標籤:

求解什麼是蜜罐技術?

01-21

不是超市裡的蜜罐,是跟互聯網黑客相關的。

互聯網世界的攻擊者們,比現實世界的壞人們更善於隱藏自己,他們往往躲在肉雞、代理的背後,肆無忌憚的攻擊我們的站點。對於這樣的壞人,我們只能躲在高牆之後被動防禦了嗎?

當然不是!因為,有一種神奇的技術叫「蜜罐」。

在軍事領域,以響尾蛇導彈為代表的紅外製導武器,可以利用紅外探測器捕獲和跟蹤目標自身輻射的能量來追擊目標。對於飛機來說,沒有任何方法能在空中關停產生熱輻射的發動機,所以,對飛機來說,響尾蛇導彈是一種非常可怕的存在。

道高一尺魔高一丈,為了避免被響尾蛇導彈擊落,很多飛機都會配備一種防禦武器:紅外誘餌彈,在響尾蛇導彈接近自己的時候,放出紅外誘餌彈,吸引對方去攻擊誘餌彈,從而達到讓自己金蟬脫殼的作用。

蜜罐是一種思想

類似的事情也發生在互聯網安全領域。

一個接入互聯網的網站,只要能和外部產生通信,就有被黑客攻擊的可能——就像飛機在控制無法關停發動機一樣。但是網站能像飛機發射紅外誘餌一樣,用某種陷阱來引誘攻擊者,就可以達到自身不被攻擊的目的。

這種引誘黑客攻擊的「陷阱」就是「蜜罐」。從廣義上看,「蜜罐」並不具體指某種技術,而是一種思想。

舉個栗子,在電影《無間道》中,警方發現自己這邊有內鬼但是並不知道是誰,於是假裝傳遞含有內鬼信息的信封,劉德華飾演的內鬼摸不清底細,冒險去拿了這個信封。

在這個情節里,這個偽裝成情報的信封就相當於「蜜罐」。

「蜜罐」的創造者

蜜罐作為一種古老的技術思想,近幾年被人們越來越多地提起。

這一概念最初出現在一本上世紀出版的小說——《The Cuckoo"s Egg》中,這本小說描述了作者作為一個公司的網路管理員,如何追蹤並發現一起商業間諜案的故事。這本書是互聯網界和文學小說界的傳奇,被譽為最真實的黑客小說。

這本書的作者 CliffordStoll 其實是個計算機安全專家,他在1988年提出「蜜罐是一個了解黑客的有效手段」。之後,蜜 罐技術受到越來越多的網路安全研究員們的注意,成為繼被動防禦技術之後又一個強有力的網路安全技術。

然而,蜜罐技術迎來真正的發展,是在這一概念被提出10年之後。

在這一時期,蜜罐思想吸引到一匹網路安全技術員的注意,同時也開發出一批相應的產品,如Fred Cohen 所開發的DTK(欺騙工具包)、Niels Provos 開發的Honeyd 等,同時也出現了像KFSensor、Specter 等一些商業蜜罐產品。

這一階段的蜜罐可以稱為是虛擬蜜罐,即開發的這些蜜罐工具能夠模擬成虛擬的操作系統和網路服務,並對黑客的攻擊行為做出回應,從而欺騙黑客。

虛擬蜜罐工具的出現也使得部署蜜罐變得比較方便,即使是普通的網路安全技術員也能配置,而不是像小說情節那樣不接地氣。

這些能夠模擬IP棧、OS、應用程序的蜜罐,在它被攻陷了後也很容易重建。通常情況下,模仿是完全在內存中實現的。虛擬蜜罐軟體也允許在單一的物理主機上配置一個完全的蜜網,一個虛擬蜜罐系統可被用來模仿成千上萬個系統,每個系統使用成千上萬個埠且使用不同的IP。

「蜜罐」的發展

和飛機發射的紅外誘餌類似,這種簡單的蜜罐更多是起到干擾攻擊者的作用,並不能獲取到更多攻擊者信息。

於是有人就提出一些設想:

如果用蜜罐獲取到更多的攻擊者信息,比如攻擊者的IP,就可以對攻擊來源打上標記,這樣一來就可以直接防禦來自被標記的攻擊,禦敵於「國門」之外,大大減輕安全壓力。

在這種指導思想下,一種新時代的蜜罐產生了:高交互蜜罐。

高交互蜜罐提供真實的操作系統和真實的服務,因此,這種蜜罐的交互性最強,收集到的數據也最全面。

由於是真實的操作系統和真實的服務,這樣的蜜罐其實是可以被攻陷的,甚至入侵者還能利用該蜜罐作為跳板,對網路上其他用戶進行入侵。因此,高交互蜜罐捕獲的入侵信息是最全面的,但也是比較危險的。

「蜜罐」的未來

在討論蜜罐技術的未來之前,我們需要知道一個前提:蜜罐並不是當前互聯網世界最主流的安全技術,企業也不能只依賴蜜罐技術來保護自己。

所以,這就存在一個問題,企業部署蜜罐的同時還得部署傳統的被動防禦,這樣一來安全成本就大大提高。

離開劑量談毒性都是耍流氓

離開了成本去談安全也是耍流氓,所以,對於中小企業來說,蜜罐技術大部分時候還處於紙上談兵的階段。

另外,蜜罐作為一種誘餌,存在被攻破的可能性,如果是部署在物理機上的蜜罐,甚至可能被黑客作為跳板來入侵,這種風險也是企業用戶不得不考慮的因素之一。

利益相關:豈安科技

分析一則蜜罐捕獲的事件:

1. 攻擊者使用guest賬戶第一次設法登錄系統,開始猜測賬戶口令;

2. 攻擊者作為root用戶成功登錄系統。但是,儘管攻擊者已經得到了root許可權,口令猜解仍在繼續(這說明攻擊者使用了完全自動化的攻擊);

3. guest用戶登錄,但是幾秒後又註銷了。此時,猜測正在手動驗證自動猜測的用戶名和密碼;

4. root用戶登錄,這次登錄的IP來自於83.103.*.*。登錄後,創建了三個新用戶,所有這些用戶的組和uid都是0,即都是管理員的身份;

5.攻擊者開始從遠程Web伺服器上下載一些工具;

6. 工具下載完成,該工具包括一個ssh掃描器,用於啟動他的shell腳本,生成用戶名和字典的兩個文件。10秒後,攻擊者又下載了其它工具...;

7. 攻擊者啟動了一個對IP範圍66.252.*.*的ssh掃描;

8. ...

我覺得應該是一個放糖的容器

蜜罐好比是情報收集系統。蜜罐好像是故意讓人攻擊的目標,引誘黑客前來攻擊。

好!有沒有專業做蜜罐的的?誰推薦下?

推薦閱讀:

加入一個安全團隊的作用?
黑客和黑客是怎樣識別的?
中國黑客分幾代,當時都發生了些什麼事,有哪些代表人物,有什麼貢獻?
關於中國紅客聯盟,什麼是中國紅客聯盟?中國紅客聯盟是做什麼的?
如何才能成為電影里的 Hacker?

TAG:黑客文化 |