蜜罐技术
发布网友
发布时间:2022-12-08 22:12
共2个回答
热心网友
时间:2023-12-22 20:05
蜜罐是用来吸引那些入侵者,目的在于了解这些攻击。蜜罐看起来就是一台有一个或者多个可以被攻击者利用漏洞的服务器或计算机主机。他们简单的就如同一个默认安装的操作系统充满了漏洞以及被攻破的可能性。
蜜罐的目标及作用
蜜罐技术强大而灵活,不仅可以识别对网络上主机的攻击也可以监视和记录攻击是如何进行的。蜜罐可以和入侵检测IDS一起工作,与 IDS相比,蜜罐的误报率较低。这是因为蜜罐既不提供任何网络服务,也没有任何合法用户,但并不是网络上的空闲设备。因此,任何流入或者流出蜜罐的网络通信都可以是做可疑的,是网络正在被攻击的一种标志。
蜜罐的主要目标是容忍入侵者攻击自身,在被攻击的过程中记录收集入侵者的攻击工具、手段、动机、目的等行为信息。尤其是入侵者使用了新的未知攻击行为时,收集这些信息,从而根据其调整网络安全策略,提高系统安全性能。同时蜜罐还具有转移攻击者注意力,消耗其攻击资源、意志,间接保护真实目标系统的作用。
蜜罐的分类
蜜罐可以运行任何操作系统和任意数量的服务。蜜罐根据交互程度(Level ofInvolvement)的不同可以分为高交互蜜罐和低交互蜜罐。蜜罐的交互程度是指攻击者与蜜罐相互作用的程度,高交互蜜罐提供给入侵者一个真实的可进行交互的系统。
相反,低交互蜜罐只可以模拟部分系统的功能。高交互蜜罐和真实系统一样可以被完全攻陷,允许入侵者获得系统完全的访问权限,并可以以此为跳板实施进一步的网络攻击。相反的,低交互蜜罐只能模拟部分服务、端口、响应,入侵者不能通过攻击这些服务获得完全的访问权限。
从实现方法上来分,蜜罐可分为物理蜜罐和虚拟蜜罐。物理蜜罐是网络上一台真实的完整计算机,虚拟蜜罐是由一台计算机模拟的系统,但是可以响应发送给虚拟蜜罐的网络流量。
热心网友
时间:2023-12-22 20:06
入侵检测系统能够对网络和系统的活动情况进行监视,及时发现并报告异常现象。但是,入侵检测系统在使用中存在着难以检测新类型黑客攻击方法,可能漏报和误报的问题。
蜜罐使这些问题有望得到进一步的解决,通过观察和记录黑客在蜜罐上的活动,人们可以了解黑客的动向、黑客使用的攻击方法等有用信息。如果将蜜罐采集的信息与IDS采集的信息联系起来,则有可能减少IDS的漏报和误报,并能用于进一步改进IDS的设计,增强IDS的检测能力。
对攻击行为进行追踪属于主动式的事件分析技术。在攻击追踪方面,最常用的主动式事件分析技术是“蜜罐”技术。
蜜罐是当前最流行的一种陷阱及伪装手段,主要用于监视并探测潜在的攻击行为。蜜罐可以是伪装的服务器,也可以是伪装的主机。一台伪装的服务器可以模拟一个或多个网络服务,而伪装主机是一台有着伪装内容的正常主机,无论是伪装服务器还是伪装主机,与正常的服务器和主机相比,它们还具备监视的功能。
书中提到Trap Server.exe软件是一个常用的蜜罐软件。此软件是一个适用于Win95/98/Me/NT/2000/XP等系统的“蜜罐”,可以模拟很多不同的服务器,如ApacheHTTP Server和Microsoft IIS等
蜜罐的伪装水平取决于三点,即内容的可信性、内容的多样性和对系统平台的真实模拟。其中,内容的可信性是指当供给者获取信息时,在多大程度上、用多长时间能够吸引攻击者;内容的多样性是指应提供不同内容的文件来吸引攻击者;对系统平台的真实模拟是指蜜罐系统与被伪装的系统之间应采用相同的工作方式。在设计蜜罐的时候需要考虑下面一些问题:</br>
(1)蜜罐应当伪装的对象类型。</br>
(2)蜜罐应当为入侵者提供何种模式的工作窗口。</br>
(3)蜜罐应当工作在何种系统平台上。</br>
(4)应当部署的蜜罐数目。</br>
(5)蜜罐的网络部署方式。</br>
(6)蜜罐自身的安全性。</br>
(7)如何让蜜罐引人注意。</br>
由于蜜罐技术能够直接监视到入侵的行为过程,这对于掌握事件的行为机制以及了解攻击者的攻击意图都是非常有效的。根据蜜罐技术的这些功能特点,可以确定两个主要的应用场合。
(1)对于采用网络蠕虫机制自动进行攻击并在网上快速蔓延的事件,部署蜜罐可以迅速查明攻击的行为机理,从而提高事件的响应速度。</br>
(2)对于隐藏攻击行为,以渗透方式非法获取系统权限入侵系统的事件,部署蜜罐有助于查明攻击者的整个攻击行为机制,从而逆向追溯攻击源头。
要成功地部署并使用蜜罐技术还需要在实际应用过程中进行一系列的操作,其中涉及的主要内容如下。
