文/yangshulei
2003年夏天,對于運行著Microsoft Windows的成千上萬臺主機(jī)來說簡(計算機(jī)愛好者,學(xué)習(xí)計算機(jī)基礎(chǔ),電腦入門,請到本站,我站同時提供計算機(jī)基礎(chǔ)知識教程,計算機(jī)基礎(chǔ)知識試題供大家學(xué)習(xí)和使用),直就是場噩夢!也給廣大網(wǎng)民留下了悲傷的回憶,這一些都?xì)w結(jié)于沖擊波蠕蟲的全世界范圍的傳播。這種事件也以不是第一次了,以往的Slammer, Code Red,Nimda 蠕蟲同樣也有著類似的破壞效果。
這種蠕蟲會在被感染的機(jī)器上自己復(fù)制,以其達(dá)到通過蔓布因特網(wǎng)感染其他的機(jī)器的目的。導(dǎo)致了人們對網(wǎng)絡(luò)安全問題的重視。
人們總是習(xí)慣于相同類型的系統(tǒng)與程序。這同達(dá)爾文的某個理論相似,單作的這使許多網(wǎng)絡(luò)安全專家畏懼連到因特網(wǎng),而遭到一種新的惡意的蠕蟲的攻擊,如果最近的沖擊波能格式Windows 的機(jī)器的硬盤會是什么下場?雖然它沒這種效果,但它可以輕易的達(dá)到那種效果,隨著新的網(wǎng)絡(luò)攻擊的水平不斷提高,提出一個新的解決方案必須的。
這篇文章是說用Honeypots 同Internet 蠕蟲作斗爭的方法,第一部分介紹討論關(guān)于傳播廣泛的蠕蟲的背景知識,然后,討論Honeypots 的一些實用的功能。最后,我們將搭建一個Honeypots來同Internet 蠕蟲作斗爭和反擊。最后,我們將展望一下未來的觀點。
1、關(guān)于蠕蟲
簡單點說,蠕蟲就是有著危害的代碼來攻擊網(wǎng)上的受害主機(jī),并在受害主機(jī)上自我復(fù)制,再攻擊其他的受害主機(jī)的令人畏懼的實體。
大多數(shù)時間, 蠕蟲程序都是計算機(jī)黑客,網(wǎng)絡(luò)安全研究人員和病毒作者寫的。病毒傳染基于迷惑人脆弱的部分,通過社會工程學(xué)來傳播。比如,迷惑一個用戶敲擊一個電子郵件附件,以其達(dá)到目的。
蠕蟲主要有三種主要特性:
感染: 通過利用脆弱感染一個目標(biāo)。
潛伏:感染當(dāng)?shù)啬繕?biāo)遠(yuǎn)程主機(jī)。
傳播:影響的目標(biāo),再感染其他的主機(jī)。
2、關(guān)于 honeypots
Honeypots是一個哄騙進(jìn)攻者的計算機(jī)。在一個網(wǎng)絡(luò)上,惡意的攻擊者將會攻擊偽造的系統(tǒng),他們使盡一些方法得到的只是一些無關(guān)的信息。
當(dāng)一個honeypot作為偽造的主機(jī),常常哄騙進(jìn)攻者時,這就意味著所有的請求到honeypot都是可懷疑的,
honeypots 經(jīng)常認(rèn)為用于被動分析時,他們也能起交互式作用來處理蠕蟲,兩種honeypots 經(jīng)常被使用。
高級應(yīng)用:一種真正的主機(jī)通常幾乎犧牲(叫做傀儡主機(jī)),在一個網(wǎng)絡(luò)在等待任何進(jìn)攻者攻擊。
低級應(yīng)用:服務(wù)器和/或主機(jī)是模擬的(例如Honeyd by Niels Provos)
3、蜜罐同蠕蟲的對抗
這章的目標(biāo)將是證明交互式honeypots 同蠕蟲作斗爭的優(yōu)勢,我們將明白怎么使用新的蜜罐技術(shù)來防御不同的階段期間的蠕蟲,
3.1 蠕蟲與蠕蟲的感染
蠕蟲感染的階段就是它在受害主機(jī)上自我復(fù)制攻擊其他的主機(jī)。
在這個階段期間 ,作為防守者的蜜罐會檢測非法入侵者的行為。比如,監(jiān)視網(wǎng)絡(luò),這項技術(shù)通常被稱為太公釣魚,愿者上鉤。防守者的蜜罐是一個建在網(wǎng)關(guān)上的,扮演著一個防火墻,或者入侵檢測系統(tǒng)(IDS),或者是入侵防御系統(tǒng)(IPS)。它過濾了通過網(wǎng)絡(luò)的流量,分析數(shù)據(jù)包的內(nèi)容。然后,如果網(wǎng)絡(luò)的地址同那些知名的攻擊的指紋是否相同,在檢驗之后,網(wǎng)關(guān)將標(biāo)記一定時期內(nèi)的危害的源地址。因此,危害的數(shù)據(jù)包將被重定向到蜜罐中,而不是主網(wǎng)絡(luò)中。
對于最近的沖擊波蠕蟲,如果網(wǎng)關(guān)機(jī)器對來自外部的TCP數(shù)據(jù)包請求本地135端口,被IDS進(jìn)行標(biāo)記。他將被重定向到蜜罐中。我們將在第3.3章中討論蜜罐未來的新功能。
我們也發(fā)現(xiàn)了這門技術(shù)的缺點:
1,標(biāo)記總是晚于新的未知的攻擊,
2,這一概念是可靠的嗎?如果因為錯誤的配置而系統(tǒng)出錯,將合法的數(shù)據(jù)包發(fā)到蜜罐中該怎么辦?
3,網(wǎng)絡(luò)速度因為網(wǎng)關(guān)的巨量的分析而被減慢。
3.2 蜜罐與蠕蟲的潛伏
蜜罐技術(shù)對于對付是非常有用的,特別是撲獲和分析它們。為了撲獲到一個蠕蟲,你可以讓一臺主機(jī)感染上,至少讓蠕蟲認(rèn)為已感染上了,在前一章了,我們看到我們能用蜜罐來轉(zhuǎn)向這些攻擊的流量。
蜜罐也被稱為“傀儡主機(jī)”(一個正常的沒有打最新補(bǔ)丁的漏洞主機(jī),有被入侵的可能性)。或者模擬一個服務(wù),注意要讓她們在你的控制下不能在反彈感染其他的主機(jī)。如想獲得更多的信息,請參考Honeynet Project.的建議。
3.2.1 受害主機(jī)
使用一個受害主機(jī),安裝著原始的操作系統(tǒng)和一些適當(dāng)?shù)姆?wù),也可以通過VMWare來安裝許多個操作系統(tǒng),來迷惑蠕蟲的攻擊.
為了撲獲蠕蟲,受害主機(jī)等待被感染,以至于監(jiān)視網(wǎng)絡(luò)上的流量并發(fā)現(xiàn)蠕蟲.
3.2.2 虛擬的主機(jī)和服務(wù)
模擬這個虛擬的主機(jī)和服務(wù),honeypot 通過偽造的服務(wù)能讓遠(yuǎn)程的蠕蟲進(jìn)行接觸。完成這種的程序叫做蜜罐
為了描述這個方法,這里有一種方法來欺騙沖擊波蠕蟲的,它會欺騙沖擊波蠕蟲認(rèn)為對方的Windows 主機(jī)開放著135端口,并運行著RPC DCOM 服務(wù)。
這個簡單的配置通常能成功地發(fā)現(xiàn)在因特網(wǎng)上的沖擊波蠕蟲。
create default set default personality “Windows XP Pro””
add default tcp port 135 open
add default tcp port 4444 “”/bin/sh s cripts/WormCatcher.sh $ipsrc $ipdst””
set default tcp action block
set default udp action block
這里有一個在Honeyd 發(fā)布的對每一個請求4444端口腳本程序。
!#/bin/sh
# Creation of a directory for every contaminated host
# attacking the honeypot
下一條:軟驅(qū)的日常維護(hù)
上海廣樂網(wǎng)絡(luò)科技有限公司 
滬ICP備14038021號-2 版權(quán)所有. 上海市市轄區(qū)浦東新區(qū)盛夏路666號盛銀大廈E棟 13151091625
