广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2791 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 诱捕系统
诱捕系统
http://www.cert.org.tw/docume...w.php?key=98
--------------------------------------------------------------------------------

前言
  电脑与网路的使用带给现代人许多便利,电脑代替人处理许多繁杂的工作,也因此人
们越来越依赖电脑,许多公开或私人的重要资料,都存放在电脑内,公司可以藉此有效的
进行客户管理,然而对于一些有心人仕,他们会设法去取得这些有价值的资料甚至加以破
坏或修改资料。当人们利用网路进行各种活动的同时,遭受攻击的危机便如滚雪球般的扩
大,根据赛门铁克第八期网路安全威胁研究报告指出,在2005年1月1日至6月30日这段期
间,利用恶意程式码盗取金钱的新兴攻击方式日趋频繁,尤其是信用卡资料或银行资料的
外泄,而且随着线上购物及网路银行的日渐普及,这些问题将更加严重。2005上半年期间
,在赛门铁克所收到的样本数中,前50大恶意程式码中有74%是属于会窃取机密资料的恶
意程式码威胁。由于越来越多的攻击工具出现,不需拥有很强的技术背景,一般人就可以
使用这些工具,使得网路管理者风声鹤唳,草木皆兵。

  处于诡谲难测的网路中,我们需要许多工具来帮助我们建立起安全的防线,接下来我
们来介绍诱捕系统。根据 "Honeypots:Tracking Hackers" 的定义:所谓的诱捕系统
(Honeypots)是一种资讯系统资源(resource),其价值在于未经授权或非法使用此资
源。

  也就是说,我们架设Honeypots的主要目标,就是让它被侦测、被攻击以及被恶意程
式(exploit code)所危害,不管Honeypots模拟何种服务或系统,其目的就是要被攻击
,假如没有被攻击,就没有什么价值了。Honeypots和一般的安全工具不同,它的重点不
是抵挡攻击者的攻击或解决系统弱点,Honeypots可以当作入侵侦测系统,来侦测任何攻
击,并搜集和分析攻击者使用的手法。Honeypots在运作时,其基本假设是,Honeypots
模拟的是不应该存在的系统或服务,若有人欲接触此不存在的系统或服务,表示此人可
能存在不良意图,这与「愿者上钩」有相同的意味。

  Honeypots的摆放地点,会因使用者的目的不同而异,如根据下图,Honeypots放在内
部网路或者DMZ区都有不同的目的,以摆放在DMZ而言,因为攻击者可能会对DMZ进行扫瞄
,如网页伺服器或信件伺服器等,他可能会发现这些伺服器存在弱点或未修补的漏洞,同
时也会包含对您所架设的Honeypots进行扫瞄,这时Honeypots就可以将攻击者的行为进行
记录和分析,不只是进行记录,Honeypots可以更进一步的回应攻击者伪造的讯息,让攻
击者花费更多的时间在假的服务或弱点上,Honeypots便可以更详细的纪录整个攻击手法
,让管理者了解各种不同的攻击方法,以便因应现况变更网路的安全政策,因为Honeypots
富有弹性,不像一般的系统安全工具,如防火墙等,消极的进行防御,所以Honeypots对
管理者而言,是用来发现攻击者以及分析攻击手法的重要工具。

一、Honeypots的价值以及种类:
  在我们知道Honeypots的定义及其工作方式后,接下来我们仔细说明其优势:
‧资料价值
 系统管理者每天收到各式各样的网路资料,系统的使用者登入资料、防火墙的log档、入
侵侦测系统的log档等等,这些资料量加起来非常的多,所以要管理者每天去观察这些数以
万计的资料是很困难的工作,但是以Honeypots来说,因为它有基本假设,所以收到的资料
应该是少量而且关键的,这些资料应该都与扫瞄、攻击等有关。
‧资源(resource)
 许多安全工具常会有系统资源有限或者用光系统资源的问题,例如防火墙可能会因为连
线资料太多,用光系统资源,导致它不再监视连线。网路式的入侵侦测系统也会因为其流
量太大,导致系统有太多连线必须要监视,而当其缓冲区满溢时,入侵侦测系统就会丢弃
封包。当有限的系统资源使用殆尽时,可能就无法记录攻击的发生。但是Honeypots并没有
系统资源的问题,因为Honeypots主要是搜集直接对它进行攻击的资料,所以不会有资料过
多的情况。
‧简单
 Honeypots不需要复杂的演算法,也不需要去维护纪录大量的攻击特性资料库,您只要将
它架设起来,它就会静静在旁边为您工作。
‧投资报酬
 我们一般使用的网路安全工具很难看出其实际产生的回馈,比如说今天我们架设了一个
防火墙,防火墙可以帮我们挡住很多攻击,虽然大家都知道这件事,但是却很难用实际的
数字去估计它的价值,因为换个角度想,万一没有攻击者,那我们还需要有防火墙吗?但
是Honeypots就可以很容易告诉我们它的好处,因为它可以告诉使用者,有多少居心不轨
的人试图连进这"不应该"存在的系统或服务,使用者不仅可以搜集这些讯息,就算没有任
何的攻击,Honeypots所提供的资讯让使用者可以利用这些讯息对其他的网路安全工具做
调整,使网路更加安全。

  虽然Honeypots可以带给我们很多好处,但它也有一些限制:
‧受限制的视野:
 Honeypots运作的先决条件,就是攻击者必须直接对Honeypots进行攻击才有用,若使用
者是攻击其他主机,而使网路发生问题,Honeypots便不能提供有利的资讯。
‧辨别系统的能力(fingerprinting)
 许多商业Honeypots都是以实做应用层的服务为主,这样子就不能有效模拟初各种不同作
业系统的ip堆叠,这样有可能让一些扫瞄软体区分出真实系统和Honeypots的区别。
‧风险
 根据Honeypots与攻击者互动程度的不同,会有各自不同的风险,互动程度越高的话,风
险越高,若Honeypots也被攻击者攻破的话,就会产生错误的讯息来误导管理者,这样会使
得管理者执行错误的决策,非但不能有效阻挡破坏者,更有可以限制正常网路的使用。

  在我们讨论出Honeypots可能的优缺点之后,我们又更深入的去看Honeypots的分类,
才能更清楚我们需要哪一种Honeypots,如何在优点与缺点中做取舍。

  Honeypots可以根据两种特征来分类,第一种是以使用目的来分,可分为产品性质的
Honeypots,一种是研究性质的Honeypots,第二种是以互动程度高低来区分,可分为高互
动程度和低互动程度两种。

  以使用目的作分类:
‧产品(production)性质的Honeypots
 重点在于如何增加组织的安全性,最主要的工作就是将攻击者揪出,所以重点在于攻击
侦测,它的功能比较简单,搜集到的资讯也比较少,能够把攻击者找出来,便是其最重要
的任务。
‧研究(research)性质的Honeypots
 重点在于获得攻击者的资讯,得知攻击者的攻击步骤,使用哪工具,藉由这些资讯,我
们可以改善本身网路的安全程度。

  以互动程度作分类:
‧高互动程度
 此类的Honeypots可以取得大量的攻击者资讯,但是它们必须要花费大量的时间进行维
护,因为互动程度高,是属于风险较高的类型。因为要贴近真实的环境,所以在架设时,
会依真实的情况,比如说架设防火墙等各式各样的机器,所以维护上比较困难。
‧低互动程度
 攻击者在跟此类的Honeypots互动所产生的讯息较少,模拟的服务或系统不会给攻击者充
分的回应,所以风险也较小。也因为此类的Honeypots功能较少,所以较为安全。而其价值
在于侦测攻击活动,但是所记载的资讯也较少,所以比较不会有错误的讯息。

  在介绍完整个Honeypots的定义,优缺点以及分类之后,相信读者已经对Honeypots有
初步的认识,接下来我们会介绍属于低互动程度的KFSensor使大家更加了解。

三、Honeypots软体介绍 - KFSensor:
1.KFSensor如何运作
  KFSensor主要是针对Windows作业系统所提供的各项服务以及弱点进行模拟,KFSensor
可以模拟Windows的网路,如NetBIOS、SMB、CIFS,较特别的是KFSensor可以侦测到针对
Windows档案分享的攻击。此外KFSensor可以模拟如FTP、 SMB、 POP3、 HTTP、 Telnet、
SMTP 与 SOCKS等协定,来搜集攻击者的资讯。KFSensor十分容易安装与设定,不需要特别
的硬体,即使是配备低的电脑,仍可以进行安装,此外在设定上皆采用视窗介面,不需编
辑复杂的设定档,对使用者来说十分方便。它安装在电脑上并模拟真实的服务,等待该通
讯埠连接,如网页伺服器或SMTP伺服器,当安装KFSensor在目标主机或honeypot主机上时
,就可以对骇客活动进行记录。而产生详细的log档给管理者,KFSensor对于攻击的判断
是采用签署(signature)的方式,来判断各种攻击,同时也可以输入Snort格式的规则,
以增加其防御强度。
  如果说KFSensor只能搜集攻击者的情报,而不能进一步的通知管理者攻击的讯息,那
其价值便非常有限。KFSensor提供系统警报、声音警报、电子邮件发送警报、SysLog上的
警报以及EvenLog警报等。
2.KFSensor的安装及设定
  安装KFSensor:可至http://www.keyfocus.net...download/取得试用版的下
载,并进行安装。安装完后会重开机一次,接下来有三个选项让您复选,分别是针对
Windows的服务,Linux的服务,和木马及网虫。

  接下来设定诱捕主机的Domain Name,但是特别要注意的是,千万不要拿正常主机的
Domain Name重复用在诱捕主机上。KFSensor可以将资讯或警报寄到您指定的电子邮件信
箱,所以下个步骤是设定您所要接收讯息的信箱位址。KFSensor可以侦测许多通讯以及模
拟这些服务,接下来是要选择您要KFSensor侦测的网路服务。若有选择NetBios/NBT/SMB
and RPC的话,就必须要关闭下面两个原本Windows会提供的服务。

‧关闭MBT
(1).开启「网路与拨号连线」内容,开启「网路连线」。
(2).选择并进入Internet protocol(TCP/IP),然后选择「进阶」。
(3).选择WINS标签页,点选「停用NetBIOS over TCP/IP」。
(4).确定后离开。

‧关闭SMB
(1).「开始」->「执行」输入regedt32。
(2).找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters。
(3).将TransportBindName改名为xTransportBindName。

‧在检查主机是否有安装其他的软体会占用于KFSensor模拟的通讯埠。
‧设定执行KFSensor
‧选择「Scenario」在选择「Edit Scenario」,就可对KFSensor所模拟的服务进行设定。
使用者可以根据自己的需求来设定。

3.测试KFSensor。
  我们只要利用普通的扫瞄工具就可以对装有KFSensor的诱捕主机进行测验,进一步观
看KFSensor对外埠扫瞄所产生的记录及回应,使用者可以针对多种服务进行测试,以观察
此软体是否合乎需求。我们先下载SuperScan这套工具在攻击的电脑上,当安装好后,再
对KFSensor主机进行扫瞄,扫瞄时需要注意KFSensor是否有产生预期的效果,侦测到外在
的行为,以及从SuperScan所产生的讯息得知KFSensor是否可产生相对应的软体服务回应
以骗过攻击者。

  在进行攻击完后,我们可以进一步的将攻击者和KFSensor主机之间的讯息进行比对。
KFSensor的功能十分强大,而且设定也十分简单,若使用者对于Unix-like的系统不熟,又
害怕编辑繁杂的设定档,KFSensor对这些使用者来说,可以说是非常方便的软体。

四、Honeypots的未来
  由于Honeypots的特性,使它和一般的网路安全工具如防火墙等,有很大的不同。相信
在未来,Honeypots会扮演越来越重要的角色,能更进一步帮助使用者。在研究或者实务上
,帮助使用者更快了解未知威胁及攻击的详细步骤,若发现攻击,则尽快的提供警报,进
一步找出攻击者,由于免费的Honeypots安装和设定上都比较困难,商业性的Honeypots架
设成本又高,所以一直都难以推广,所以Honeypots的设计应该朝向越来越容易使用且容易
安装和设定的目标迈进。在大家慢慢了解Honeypots之后,希望未来Honeypots的研究除了
可以帮助我们了解攻击者的行为之外,更可以藉此进一步的改善我们网路的使用环境,做
为网路安全的先锋,保障合法使用网路者的权益。

五、参考资料:
1.Spitzner "Honeypots Tracking Hackers"
2.资通安全专辑之十四 - 网路攻防实验教材
3.BOF http://www.nfr.com/resou...ficer.php
4.KFSensor http://www.keyfocus...sensor/
5.Honeyd http://www.Ho...org/
6.N. Krawetz, "Anti-honeypot technology," Security & Privacy Magazine,
IEEE, vol. 2, pp. 76-79, 2004.



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 | Posted:2006-11-06 21:57 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.177809 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言