誘捕系統
http://www.cert.org.tw/docume...w.php?key=98
--------------------------------------------------------------------------------

前言
　　電腦與網路的使用帶給現代人許多便利，電腦代替人處理許多繁雜的工作，也因此人
們越來越依賴電腦，許多公開或私人的重要資料，都存放在電腦內，公司可以藉此有效的
進行客戶管理，然而對於一些有心人仕，他們會設法去取得這些有價值的資料甚至加以破
壞或修改資料。當人們利用網路進行各種活動的同時，遭受攻擊的危機便如滾雪球般的擴
大，根據賽門鐵克第八期網路安全威脅研究報告指出，在2005年1月1日至6月30日這段期
間，利用惡意程式碼盜取金錢的新興攻擊方式日趨頻繁，尤其是信用卡資料或銀行資料的
外洩，而且隨著線上購物及網路銀行的日漸普及，這些問題將更加嚴重。2005上半年期間
，在賽門鐵克所收到的樣本數中，前50大惡意程式碼中有74%是屬於會竊取機密資料的惡
意程式碼威脅。由於越來越多的攻擊工具出現，不需擁有很強的技術背景，一般人就可以
使用這些工具，使得網路管理者風聲鶴唳，草木皆兵。

　　處於詭譎難測的網路中，我們需要許多工具來幫助我們建立起安全的防線，接下來我
們來介紹誘捕系統。根據 "Honeypots：Tracking Hackers" 的定義：所謂的誘捕系統
（Honeypots）是一種資訊系統資源（resource），其價值在於未經授權或非法使用此資
源。

　　也就是說，我們架設Honeypots的主要目標，就是讓它被偵測、被攻擊以及被惡意程
式（exploit code）所危害，不管Honeypots模擬何種服務或系統，其目的就是要被攻擊
，假如沒有被攻擊，就沒有什麼價值了。Honeypots和一般的安全工具不同，它的重點不
是抵擋攻擊者的攻擊或解決系統弱點，Honeypots可以當作入侵偵測系統，來偵測任何攻
擊，並蒐集和分析攻擊者使用的手法。Honeypots在運作時，其基本假設是，Honeypots
模擬的是不應該存在的系統或服務，若有人欲接觸此不存在的系統或服務，表示此人可
能存在不良意圖，這與「願者上鉤」有相同的意味。

　　Honeypots的擺放地點，會因使用者的目的不同而異，如根據下圖，Honeypots放在內
部網路或者DMZ區都有不同的目的，以擺放在DMZ而言，因為攻擊者可能會對DMZ進行掃瞄
，如網頁伺服器或信件伺服器等，他可能會發現這些伺服器存在弱點或未修補的漏洞，同
時也會包含對您所架設的Honeypots進行掃瞄，這時Honeypots就可以將攻擊者的行為進行
記錄和分析，不只是進行記錄，Honeypots可以更進一步的回應攻擊者偽造的訊息，讓攻
擊者花費更多的時間在假的服務或弱點上，Honeypots便可以更詳細的紀錄整個攻擊手法
，讓管理者瞭解各種不同的攻擊方法，以便因應現況變更網路的安全政策，因為Honeypots
富有彈性，不像一般的系統安全工具，如防火牆等，消極的進行防禦，所以Honeypots對
管理者而言，是用來發現攻擊者以及分析攻擊手法的重要工具。

一、Honeypots的價值以及種類：
　　在我們知道Honeypots的定義及其工作方式後，接下來我們仔細說明其優勢：
‧資料價值
　系統管理者每天收到各式各樣的網路資料，系統的使用者登入資料、防火牆的log檔、入
侵偵測系統的log檔等等，這些資料量加起來非常的多，所以要管理者每天去觀察這些數以
萬計的資料是很困難的工作，但是以Honeypots來說，因為它有基本假設，所以收到的資料
應該是少量而且關鍵的，這些資料應該都與掃瞄、攻擊等有關。
‧資源(resource)
　許多安全工具常會有系統資源有限或者用光系統資源的問題，例如防火牆可能會因為連
線資料太多，用光系統資源，導致它不再監視連線。網路式的入侵偵測系統也會因為其流
量太大，導致系統有太多連線必須要監視，而當其緩衝區滿溢時，入侵偵測系統就會丟棄
封包。當有限的系統資源使用殆盡時，可能就無法記錄攻擊的發生。但是Honeypots並沒有
系統資源的問題，因為Honeypots主要是蒐集直接對它進行攻擊的資料，所以不會有資料過
多的情況。
‧簡單
　Honeypots不需要複雜的演算法，也不需要去維護紀錄大量的攻擊特性資料庫，您只要將
它架設起來，它就會靜靜在旁邊為您工作。
‧投資報酬
　我們一般使用的網路安全工具很難看出其實際產生的回饋，比如說今天我們架設了一個
防火牆，防火牆可以幫我們擋住很多攻擊，雖然大家都知道這件事，但是卻很難用實際的
數字去估計它的價值，因為換個角度想，萬一沒有攻擊者，那我們還需要有防火牆嗎？但
是Honeypots就可以很容易告訴我們它的好處，因為它可以告訴使用者，有多少居心不軌
的人試圖連進這"不應該"存在的系統或服務，使用者不僅可以蒐集這些訊息，就算沒有任
何的攻擊，Honeypots所提供的資訊讓使用者可以利用這些訊息對其他的網路安全工具做
調整，使網路更加安全。

　　雖然Honeypots可以帶給我們很多好處，但它也有一些限制：
‧受限制的視野：
　Honeypots運作的先決條件，就是攻擊者必須直接對Honeypots進行攻擊才有用，若使用
者是攻擊其他主機，而使網路發生問題，Honeypots便不能提供有利的資訊。
‧辨別系統的能力(fingerprinting)
　許多商業Honeypots都是以實做應用層的服務為主，這樣子就不能有效模擬初各種不同作
業系統的ip堆疊，這樣有可能讓一些掃瞄軟體區分出真實系統和Honeypots的區別。
‧風險
　根據Honeypots與攻擊者互動程度的不同，會有各自不同的風險，互動程度越高的話，風
險越高，若Honeypots也被攻擊者攻破的話，就會產生錯誤的訊息來誤導管理者，這樣會使
得管理者執行錯誤的決策，非但不能有效阻擋破壞者，更有可以限制正常網路的使用。

　　在我們討論出Honeypots可能的優缺點之後，我們又更深入的去看Honeypots的分類，
才能更清楚我們需要哪一種Honeypots，如何在優點與缺點中做取捨。

　　Honeypots可以根據兩種特徵來分類，第一種是以使用目的來分，可分為產品性質的
Honeypots，一種是研究性質的Honeypots，第二種是以互動程度高低來區分，可分為高互
動程度和低互動程度兩種。

　　以使用目的作分類：
‧產品（production）性質的Honeypots
　重點在於如何增加組織的安全性，最主要的工作就是將攻擊者揪出，所以重點在於攻擊
偵測，它的功能比較簡單，蒐集到的資訊也比較少，能夠把攻擊者找出來，便是其最重要
的任務。
‧研究（research）性質的Honeypots
　重點在於獲得攻擊者的資訊，得知攻擊者的攻擊步驟，使用哪工具，藉由這些資訊，我
們可以改善本身網路的安全程度。

　　以互動程度作分類：
‧高互動程度
　此類的Honeypots可以取得大量的攻擊者資訊，但是它們必須要花費大量的時間進行維
護，因為互動程度高，是屬於風險較高的類型。因為要貼近真實的環境，所以在架設時，
會依真實的情況，比如說架設防火牆等各式各樣的機器，所以維護上比較困難。
‧低互動程度
　攻擊者在跟此類的Honeypots互動所產生的訊息較少，模擬的服務或系統不會給攻擊者充
分的回應，所以風險也較小。也因為此類的Honeypots功能較少，所以較為安全。而其價值
在於偵測攻擊活動，但是所記載的資訊也較少，所以比較不會有錯誤的訊息。

　　在介紹完整個Honeypots的定義，優缺點以及分類之後，相信讀者已經對Honeypots有
初步的認識，接下來我們會介紹屬於低互動程度的KFSensor使大家更加瞭解。

三、Honeypots軟體介紹 - KFSensor：
1.KFSensor如何運作
　　KFSensor主要是針對Windows作業系統所提供的各項服務以及弱點進行模擬，KFSensor
可以模擬Windows的網路，如NetBIOS、SMB、CIFS，較特別的是KFSensor可以偵測到針對
Windows檔案分享的攻擊。此外KFSensor可以模擬如FTP、 SMB、 POP3、 HTTP、 Telnet、
SMTP 與 SOCKS等協定，來蒐集攻擊者的資訊。KFSensor十分容易安裝與設定，不需要特別
的硬體，即使是配備低的電腦，仍可以進行安裝，此外在設定上皆採用視窗介面，不需編
輯複雜的設定檔，對使用者來說十分方便。它安裝在電腦上並模擬真實的服務，等待該通
訊埠連接，如網頁伺服器或SMTP伺服器，當安裝KFSensor在目標主機或honeypot主機上時
，就可以對駭客活動進行記錄。而產生詳細的log檔給管理者，KFSensor對於攻擊的判斷
是採用簽署（signature）的方式，來判斷各種攻擊，同時也可以輸入Snort格式的規則，
以增加其防禦強度。
　　如果說KFSensor只能蒐集攻擊者的情報，而不能進一步的通知管理者攻擊的訊息，那
其價值便非常有限。KFSensor提供系統警報、聲音警報、電子郵件發送警報、SysLog上的
警報以及EvenLog警報等。
2.KFSensor的安裝及設定
　　安裝KFSensor：可至http://www.keyfocus.net...download/取得試用版的下
載，並進行安裝。安裝完後會重開機一次，接下來有三個選項讓您複選，分別是針對
Windows的服務，Linux的服務，和木馬及網蟲。

　　接下來設定誘捕主機的Domain Name，但是特別要注意的是，千萬不要拿正常主機的
Domain Name重複用在誘捕主機上。KFSensor可以將資訊或警報寄到您指定的電子郵件信
箱，所以下個步驟是設定您所要接收訊息的信箱位址。KFSensor可以偵測許多通訊以及模
擬這些服務，接下來是要選擇您要KFSensor偵測的網路服務。若有選擇NetBios/NBT/SMB
and RPC的話，就必須要關閉下面兩個原本Windows會提供的服務。

‧關閉MBT
(1).開啟「網路與撥號連線」內容，開啟「網路連線」。
(2).選擇並進入Internet protocol(TCP/IP)，然後選擇「進階」。
(3).選擇WINS標籤頁，點選「停用NetBIOS over TCP/IP」。
(4).確定後離開。

‧關閉SMB
(1).「開始」->「執行」輸入regedt32。
(2).找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters。
(3).將TransportBindName改名為xTransportBindName。

‧在檢查主機是否有安裝其他的軟體會佔用於KFSensor模擬的通訊埠。
‧設定執行KFSensor
‧選擇「Scenario」在選擇「Edit Scenario」，就可對KFSensor所模擬的服務進行設定。
使用者可以根據自己的需求來設定。

3.測試KFSensor。
　　我們只要利用普通的掃瞄工具就可以對裝有KFSensor的誘捕主機進行測驗，進一步觀
看KFSensor對外埠掃瞄所產生的記錄及回應，使用者可以針對多種服務進行測試，以觀察
此軟體是否合乎需求。我們先下載SuperScan這套工具在攻擊的電腦上，當安裝好後，再
對KFSensor主機進行掃瞄，掃瞄時需要注意KFSensor是否有產生預期的效果，偵測到外在
的行為，以及從SuperScan所產生的訊息得知KFSensor是否可產生相對應的軟體服務回應
以騙過攻擊者。

　　在進行攻擊完後，我們可以進一步的將攻擊者和KFSensor主機之間的訊息進行比對。
KFSensor的功能十分強大，而且設定也十分簡單，若使用者對於Unix-like的系統不熟，又
害怕編輯繁雜的設定檔，KFSensor對這些使用者來說，可以說是非常方便的軟體。

四、Honeypots的未來
　　由於Honeypots的特性，使它和一般的網路安全工具如防火牆等，有很大的不同。相信
在未來，Honeypots會扮演越來越重要的角色，能更進一步幫助使用者。在研究或者實務上
，幫助使用者更快瞭解未知威脅及攻擊的詳細步驟，若發現攻擊，則盡快的提供警報，進
一步找出攻擊者，由於免費的Honeypots安裝和設定上都比較困難，商業性的Honeypots架
設成本又高，所以一直都難以推廣，所以Honeypots的設計應該朝向越來越容易使用且容易
安裝和設定的目標邁進。在大家慢慢瞭解Honeypots之後，希望未來Honeypots的研究除了
可以幫助我們瞭解攻擊者的行為之外，更可以藉此進一步的改善我們網路的使用環境，做
為網路安全的先鋒，保障合法使用網路者的權益。

五、參考資料：
1.Spitzner "Honeypots Tracking Hackers"
2.資通安全專輯之十四 - 網路攻防實驗教材
3.BOF http://www.nfr.com/resou...ficer.php
4.KFSensor http://www.keyfocus...sensor/
5.Honeyd http://www.Ho...org/
6.N. Krawetz, "Anti-honeypot technology," Security & Privacy Magazine,
IEEE, vol. 2, pp. 76-79, 2004.