在攻擊者的視野下，是專門為吸引并誘騙非法入侵者而設計的。蜜罐并沒有向外界提供真正有價值的服務，正常用戶不會與蜜罐產生數據流，因此所有與蜜罐系統發生的交互行為都被當做疑似入侵的可疑行為。

蜜罐還有迷惑及拖延網絡攻擊者對真正目標實施攻擊的用途，將蜜罐部署在真實網絡環境中，混淆網絡攻擊者對網絡目標的識別和攻擊，以此來消耗攻擊者的時間。

1.2 蜜罐的價值

1.2.1 蜜罐的優勢

蜜罐的核心價值在于監測、監控和分析攻擊活動，作為新型的主動防御技術，在網絡安全應用中有其優勢：

1） 數據低污染，監測準確率高。蜜罐自身不對外提供任何實質性的系統服務，它只針對試圖進行非法攻擊的行為產生記錄，是一個低數據污染的系統，安全監測的準確率高且漏報率小。

2） 部署成本較低，易于實現。蜜罐系統部署簡單，配置靈活，搭建真實蜜罐環境或使用虛擬蜜罐環境在部署和實現上都相對簡單且易于管理和維護，所耗資源極少。

3） 使用簡單，適用性強。蜜罐系統對攻擊行為的監測不會局限于某種特定的攻擊技術或攻擊行為，具有較好的適應能力，不需要維護特征數據庫，也無需通過復雜算法來實現，能捕獲新的攻擊技術和方法供安全人員進行分析。

1.2.2 蜜罐的缺陷

蜜罐作為整個安全防御體系的一部分，也有其自身一些缺陷：

1） 模擬的局限性。蜜罐設計或模擬出存在漏洞的系統，與真實系統相比還是存在差別，技術較高的攻擊者利用反蜜罐技術能識別出蜜罐的存在。

2） 數據收集范圍有限。蜜罐僅記錄與蜜罐系統產生交互的數據流，一旦攻擊者發現并繞過蜜罐對其他網絡設備實施攻擊，蜜罐也將無法發捕捉到攻擊者的信息。

3） 面臨一定風險。為盡可能多地收集入侵者的信息，包括攻擊所用的工具、實施攻擊的思路和方法等，安全管理人員主動將蜜罐暴露在網絡中，提供一些虛擬的服務以誘導入侵者對其進行攻擊。但如果蜜罐被識破，安裝蜜罐系統的主機系統存在被入侵者攻陷的風險，有可能成為攻擊者對蜜罐主機所在網絡實施攻擊的跳板。

1.3 虛擬蜜罐技術

蜜罐按其實現方式可分成物理蜜罐與虛擬蜜罐，兩者本質上是一致的。相比較而言，物理蜜罐的部署需要投入大量的硬件設備且每臺設備都需要單獨進行配置。而虛擬蜜罐則可通過虛擬化技術在一臺硬件設備上實現多個蜜罐的部署。

1.3.1 Honeyd蜜罐簡介

Honeyd[1]是一個虛擬蜜罐構建框架工具，可根據安全需要來配置及構建虛擬蜜罐主機和由虛擬蜜罐主機虛擬出來的復雜誘騙網絡。它是具有低交互性、保護性的虛擬蜜罐系統框架，是一個小巧的用于創建虛擬的網絡上的主機的后臺程序，能讓一臺物理主機在一個模擬的局域網環境中配有多個地址（最多可以達到65536個），還可以依照一個簡單的配置文件虛擬出真實主機上任何類型的服務。網絡上其他主機可以對虛擬的主機進行ping、traceroute等網絡操作。

2 Honeyd工作原理

Honeyd 主要系統部件包括[2]：中央包分配器、協議處理器、系統配置數據庫、日志數據庫和路由部件，如圖1所示：

從圖1的體系機構可以得知honeyd的大致工作流程為：由中央包分發器接受所有感興趣的網絡流量，根據事先設計好的配置，創建不同的服務進程來處理流量，作為交互響應發往網絡的數據包被個性引擎進行修改，根據不同類型的操作系統特征偽裝成真實操作系統。三個重要特征決定了的整體行為：對方只能從網絡中與交互；給定配置的數量，可以模擬等量的虛擬主機；通過改變每個輸出數據包與配置的操作系統特征相匹配，從而可以欺騙指紋識別工具[3]。endprint

3 Honeyd測試平臺搭建

3.1 實驗軟硬件平臺

1） 硬件平臺：Honeyd對硬件要求不高，能流暢地運行VMware虛擬機即可，實驗所用計算機硬件配置如表1所示。

2） 軟件平臺：宿主機使用Windows7+VMware Workstation 12 Pro，虛擬機采用Xubuntu 12.04.4安裝Honeyd。

3.2 Honeyd軟件的依賴庫

Honeyd軟件依賴于Libevent事件處理API、Libdnet數據包構造與發送庫、Libpcap數據包捕獲庫、Libdnsres DNS反向解析函數庫以及Arpd工具。安裝軟件依賴庫時需對照Honeyd文檔下載相應版本安裝包，在安裝過程中容易出現報錯信息，需耐心調試。

3.3 Honeyd安裝

Honeyd是一款優秀的開源虛擬蜜罐軟件，其版本已于早前停止更新，但仍可從官網（http：//www.honeyd.org/）中下載，實驗時需要下載源代碼并且編譯、安裝。

目前也有國外安全團隊發布一些集成Honeyd的linux蜜罐平臺可供下載使用，如HoneyDrive、T-Pot等，避免了安裝軟件及在linux下需要解決軟件依賴關系等繁瑣的問題。

4 Honeyd實驗測試

4.1 Honeyd命令格式

Honeyd 軟件的命令格式如下：

較為重要常用的選項包括：

-d ：非守護程序調試模式，允許調試過程顯示冗長的調試信息。

-l logfile：將 honeyd 記錄的數據包和日志寫入指定的日志文件中。

-s servicelog：將 honeyd 捕捉到的服務層日志寫入到指定的服務日志文件中。

-i interface：指定監聽的接口，可以指定多個接口。

-f file：讀取名為 file 的配置文件。

[—webserver-address address] [—webserver-port port] [—webserver-root path] [—rrdtool-path path] [—fix-webserver-permissions] 指定 Honeyd 軟件虛擬 Web 服務的地址、端口和根目錄，以及 Web 服務依賴的 RRDTool 的位置，—fix-webserver-permissions 用于修正 Web 目錄權限設置導致網頁不可讀取問題。

net：指定IP地址或者網絡或者IP地址范圍，如果沒有指定，honeyd將監視它能看見 的任何IP地址的流量。

4.2 Honeyd配置實例

利用Honeyd我們可以根據需求或設計的網絡拓撲結構配置復雜網絡，可更加有效地欺騙攻擊者，以如下網絡拓撲結構為例：

實現上圖網絡拓撲，對honedy.conf文件配置如下：

4.3 Honeyd測試及結果

在系統配置數據庫創建好后啟動Honeyd，通過其自帶的控制臺可以看到，根據網絡拓撲圖已成功創建出包含路由及虛擬蜜罐的虛擬網絡，Honeyd開始正常工作。結果如下圖所示：

攻擊機IP為10.10.10.130 ，對幾個不同網段的虛擬蜜罐進行ping命令掃描，測試結果符合我們設計的網絡拓撲結構，如圖4。

5 結束語

蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強實際系統的安全防護能力[4]。Honeyd是一款虛擬蜜罐構建框架工具，消耗資源少且功能強大，具有較好的實用性和研究價值。

在后續工作中，將對Honeyd在對應用層協議的仿真服務模擬、指紋庫改進、日志信息提取利用以及如何將honeyd有效的融入到實際生產環境等內容開展更進一步的研究。

參考文獻：

[1] Niels Provos.HoneyD Development. http：//www.honeyd.org/

[2] 官凌青，婁嘉鵬，劉莉.蜜罐Honeyd的擴展設計與實現[D].西安電子科技大學，2007.

[3] 馬騰云.基于蜜罐技術的網絡安全預警系統[D].山東大學，2013.

[4] 諸葛建偉，唐勇，韓心慧，段海新.蜜罐技術研究與應用進展[J].軟件學報，2013，24（4）：826.endprint