【51CTO.COM 獨(dú)家翻譯】入侵檢測(cè)是一個(gè)復(fù)雜的業(yè)務(wù)，無論你是部署一套入侵檢測(cè)系統(tǒng)（IDS），還是在你的網(wǎng)絡(luò)上收集和分析計(jì)算機(jī)及設(shè)備日志，識(shí)別合法活動(dòng)中的惡意流量總是既困難又費(fèi)時(shí)。

概述

所幸還有蜜罐技術(shù)，通過蜜罐識(shí)別惡意流量非常簡單，因?yàn)槿魏谓?jīng)過蜜罐的流量，首先要清洗一遍消除誤報(bào)，當(dāng)觸發(fā)蜜罐設(shè)置的預(yù)警行為時(shí)，蜜罐自動(dòng)向設(shè)定的支持人員發(fā)出警報(bào)，蜜罐是一個(gè)經(jīng)過周密配置的偽裝計(jì)算機(jī)設(shè)備，任何人都不應(yīng)該接觸它或嘗試登錄，因?yàn)樗谢顒?dòng)都是非法的，不需要從惡意流量中分析善意的行為，唯一的問題是，入侵者有多危險(xiǎn)？

作為一個(gè)長期從事安全的專業(yè)人士，我們?cè)诨ヂ?lián)網(wǎng)上創(chuàng)建了八個(gè)蜜罐跟蹤黑客和惡意軟件行為，我可以觀察到從腳本小子到職業(yè)犯罪團(tuán)伙的一切活動(dòng)，我可以看到和了解銀行賬戶竊取木馬的一舉一動(dòng)，可以第一時(shí)間看到許多新奇的黑客活動(dòng)。

更重要的是，我已經(jīng)認(rèn)識(shí)到蜜罐在企業(yè)環(huán)境中的影響，它們作為早期預(yù)警系統(tǒng)而星光燦爛，我曾經(jīng)看到過蜜罐在企業(yè)LAN上捕獲到外國工業(yè)間諜的蹤影，他們誘惑受企業(yè)信任人員幫助他們竊取機(jī)密，并以看不見的惡意軟件為幌子轉(zhuǎn)移安全團(tuán)隊(duì)的注意力，在近10年的蜜罐維護(hù)生涯中，我發(fā)現(xiàn)剛安裝好的蜜罐一般很難立即發(fā)現(xiàn)惡意軟件。

簡而言之，作為早期預(yù)警系統(tǒng)，蜜罐是低成本的，低干擾和低維護(hù)的，但能在網(wǎng)絡(luò)環(huán)境中有效地提醒威脅，可以給防御縱深方案增加一道防線。

三個(gè)常見的蜜罐解決方案

我考查了三個(gè)常見的蜜罐軟件解決方案：KeyiKeyfocus的KFSensor，MicroSolved的HoneyPoint Security Server和免費(fèi)開源的Honeyd。我在一個(gè)封閉的實(shí)驗(yàn)環(huán)境中測(cè)試了這三個(gè)蜜罐，在Windows Server 2008 R2的Hyper-V托管的虛擬機(jī)上運(yùn)行，KFSensor和HoneyPoint運(yùn)行在Windows 7企業(yè)版上，Honeyd運(yùn)行在Ubuntu 9.10上，使用Nessus 4.2.2和BackTrack 4，從相同私有LAN上的遠(yuǎn)程物理機(jī)手動(dòng)建立連接，模擬攻擊探測(cè)，所有基于主機(jī)的防火墻和Windows上的用戶賬號(hào)控制（UAC）都被禁用了，因?yàn)樗鼈兛赡軙?huì)干擾各種本可以成功的攻擊和探測(cè)。

為什么要使用專業(yè)的蜜罐軟件？你不需要KFSensor，Honeyd或HoneyPoint Security Server建立蜜罐，我經(jīng)常建議讀者使用準(zhǔn)備丟掉的舊電腦作為早期預(yù)警蜜罐系統(tǒng)，你已經(jīng)為硬件和軟件支付了費(fèi)用，為什么不好好利用一下呢？

專用蜜罐軟件在舊電腦上有許多優(yōu)勢(shì)，首先，蜜罐軟件通常會(huì)為你努力工作，它們創(chuàng)建服務(wù)，提供大量的虛假功能，并簡化了日志和報(bào)警，大多數(shù)蜜罐軟件伴隨低或中等交互服務(wù)，允許用戶進(jìn)行定制。

其次，蜜罐軟件通常擅長數(shù)據(jù)捕捉，有時(shí)提供入侵檢測(cè)簽名，數(shù)據(jù)包捕捉和網(wǎng)絡(luò)協(xié)議分析，并提供過濾和微調(diào)功能，例如，有些基于GUI的蜜罐允許你點(diǎn)擊一個(gè)事件消息，創(chuàng)建一個(gè)"忽略規(guī)則"過濾掉合法的流量，相對(duì)于將一臺(tái)舊電腦配置為蜜罐，專用蜜罐軟件可以把可能需要兩天的過程壓縮到10或15分鐘內(nèi)完成。

當(dāng)人們想到蜜罐時(shí)，總會(huì)不經(jīng)意地比較高交互性蜜罐和低交互性蜜罐，他們通常認(rèn)為復(fù)雜的，高逼真的陷阱（功能齊全的服務(wù)，好像一個(gè)真實(shí)的網(wǎng)站，一個(gè)電子郵件服務(wù)器等）更容易迷惑黑客，他們的一舉一動(dòng)都可跟蹤，這種類型的高交互性蜜罐提供逼真的網(wǎng)絡(luò)環(huán)境，成熟的蜜罐可以更好地確定黑客的動(dòng)機(jī)，并更好地記錄黑客都做了些什么。

例如，有一次，我在一家大型國防工業(yè)承包商現(xiàn)場(chǎng)看到，新安裝的蜜罐捕獲到有人在探測(cè)SharePoint Web服務(wù)器，我們快速創(chuàng)建了三個(gè)站點(diǎn)區(qū)域，旨在幫助我們勾畫出入侵者的輪廓，一部分是計(jì)算機(jī)游戲，一部分容納了NASA航天飛機(jī)計(jì)劃的密碼，另一部分則好像是F17戰(zhàn)斗機(jī)飛行員通信代碼，秘密的航天飛機(jī)計(jì)劃被來自NASA公共網(wǎng)站的簡單頁面重定向，黑客很快就進(jìn)入到航天飛機(jī)計(jì)劃，開始使用SharePoint的搜索功能尋找中東議題，這可不是鬧著玩的，最后我們發(fā)現(xiàn)一名外國間諜以臨時(shí)工作人員的身份隱藏在財(cái)務(wù)部門工作。

[[17070]]

#p#

因?yàn)楦呓换ッ酃扌枰龃罅康墓ぷ饕栽黾语L(fēng)險(xiǎn)，攻擊者使用這些可利用的蜜罐實(shí)施傷害行為（如攻擊其它公司，安裝密碼嗅探器等），我贊同大多數(shù)企業(yè)使用低或中等交互的蜜罐，中等交互的蜜罐偽裝一些常見的任務(wù)，但不實(shí)現(xiàn)完整的服務(wù)，例如，一個(gè)偽裝的FTP服務(wù)可能誘使探測(cè)者登錄，或允許匿名登錄，并提供虛假的文件供他們下載，一個(gè)偽裝的電子郵件服務(wù)器甚至可以讓攻擊者讀取和發(fā)送郵件，KFSensor允許在偽裝的服務(wù)上發(fā)送郵件，使得潛在的垃圾郵件發(fā)送者以為他發(fā)現(xiàn)了一個(gè)真實(shí)的電子郵件服務(wù)器，這個(gè)想法提供了足夠的功能確定入侵者是否構(gòu)成了威脅，但入侵者拿不走更多東西，即使它得到的信息也全部都是偽造的，毫無用處。

低交互蜜罐是最簡單的，作為早期預(yù)警系統(tǒng)的蜜罐通常是低交互的，意味著它們監(jiān)控一或多個(gè)網(wǎng)絡(luò)端口，當(dāng)有人試圖連接到特定端口時(shí)就報(bào)警，低交互蜜罐不會(huì)構(gòu)造完整的合法服務(wù)，攻擊者很可能不會(huì)明白為什么遠(yuǎn)程端口沒有正確響應(yīng)，在嘗試了幾次攻擊失敗后往往會(huì)選擇放棄，但沒關(guān)系，你想要記錄的行為都已經(jīng)全部記錄下來了，想要進(jìn)一步研究只需要安排好時(shí)間就可以了。

低交互蜜罐不會(huì)將自己偽裝成真的服務(wù)，它們只是在有人試圖搞破壞之前，向計(jì)算機(jī)安全或突發(fā)事故響應(yīng)團(tuán)隊(duì)發(fā)出警報(bào)。

所有蜜罐軟件有幾個(gè)核心功能都是通用的，首先，必須開放一或多個(gè)端口和服務(wù)，吸引入侵者來攻擊，其次，必須捕獲到入侵者的源地址（通常為IP地址），日期，時(shí)間和試圖發(fā)送出去的數(shù)據(jù)，所有連接嘗試都應(yīng)該記錄下來（除非明確指示要求忽略的），并產(chǎn)生警報(bào)，以便突發(fā)事件響應(yīng)團(tuán)隊(duì)可以參與進(jìn)來，最后，好的蜜罐有助于數(shù)據(jù)分析，無論是通過詳細(xì)的數(shù)據(jù)包分析，密碼嘗試分析，還是將相關(guān)探測(cè)匯集成一個(gè)事件。

平臺(tái)和安裝

蜜罐軟件應(yīng)該易于安裝和配置，KFSensor在這方面做得很好，提供了直觀的GUI，但它只能運(yùn)行在Windows XP或更高版本上，HoneyPoint和Honeyd可以運(yùn)行在Windows，Linux和Mac OS X上，Honeyd也支持Solaris和BSD，HoneyPoint安裝相當(dāng)簡單，但需要小文本文件操作許可證，Honeyd在這三個(gè)蜜罐軟件中是最萬能的，但偏偏它也是最難安裝和配置的，對(duì)Linux命令控來說可能不難，但對(duì)習(xí)慣了窗口操作的Windows用戶來說，從下載，編譯和配置就會(huì)使他們望而怯步，因?yàn)橐磺卸际窃诿钚邢虏僮鞯摹＿@三個(gè)蜜罐軟件都可以作為普通程序運(yùn)行在用戶空間，也可以作為系統(tǒng)服務(wù)或守護(hù)進(jìn)程在后臺(tái)運(yùn)行，作為系統(tǒng)服務(wù)有一個(gè)好處是，系統(tǒng)重啟后可以更方便地啟動(dòng)它們。

模擬水平和服務(wù)

大多數(shù)蜜罐程序都是低交互到中等交互的，或更準(zhǔn)確地說，有些服務(wù)模擬的水平很低，有些服務(wù)模擬的水平屬中等，我考查的這三個(gè)蜜罐均屬于低到中等模擬水平，如果特定服務(wù)需要高交互，KFSensor和Honeyd允許將探測(cè)請(qǐng)求路由到外部實(shí)時(shí)系統(tǒng)，被轉(zhuǎn)發(fā)的攻擊者仍然認(rèn)為他還連接在同一個(gè)目標(biāo)系統(tǒng)和IP地址，蜜罐繼續(xù)捕捉數(shù)據(jù)，因此管理員可以全面了解攻擊者干的一切。

所有蜜罐必須模擬一或多個(gè)服務(wù)，并且必須監(jiān)聽這些服務(wù)使用的TCP或UDP（或ICMP）端口，許多蜜罐都只能模擬有限的端口，KFSensor，Honeyd和HoneyPoint都聲稱可以模擬全部TCP和UDP端口（0~65535），我不知道這是否是真的，在這次考查中我沒有逐一去驗(yàn)證，但我過去曾經(jīng)驗(yàn)證過KFSensor和Honeyd，Honeyd的確支持全部端口，并且性能表現(xiàn)不錯(cuò)，雖然KFSensor以前的版本不支持，但最新的企業(yè)版可以，再說一次，我沒有測(cè)試HoneyPoint的所有端口。

注意：蜜罐不能綁定底層主機(jī)操作系統(tǒng)已經(jīng)占用的端口，例如，基于Windows的蜜罐就不能模擬NetBIOS服務(wù)，除非底層主機(jī)上的文件和打印機(jī)共享被禁用，SMB/CIFS被關(guān)閉。

我在另一篇文章的蜜罐功能表中列出了這三個(gè)蜜罐軟件默認(rèn)可模擬的內(nèi)置服務(wù)（沒有安裝額外的軟件和腳本），對(duì)于低交互蜜罐，可以模擬越多的服務(wù)越好，例如，在Windows環(huán)境中，幾乎涵蓋了所有流行的Microsoft應(yīng)用程序和服務(wù)，這正是攻擊者喜歡的，KFSensor帶有許多內(nèi)置服務(wù)，其次是HoneyPoint，對(duì)Honeyd來說，有許多開源的模擬腳本，但默認(rèn)只預(yù)裝了一部分。#p#

模擬網(wǎng)絡(luò)

KFSensor和HoneyPoint沒有任何網(wǎng)絡(luò)模擬功能，完全依賴于主機(jī)和主機(jī)網(wǎng)絡(luò)路由，Honeyd擁有強(qiáng)大的網(wǎng)絡(luò)模擬功能，不僅可以模擬整個(gè)路由方案（包括路由，跳數(shù)，延遲和丟包），還可以模擬每個(gè)模擬操作系統(tǒng)的網(wǎng)絡(luò)堆棧，它可以騙過Nmap和Xprobe指紋掃描程序，Honeyd可以讓單個(gè)實(shí)例看起來象是100個(gè)不同的操作系統(tǒng)，從這一點(diǎn)來看，其它蜜罐軟件是無法和Honeyd匹敵的。

但值得一提的是，大多數(shù)攻擊者不會(huì)做網(wǎng)絡(luò)指紋識(shí)別和分析，相反，他們只顧尋找某個(gè)端口，并迅速嘗試看它是否處于運(yùn)行中，只有很少的時(shí)候攻擊者會(huì)運(yùn)行指紋識(shí)別工具（如Nmap和Xprobe2），在這個(gè)時(shí)候，網(wǎng)絡(luò)堆棧模擬就很重要了。在絕大多數(shù)攻擊中，Honeyd周全的網(wǎng)絡(luò)模擬有點(diǎn)小題大做，但對(duì)于蜜罐狂人和管理員來說，這些都是基本功能，對(duì)其他大多數(shù)人而言，這并不是必需的。

警報(bào)和日志

如果沒有強(qiáng)大的警報(bào)和日志功能，蜜罐就沒有多大用處，不管是在傳感器上還是在中央控制臺(tái)上，所有蜜罐都會(huì)把連接嘗試作為警報(bào)，警報(bào)應(yīng)該允許為每個(gè)傳感器，源IP地址，端口和入侵簽名設(shè)置臨界級(jí)別，雖然有些探測(cè)會(huì)比較可疑，但對(duì)蜜罐的所有探測(cè)都應(yīng)被調(diào)查，源自更安全網(wǎng)絡(luò)的探測(cè)更應(yīng)該引起注意，這可能意味著更嚴(yán)重的威脅，為此，一個(gè)在非政府網(wǎng)絡(luò)上部署蜜罐的國防工業(yè)用戶要求將來自遠(yuǎn)程政府網(wǎng)絡(luò)的通信設(shè)為最高優(yōu)先級(jí)，如果探測(cè)源自更敏感的網(wǎng)絡(luò)，這個(gè)用戶希望他們的突發(fā)事件響應(yīng)團(tuán)隊(duì)可以立即得到通知，KFSensor在設(shè)置臨界級(jí)別方面提供了更豐富的功能，其次是Honeyd和HoneyPoint。

大多數(shù)蜜罐可以通過系統(tǒng)日志，電子郵件和Windows事件日志發(fā)送，所有警報(bào)都應(yīng)該記錄到本地?cái)?shù)據(jù)庫中，當(dāng)然，如果能記錄到外部數(shù)據(jù)庫，尤其是支持SQL的數(shù)據(jù)庫，則應(yīng)該加分，我考查的這三個(gè)蜜罐均支持調(diào)節(jié)警報(bào)消息，不至于一個(gè)探測(cè)事件（如一個(gè)端口掃描）就觸發(fā)數(shù)千封郵件發(fā)送給待命支持人員。

大多數(shù)蜜罐產(chǎn)品允許使用當(dāng)前的警報(bào)調(diào)整未來的警報(bào)，通常用于過濾掉合法的通信，微調(diào)蜜罐是個(gè)費(fèi)時(shí)的活，但一個(gè)好的蜜罐可以簡化這個(gè)過程，KFSensor在提煉警報(bào)方面提供了最大的靈活性，在任何警報(bào)上點(diǎn)擊右鍵，打開"訪問規(guī)則"窗口，在這里可以進(jìn)行定制訪問規(guī)則，HoneyPoint和Honeyd也有過濾功能，但它們不是很靈活或容易實(shí)現(xiàn)。

報(bào)告

管理層一般都喜歡看到漂亮的報(bào)告和圖片，每個(gè)人都喜歡看到隨時(shí)間推移的發(fā)展趨勢(shì)，遺憾的是，我還沒有看到哪個(gè)蜜罐軟件內(nèi)置了強(qiáng)大的報(bào)告功能，HoneyPoint提供了10個(gè)報(bào)告，但都很簡單，我希望看到有更成熟的報(bào)告功能出現(xiàn)在流行蜜罐軟件中。

特異功能

蜜罐可以有一些奇怪的功能，一般都是為了獲取與攻擊者有關(guān)的更多信息，KFSensor在這三個(gè)蜜罐軟件中功能是最豐富的，但HoneyPoint的特異功能最多，HoneyPoint Trojans 和HoneyBees試圖提供虛假誘惑，如偽造的二進(jìn)制程序，Web和電子郵件通信，MicroSolved希望在追蹤黑客時(shí)可以獲得更多的具體信息，我很懷疑它們的整體效果，但至少M(fèi)icroSolved沒有提供工具打入遠(yuǎn)程黑客的電腦，過去，一些蜜罐廠家就曾經(jīng)這么做過，攻擊攻擊者不僅是不道德的，在大多數(shù)國家，這種做法也是非法的，HoneyPoint Trojans和HoneyBees沒有越過這條線。

KFSensor一直是蜜罐領(lǐng)域公認(rèn)的領(lǐng)導(dǎo)者角色，至今這一地位仍然沒有其它類似產(chǎn)品可以撼動(dòng)，KFSensor也是本次考查的三個(gè)蜜罐軟件中操作最簡單，功能最豐富的，唯一的缺點(diǎn)是缺乏內(nèi)置報(bào)告，許多蜜罐，特別是具有分布式傳感器和企業(yè)級(jí)功能的蜜罐，可能擁有自己的報(bào)告工具和信息需求，盡管如此，一些最基本的報(bào)告也有一段很長的路要走，HoneyPoint提供了最基本的10個(gè)報(bào)告，Honeyd的開源社區(qū)貢獻(xiàn)了一些插件，提供了一些基本的報(bào)告功能，都遠(yuǎn)遠(yuǎn)不能滿足如今的需求。

HoneyPoint憑借多平臺(tái)支持，內(nèi)置報(bào)告，警報(bào)跟蹤和一些獨(dú)特的功能讓攻擊者的行蹤無處可藏，但不管是在功能上還是在易用性上，比KFSensor還是差一截，Honeyd可能是最靈活，最高效的蜜罐，但安裝和配置也最復(fù)雜，使用Linux/Unix的組織可能不會(huì)擔(dān)心這個(gè)挑戰(zhàn)，Honeyd憑借免費(fèi)標(biāo)簽吸引了大把用戶，它是最有潛力超越KFSensor的。雖然KFSensor只能安裝在Windows上，但它一樣可以模擬Linux/Unix環(huán)境中的端口和服務(wù)。

不管你選擇哪個(gè)蜜罐產(chǎn)品，或者即使你僅僅是用一臺(tái)舊電腦充當(dāng)早期預(yù)警系統(tǒng)，在時(shí)間和金錢上適當(dāng)投入，在安全上會(huì)更可靠，心態(tài)也會(huì)更平和，因?yàn)楫?dāng)你的防火墻，IDS，殺毒軟件或其它安全防御失效時(shí)，你的蜜罐總是會(huì)提醒你，建立一個(gè)簡單的蜜罐成本并不高，但可以筑起第二道防線。

作者：Roger A. Grimes

【編輯推薦】

1. 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施融合：你的策略是什么？
2. 17種網(wǎng)絡(luò)安全威脅大掃描
3. 配置IIS蜜罐來巧妙抵御黑客攻擊
4. 網(wǎng)絡(luò)安全必備工具一覽