蜜罐技术

蜜罐技术

蜜罐主要工作原理

蜜罐通常伪装成看似有利用价值的网络且提供一些必要的漏洞,当一个攻击者试图侵入蜜罐时,入侵检测系统会触发一个报警,隐藏的记录器会记录下入侵者一切活动,当入侵者试图从蜜罐中转向真实主机时,一个单独的防火墙会随时把主机从网络上断开。

蜜罐技术的分类

  • 高交互蜜罐: 模拟一个全功能的生产环境,因此攻击者可能因为多种服务浪费攻击时间。通过虚拟机技术可以在单个物理机上托管多个蜜罐,也方便恢复。高交互蜜罐难以检测,安全性较高但是维护开销也较高,对于某些特殊情况甚至需要一台物理机部署一个蜜罐。
  • 低交互蜜罐: 只模拟那些经常被攻击请求的服务,由于它消耗的资源有限,复杂度较低可以降低一定的部署费用,但是安全性也相对较低。

蜜罐技术存在的风险:

如果蜜罐被设计从互联网来访问,可能会有一个风险,创建非信任站点列表的外部监控组织可能会报告组织的系统是脆弱的,因为无法区分这个脆弱性是属于蜜罐还是系统自身。

蜜罐原本提供的漏洞稍有不慎就会导致系统被渗透,可能会涉及隐私、责任与设陷技术等。例如黑客可能利用被攻陷的电脑作为跳板或者传播病毒等等。


工具资料

现有的蜜罐参考列表

蜜罐平台

  • 开源蜜罐项目T-Pot:基于docker技术集成了众多针对不同应用蜜罐程序的系统。
  • 现代蜜网MHN:集成了多种蜜罐的安装脚本,可以快速部署、使用,也能够快速的从节点收集数据。

T-pot和MHN支持的蜜罐容器:

  • Conpot:低交互工控蜜罐,提供一系列通用工业控制协议, 能够模拟复杂的工控基础设施。
  • Cowire:中等交互的SSH与Telnet蜜罐,可以记录暴力攻击,并提供伪造的文件系统环境记录黑客操作行为。
  • Dionaea: 它开放常见网络服务的默认端口,当有外来连接时模拟正常反馈,同时记录下数据流,网络数据流经由检测模块检测后按类别进行处理。
  • Glastopf: 低交互型Web应用蜜罐,能够模拟成千上万的web漏洞,针对攻击的不同攻击手段来回应攻击者,然后从对目标Web应用程序的攻击过程中收集数据。
  • Honeytrap: 观察针对TCP或UDP服务的攻击,并能够分析攻击字符串,执行相应的下载文件指令。

可视化界面:

攻击地图 攻击总量


蜜罐衍生概念

  • 蜜场: 蜜场的思想是将网络中可疑数据流重定向到蜜场中。在网络中放置检测器,当发现可疑数据流时,利用重定向器将其导向蜜场。所有蜜罐集中于蜜场,与外网之间用防火墙隔离。蜜场的优势在于集中性。
  • 蜜网: 当多个蜜罐被网络连接在一起,组成一个大型虚假业务系统,利用其中一部分主机吸引攻击者入侵,通过监测入侵过程,一方面收集攻击者的攻击行为,另一方面可以更新相应的安全防护策略。这种由多个蜜罐组成的模拟网络就称为蜜网。
  • 分布式蜜网: 分布式蜜网系统能够将各个不同位置部署的蜜网捕获的数据进行汇总分析,有效的提升安全威胁监测的覆盖面,克服了传统蜜罐监测范围窄的缺陷,因而成为目前安全业界采用蜜罐技术构建互联网安全威胁监测体系的普遍部署模式。
  • 动态蜜网: 动态蜜网,将低交互蜜罐和高交互蜜罐结合起来,需要虚拟蜜网技术的支持,利用被动指纹工具监控网络。依据获得的网络信息对蜜网进行部署和配置。最主要的是其自适应能力,能够自动学习周围的网络环境,配置适当数量的蜜罐,并随网络环境的变化做出调整。
  • SDN蜜网: 结合虚拟化技术,能够在威胁发现之后动态的生成相应的蜜网系统,同时利用SDN控制器将异常流量调度到虚拟化的蜜网系统中,完成异常行为的跟踪取证与安全防护。这种SDN蜜网有效的解决了传统蜜网的部署结构不灵活,基础设施成本高等问题。

蜜网研究项目参考网站


总结分析

  1. T-pot与MHN提供了比较完善的开源平台,我们可以尝试利用虚拟机或者docker技术等将其部署在物理机或云服务器上,进行异常流量的监测工作(同李振华老师的做法)。
  2. 针对项目特定需求二次开发相应的蜜罐容器,采用分布式蜜网或SDN蜜网等方法,将蜜罐部署到各个节点之上,对实际项目中的异常流量或者攻击行为进行监测。