頻道欄目
首頁 > 資訊 > 系統安全 > 正文

虛擬攻防系統--HoneyPot

04-10-01        來源:[db:作者]  
收藏   我要投稿

Honeypot 是一個故意設計為有缺陷的系統,通常是用來對入侵者的行為進行警報或者
誘騙。傳統的 Honeypot 是一般情況下類比其他作業系統或者一些常見漏洞,而 Honeynet
則有所不同,它是一個學習的工具,下面是它們之間兩個最大的區別所在:


● 根據 Snort creator Marty Roesch. Marty 我們可以把 HoneyPot 廣義的分成二類:
這二類為產品及研究,所謂產品式 HoneyPot 即為幫助組織減少風險和增加組織里的安
全評量。而研究式則為要獲得在駭客社群里的相關資訊所設置的。

● Honeynet 是一個網路系統,而并非某臺單一主機,這一網路系統是隱藏在防火墻後面
的,所有進出的資料都受到監控、捕獲及控制。這些被捕獲的資料可以對我們研究分析
入侵者們使用的工具、方法及動機。在這個Honeynet中,我們可以使用各種不同的作業
系統及設備,如 Solaris Linux Windows NT Cisco Switch 等等。這樣建立的網路
環境看上去會更加真實可信,同時我們還有不同的系統平臺上面運行著不同的服務,比
如 Linux 的 DNS server,Windows NT 的webserver 或者一個 Solaris 的FTP server
,我們可以學習不同的工具以及不同的策略--或許某些入侵者僅僅把目標定於幾個特定
的系統漏洞上,而我們這種多樣化的系統,就可能更多了揭示出他們的一些特性。

● 在 Honeynet 中的所有系統都是標準的機器,上面運行的都是真實完整的作業系統及應
用程式--我們沒有刻意地模彷某種環境或者故意使系統不安全。
Honeynet是一個用來學習的駭客如何入侵系統的工具,包含了設計好的網路系統。

Honeynet 和 Honeypot 最為人所知的差異是 Honeypot 通常是指一臺機器,在上面常見的
軟體有 The Deception Toolkig or Specter,而 honeynet 是一個電腦所組成的網路。最
常見的 Honeynet 建置元素有:

● 防火墻,它記錄了所有進出的連線且提供了 NAT 的服務和 DOS 的保護。
● 入侵偵側系統(IDS),IDS和防火墻有時會放置在同一個位置,它記錄了網路上的流量且
尋找攻擊和入侵的線索。
● 遠端日志電腦,稍微的修改成所有的入侵者的指令能夠傳送到系統日志。系統日志通常
設定成遠端的系統日志。
● HoneyPot,我們設定好的Honeypot可為任何作業系統,當設定 Honeypot 時,能做小小
的改變,以免入侵者查覺到這是一個 Honeynet。

Honeynet 是一個很有價值的研究,學習和教育的工具,藉著這個工具使我們能了解到
入侵者的攻擊方式,以便未來能偵測到入侵。從Honeynet 所收集來的資訊能被分析且能監
視攻擊的趨勢。這些資訊也可被用教作教育訓練。

一般而言,建置 HoneyPot 大多有兩個原因:

1.學習入侵者如何偵測和企圖獲得系統的存取權限,當駭客的行為被記錄下來之後,我們
就可以藉此分析,來找出更好的方法來保護我們真實的系統。
2.對於逮補入侵者所需的證據,這類的資訊在法庭上都需要作為控告人侵者的證據。

HoneyPot 所面臨法律相關問題

● 誘捕的問題:

誘捕是一個法律術語,用於執法人員誘使一個罪犯從事一項非法行為,否則他們可能不
會從事該非法行為。我們不是執法部門,我們不是在執法部門的控制下行動,而且我們
甚至沒有起訴的意圖,所以,我們不認為安裝一個 Honeynet 是誘捕行為。其他人將爭
論說我們正在提供一個"吸引人的目標",意味著我們把不可靠的系統置於網上,以誘使
人們攻擊他們,從而把他們作為攻擊別人的手段來使用。這也是錯誤的,因為我們并沒
有通過任何方式來宣傳這些系統。如果有人發現了我們的一個系統,損害了它,并且使
用它作他們不應當做的事情,那是因為他們在主動地和有意地從事這種非授權的行為。

● 保密的問題:

而關於這些活動有一些道德上的和倫理上的問題,最近由美國司法局,刑事庭,受理上
訴的法官裁定,反對對於在電腦入侵和欺騙的犯罪案件中,對侵犯隱私權進
 行辯護。包
括下面一些問題:

1. 入侵這些系統的人是未經授權的,如果他們把任何文件置於系統上(當他們沒有合法
的帳號或使用特權時),我們認為他們已經不能保有在我們系統上的隱私權。
2. 通過使用我們的系統進行通訊,他們就已經在通訊中放棄了他們的隱私權。
3. 我們不提供公用的帳號,所以我們不是一個服務供應商,不受為服務供應商所設計的
保密要求的限制。
4. 不管怎樣,我們不是執法部門,我們也不是在執法部門的控制下行動,或甚至起訴入
侵我們系統的入侵者,所以,我們不受證據收集規定的限制,而執法部門和他們的執
法人員卻要受到其限制。
5. 即使我們真的目擊了一起嚴重的電腦犯罪,并且決定告發它,我們收集日志和記錄網
路流量,將其作為一個"商業運營"的常規過程,如果我們決定告發的時候,我們可以
自由地將其交給執法部門。

HoneyPot的優點與缺點

優點:

1. 資料收集

Honeypots 收集少量的資料,但資料都是具有高價值的。它去除了大量的雜訊,使它能
夠簡單的收集資料。在安全上中的最好的問題之一,就是如何在大量的資料當中,找到
你所需要的資料,HoneyPot 能使你快速簡單地去收集資料并且了解。比如
HoneyNet Project,它是一個研究 honeypot 的團隊,平垮每天收集 1-5MB 的資料,
這些資訊一般都是很有價值的,不只能看到網路上的行動,并且能得知入侵者如何入侵
這個系統。

2. 資源

許多安全工具會被頻寬所限制住。網路入侵偵測裝置不能夠去追蹤所有的網路行為,而
丟棄封包。集中化的日志伺服器并無法收集所有的系統日志,而潛在地流失日志記錄。
Honeypots 則沒有這個問題,它僅僅去截取對於他有關系的動作。

缺點:

1. 單一資料收集點

HoneyPots 放置一個很大的系統漏洞,如果沒有攻擊者來攻擊,即變得一點價值都沒有
,也無法得知任何未授權的行為。

2. 風險

HoneyPots 對於你的環境也能夠招致風險,作為攻擊者另外一次攻擊的平臺,風險是變
動性的,全依靠如何建置及如何利用 Honeypots。
 

 

相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

免费的黄色网站