诱捕系统
http://www.cert.org.tw/docume...w.php?key=98
--------------------------------------------------------------------------------

前言
　　电脑与网路的使用带给现代人许多便利，电脑代替人处理许多繁杂的工作，也因此人
们越来越依赖电脑，许多公开或私人的重要资料，都存放在电脑内，公司可以藉此有效的
进行客户管理，然而对于一些有心人仕，他们会设法去取得这些有价值的资料甚至加以破
坏或修改资料。当人们利用网路进行各种活动的同时，遭受攻击的危机便如滚雪球般的扩
大，根据赛门铁克第八期网路安全威胁研究报告指出，在2005年1月1日至6月30日这段期
间，利用恶意程式码盗取金钱的新兴攻击方式日趋频繁，尤其是信用卡资料或银行资料的
外泄，而且随着线上购物及网路银行的日渐普及，这些问题将更加严重。2005上半年期间
，在赛门铁克所收到的样本数中，前50大恶意程式码中有74%是属于会窃取机密资料的恶
意程式码威胁。由于越来越多的攻击工具出现，不需拥有很强的技术背景，一般人就可以
使用这些工具，使得网路管理者风声鹤唳，草木皆兵。

　　处于诡谲难测的网路中，我们需要许多工具来帮助我们建立起安全的防线，接下来我
们来介绍诱捕系统。根据 "Honeypots：Tracking Hackers" 的定义：所谓的诱捕系统
（Honeypots）是一种资讯系统资源（resource），其价值在于未经授权或非法使用此资
源。

　　也就是说，我们架设Honeypots的主要目标，就是让它被侦测、被攻击以及被恶意程
式（exploit code）所危害，不管Honeypots模拟何种服务或系统，其目的就是要被攻击
，假如没有被攻击，就没有什么价值了。Honeypots和一般的安全工具不同，它的重点不
是抵挡攻击者的攻击或解决系统弱点，Honeypots可以当作入侵侦测系统，来侦测任何攻
击，并搜集和分析攻击者使用的手法。Honeypots在运作时，其基本假设是，Honeypots
模拟的是不应该存在的系统或服务，若有人欲接触此不存在的系统或服务，表示此人可
能存在不良意图，这与「愿者上钩」有相同的意味。

　　Honeypots的摆放地点，会因使用者的目的不同而异，如根据下图，Honeypots放在内
部网路或者DMZ区都有不同的目的，以摆放在DMZ而言，因为攻击者可能会对DMZ进行扫瞄
，如网页伺服器或信件伺服器等，他可能会发现这些伺服器存在弱点或未修补的漏洞，同
时也会包含对您所架设的Honeypots进行扫瞄，这时Honeypots就可以将攻击者的行为进行
记录和分析，不只是进行记录，Honeypots可以更进一步的回应攻击者伪造的讯息，让攻
击者花费更多的时间在假的服务或弱点上，Honeypots便可以更详细的纪录整个攻击手法
，让管理者了解各种不同的攻击方法，以便因应现况变更网路的安全政策，因为Honeypots
富有弹性，不像一般的系统安全工具，如防火墙等，消极的进行防御，所以Honeypots对
管理者而言，是用来发现攻击者以及分析攻击手法的重要工具。

一、Honeypots的价值以及种类：
　　在我们知道Honeypots的定义及其工作方式后，接下来我们仔细说明其优势：
‧资料价值
　系统管理者每天收到各式各样的网路资料，系统的使用者登入资料、防火墙的log档、入
侵侦测系统的log档等等，这些资料量加起来非常的多，所以要管理者每天去观察这些数以
万计的资料是很困难的工作，但是以Honeypots来说，因为它有基本假设，所以收到的资料
应该是少量而且关键的，这些资料应该都与扫瞄、攻击等有关。
‧资源(resource)
　许多安全工具常会有系统资源有限或者用光系统资源的问题，例如防火墙可能会因为连
线资料太多，用光系统资源，导致它不再监视连线。网路式的入侵侦测系统也会因为其流
量太大，导致系统有太多连线必须要监视，而当其缓冲区满溢时，入侵侦测系统就会丢弃
封包。当有限的系统资源使用殆尽时，可能就无法记录攻击的发生。但是Honeypots并没有
系统资源的问题，因为Honeypots主要是搜集直接对它进行攻击的资料，所以不会有资料过
多的情况。
‧简单
　Honeypots不需要复杂的演算法，也不需要去维护纪录大量的攻击特性资料库，您只要将
它架设起来，它就会静静在旁边为您工作。
‧投资报酬
　我们一般使用的网路安全工具很难看出其实际产生的回馈，比如说今天我们架设了一个
防火墙，防火墙可以帮我们挡住很多攻击，虽然大家都知道这件事，但是却很难用实际的
数字去估计它的价值，因为换个角度想，万一没有攻击者，那我们还需要有防火墙吗？但
是Honeypots就可以很容易告诉我们它的好处，因为它可以告诉使用者，有多少居心不轨
的人试图连进这"不应该"存在的系统或服务，使用者不仅可以搜集这些讯息，就算没有任
何的攻击，Honeypots所提供的资讯让使用者可以利用这些讯息对其他的网路安全工具做
调整，使网路更加安全。

　　虽然Honeypots可以带给我们很多好处，但它也有一些限制：
‧受限制的视野：
　Honeypots运作的先决条件，就是攻击者必须直接对Honeypots进行攻击才有用，若使用
者是攻击其他主机，而使网路发生问题，Honeypots便不能提供有利的资讯。
‧辨别系统的能力(fingerprinting)
　许多商业Honeypots都是以实做应用层的服务为主，这样子就不能有效模拟初各种不同作
业系统的ip堆叠，这样有可能让一些扫瞄软体区分出真实系统和Honeypots的区别。
‧风险
　根据Honeypots与攻击者互动程度的不同，会有各自不同的风险，互动程度越高的话，风
险越高，若Honeypots也被攻击者攻破的话，就会产生错误的讯息来误导管理者，这样会使
得管理者执行错误的决策，非但不能有效阻挡破坏者，更有可以限制正常网路的使用。

　　在我们讨论出Honeypots可能的优缺点之后，我们又更深入的去看Honeypots的分类，
才能更清楚我们需要哪一种Honeypots，如何在优点与缺点中做取舍。

　　Honeypots可以根据两种特征来分类，第一种是以使用目的来分，可分为产品性质的
Honeypots，一种是研究性质的Honeypots，第二种是以互动程度高低来区分，可分为高互
动程度和低互动程度两种。

　　以使用目的作分类：
‧产品（production）性质的Honeypots
　重点在于如何增加组织的安全性，最主要的工作就是将攻击者揪出，所以重点在于攻击
侦测，它的功能比较简单，搜集到的资讯也比较少，能够把攻击者找出来，便是其最重要
的任务。
‧研究（research）性质的Honeypots
　重点在于获得攻击者的资讯，得知攻击者的攻击步骤，使用哪工具，藉由这些资讯，我
们可以改善本身网路的安全程度。

　　以互动程度作分类：
‧高互动程度
　此类的Honeypots可以取得大量的攻击者资讯，但是它们必须要花费大量的时间进行维
护，因为互动程度高，是属于风险较高的类型。因为要贴近真实的环境，所以在架设时，
会依真实的情况，比如说架设防火墙等各式各样的机器，所以维护上比较困难。
‧低互动程度
　攻击者在跟此类的Honeypots互动所产生的讯息较少，模拟的服务或系统不会给攻击者充
分的回应，所以风险也较小。也因为此类的Honeypots功能较少，所以较为安全。而其价值
在于侦测攻击活动，但是所记载的资讯也较少，所以比较不会有错误的讯息。

　　在介绍完整个Honeypots的定义，优缺点以及分类之后，相信读者已经对Honeypots有
初步的认识，接下来我们会介绍属于低互动程度的KFSensor使大家更加了解。

三、Honeypots软体介绍 - KFSensor：
1.KFSensor如何运作
　　KFSensor主要是针对Windows作业系统所提供的各项服务以及弱点进行模拟，KFSensor
可以模拟Windows的网路，如NetBIOS、SMB、CIFS，较特别的是KFSensor可以侦测到针对
Windows档案分享的攻击。此外KFSensor可以模拟如FTP、 SMB、 POP3、 HTTP、 Telnet、
SMTP 与 SOCKS等协定，来搜集攻击者的资讯。KFSensor十分容易安装与设定，不需要特别
的硬体，即使是配备低的电脑，仍可以进行安装，此外在设定上皆采用视窗介面，不需编
辑复杂的设定档，对使用者来说十分方便。它安装在电脑上并模拟真实的服务，等待该通
讯埠连接，如网页伺服器或SMTP伺服器，当安装KFSensor在目标主机或honeypot主机上时
，就可以对骇客活动进行记录。而产生详细的log档给管理者，KFSensor对于攻击的判断
是采用签署（signature）的方式，来判断各种攻击，同时也可以输入Snort格式的规则，
以增加其防御强度。
　　如果说KFSensor只能搜集攻击者的情报，而不能进一步的通知管理者攻击的讯息，那
其价值便非常有限。KFSensor提供系统警报、声音警报、电子邮件发送警报、SysLog上的
警报以及EvenLog警报等。
2.KFSensor的安装及设定
　　安装KFSensor：可至http://www.keyfocus.net...download/取得试用版的下
载，并进行安装。安装完后会重开机一次，接下来有三个选项让您复选，分别是针对
Windows的服务，Linux的服务，和木马及网虫。

　　接下来设定诱捕主机的Domain Name，但是特别要注意的是，千万不要拿正常主机的
Domain Name重复用在诱捕主机上。KFSensor可以将资讯或警报寄到您指定的电子邮件信
箱，所以下个步骤是设定您所要接收讯息的信箱位址。KFSensor可以侦测许多通讯以及模
拟这些服务，接下来是要选择您要KFSensor侦测的网路服务。若有选择NetBios/NBT/SMB
and RPC的话，就必须要关闭下面两个原本Windows会提供的服务。

‧关闭MBT
(1).开启「网路与拨号连线」内容，开启「网路连线」。
(2).选择并进入Internet protocol(TCP/IP)，然后选择「进阶」。
(3).选择WINS标签页，点选「停用NetBIOS over TCP/IP」。
(4).确定后离开。

‧关闭SMB
(1).「开始」->「执行」输入regedt32。
(2).找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters。
(3).将TransportBindName改名为xTransportBindName。

‧在检查主机是否有安装其他的软体会占用于KFSensor模拟的通讯埠。
‧设定执行KFSensor
‧选择「Scenario」在选择「Edit Scenario」，就可对KFSensor所模拟的服务进行设定。
使用者可以根据自己的需求来设定。

3.测试KFSensor。
　　我们只要利用普通的扫瞄工具就可以对装有KFSensor的诱捕主机进行测验，进一步观
看KFSensor对外埠扫瞄所产生的记录及回应，使用者可以针对多种服务进行测试，以观察
此软体是否合乎需求。我们先下载SuperScan这套工具在攻击的电脑上，当安装好后，再
对KFSensor主机进行扫瞄，扫瞄时需要注意KFSensor是否有产生预期的效果，侦测到外在
的行为，以及从SuperScan所产生的讯息得知KFSensor是否可产生相对应的软体服务回应
以骗过攻击者。

　　在进行攻击完后，我们可以进一步的将攻击者和KFSensor主机之间的讯息进行比对。
KFSensor的功能十分强大，而且设定也十分简单，若使用者对于Unix-like的系统不熟，又
害怕编辑繁杂的设定档，KFSensor对这些使用者来说，可以说是非常方便的软体。

四、Honeypots的未来
　　由于Honeypots的特性，使它和一般的网路安全工具如防火墙等，有很大的不同。相信
在未来，Honeypots会扮演越来越重要的角色，能更进一步帮助使用者。在研究或者实务上
，帮助使用者更快了解未知威胁及攻击的详细步骤，若发现攻击，则尽快的提供警报，进
一步找出攻击者，由于免费的Honeypots安装和设定上都比较困难，商业性的Honeypots架
设成本又高，所以一直都难以推广，所以Honeypots的设计应该朝向越来越容易使用且容易
安装和设定的目标迈进。在大家慢慢了解Honeypots之后，希望未来Honeypots的研究除了
可以帮助我们了解攻击者的行为之外，更可以藉此进一步的改善我们网路的使用环境，做
为网路安全的先锋，保障合法使用网路者的权益。

五、参考资料：
1.Spitzner "Honeypots Tracking Hackers"
2.资通安全专辑之十四 - 网路攻防实验教材
3.BOF http://www.nfr.com/resou...ficer.php
4.KFSensor http://www.keyfocus...sensor/
5.Honeyd http://www.Ho...org/
6.N. Krawetz, "Anti-honeypot technology," Security & Privacy Magazine,
IEEE, vol. 2, pp. 76-79, 2004.