|
電腦特技與虛擬演員--計(jì)算機(jī)蜜罐技術(shù)
|
|
文章整理:網(wǎng)絡(luò)技術(shù)論壇???作者:小金???
|
??????? 一、從影片特技到蜜罐技術(shù)
《特洛伊》里龐大的希臘艦隊(duì)、《終結(jié)者2》里隨意改變形體的“液體金屬”、《侏羅紀(jì)公園》里滿地亂跑的恐龍們、《黑客帝國(guó)》里的“子彈時(shí)間”……隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,越來(lái)越多的電腦特技被應(yīng)用在電影領(lǐng)域,不需要工資的虛擬演員不知辛勞地日夜工作,這些電腦技術(shù)使得導(dǎo)演可以構(gòu)思現(xiàn)實(shí)中不可能存在的情節(jié)環(huán)境,也減少了影片開支。但是,在計(jì)算機(jī)的信息安全領(lǐng)域里,網(wǎng)絡(luò)管理員要面對(duì)的是黑客真槍實(shí)干的入侵破壞,難道在電腦技術(shù)大量應(yīng)用的今天,安全領(lǐng)域卻得不到一點(diǎn)援助?答案是有的,它就是在安全領(lǐng)域里代替網(wǎng)絡(luò)管理員上陣的“虛擬演員”——蜜罐技術(shù)。
蜜罐,或稱Honeypot,與應(yīng)用于電影的特技相比,它并不神秘——所謂蜜罐,就是一臺(tái)不作任何安全防范措施而且連接網(wǎng)絡(luò)的計(jì)算機(jī),但是與一般計(jì)算機(jī)不同,它內(nèi)部運(yùn)行著多種多樣的數(shù)據(jù)記錄程序和特殊用途的“自我暴露程序”——要誘惑貪嘴的黑熊上鉤,蜂蜜自然是不可少的。在入侵者的角度來(lái)看,入侵到蜜罐會(huì)使他們的心情大起大落——從一開始偷著樂(lè)罵管理員傻帽到最后明白自己被傻帽當(dāng)成猴子耍的過(guò)程。
二、為什么要使用蜜罐
《終結(jié)者2》里阿諾讓約翰把自己放入熔爐,《特洛伊》里Achilles被王子射殺,戰(zhàn)爭(zhēng)片里的機(jī)槍掃射,甚至《黑衣人》里外星人發(fā)射的核彈毀滅了北極!如果這一切是真實(shí)的話,我們的明星已經(jīng)成為墻上的照片了,拍一部片要死多少人?況且,我們只有一個(gè)地球,值得為了一部影片炸掉某個(gè)地區(qū)?所以人們必須采用電腦特技完成這些不能真實(shí)發(fā)生的劇情。同樣,管理員也不會(huì)為了記錄入侵情況而讓入侵者肆意進(jìn)入服務(wù)器搞破壞,所以蜜罐出現(xiàn)了。
前面說(shuō)過(guò)了,蜜罐是一臺(tái)存在多種漏洞的計(jì)算機(jī),而且管理員清楚它身上有多少個(gè)漏洞,這就像狙擊手為了試探敵方狙擊手的實(shí)力而用槍支撐起的鋼盔,蜜罐被入侵而記錄下入侵者的一舉一動(dòng),是為了管理員能更好的分析廣大入侵者都喜歡往哪個(gè)洞里鉆,今后才能加強(qiáng)防御。
另一方面是因?yàn)榉阑饓Φ木窒扌院痛嗳跣裕驗(yàn)榉阑饓Ρ仨毥⒃诨谝阎kU(xiǎn)的規(guī)則體系上進(jìn)行防御,如果入侵者發(fā)動(dòng)新形式的攻擊,防火墻沒(méi)有相對(duì)應(yīng)的規(guī)則去處理,這個(gè)防火墻就形同虛設(shè)了,防火墻保護(hù)的系統(tǒng)也會(huì)遭到破壞,因此技術(shù)員需要蜜罐來(lái)記錄入侵者的行動(dòng)和入侵?jǐn)?shù)據(jù),必要時(shí)給防火墻添加新規(guī)則或者手工防御。
三、深入蜜罐
既然使用蜜罐能有那么多好處,那么大家都在自己家里做個(gè)蜜罐,豈不是能最大程度防范黑客?有這個(gè)想法的讀者請(qǐng)就此打住!蜜罐雖然在一定程度上能幫管理員解決分析問(wèn)題,但它并不是防火墻,相反地,它是個(gè)危險(xiǎn)的入侵記錄系統(tǒng)。蜜罐被狡猾的入侵者反利用來(lái)攻擊別人的例子也屢見不鮮,只要管理員在某個(gè)設(shè)置上出現(xiàn)錯(cuò)誤,蜜罐就成了打狗的肉包子。而一般的家庭用戶電腦水平不可能達(dá)到專業(yè)水平,讓他們做蜜罐反而會(huì)引火燒身——蜜罐看似簡(jiǎn)單,實(shí)際卻很復(fù)雜。雖然蜜罐要做好隨時(shí)犧牲的準(zhǔn)備,可是如果它到最后都沒(méi)能記錄到入侵?jǐn)?shù)據(jù),那么這臺(tái)蜜罐根本就是純粹等著挨宰的肉雞了,蜜罐就復(fù)雜在此,它自身需要提供讓入侵者樂(lè)意停留的漏洞,又要確保后臺(tái)記錄能正常而且隱蔽的運(yùn)行,這些都需要專業(yè)技術(shù),如果蜜罐能隨便做出來(lái),我們?cè)诩依镆材芘臄z《黑客帝國(guó)》了——故意開著漏洞卻沒(méi)有完善的記錄處理環(huán)境的服務(wù)器不能稱為蜜罐,它只能是肉雞。
所以,我們必須了解蜜罐,它到底是什么樣的?
1.蜜罐的定義
首先我們要弄清楚一臺(tái)蜜罐和一臺(tái)沒(méi)有任何防范措施的計(jì)算機(jī)的區(qū)別,雖然這兩者都有可能被入侵破壞,但是本質(zhì)卻完全不同,蜜罐是網(wǎng)絡(luò)管理員經(jīng)過(guò)周密布置而設(shè)下的“黑匣子”,看似漏洞百出卻盡在掌握之中,它收集的入侵?jǐn)?shù)據(jù)十分有價(jià)值;而后者,根本就是送給入侵者的禮物,即使被入侵也不一定查得到痕跡……因此,蜜罐的定義是:“蜜罐是一個(gè)安全資源,它的價(jià)值在于被探測(cè)、攻擊和損害。”
設(shè)計(jì)蜜罐的初衷就是讓黑客入侵,借此收集證據(jù),同時(shí)隱藏真實(shí)的服務(wù)器地址,因此我們要求一臺(tái)合格的蜜罐擁有這些功能:發(fā)現(xiàn)攻擊、產(chǎn)生警告、強(qiáng)大的記錄能力、欺騙、協(xié)助調(diào)查。另外一個(gè)功能由管理員去完成,那就是在必要時(shí)候根據(jù)蜜罐收集的證據(jù)來(lái)起訴入侵者。
2.涉及的法律問(wèn)題
蜜罐是用來(lái)給黑客入侵的,它必須提供一定的漏洞,但是我們也知道,很多漏洞都屬于“高危”級(jí)別,稍有不慎就會(huì)導(dǎo)致系統(tǒng)被滲透,一旦蜜罐被破壞,入侵者要做的事情是管理員無(wú)法預(yù)料的,例如,一個(gè)入侵者成功進(jìn)入了一臺(tái)蜜罐,并且用它做“跳板”(指入侵者遠(yuǎn)程控制一臺(tái)或多臺(tái)被入侵的計(jì)算機(jī)對(duì)別的計(jì)算機(jī)進(jìn)行入侵行為)去攻擊別人,那么這個(gè)損失由誰(shuí)來(lái)負(fù)責(zé)?設(shè)置一臺(tái)蜜罐必須面對(duì)三個(gè)問(wèn)題:設(shè)陷技術(shù)、隱私、責(zé)任。
設(shè)陷技術(shù)關(guān)系到設(shè)置這臺(tái)蜜罐的管理員的技術(shù),一臺(tái)設(shè)置不周全或者隱蔽性不夠的蜜罐會(huì)被入侵者輕易識(shí)破或者破壞,由此導(dǎo)致的后果將十分嚴(yán)重。
由于蜜罐屬于記錄設(shè)備,所以它有可能會(huì)牽涉到隱私權(quán)問(wèn)題,如果一個(gè)企業(yè)的管理員惡意設(shè)計(jì)一臺(tái)蜜罐用于收集公司員工的活動(dòng)數(shù)據(jù),或者偷偷攔截記錄公司網(wǎng)絡(luò)通訊信息,這樣的蜜罐就已經(jīng)涉及法律問(wèn)題了。
對(duì)于管理員而言,最倒霉的事情就是蜜罐被入侵者成功破壞了。有人也許會(huì)認(rèn)為,既然蜜罐是故意設(shè)計(jì)來(lái)“犧牲”的,那么它被破壞當(dāng)然合情合理,用不著小題大做吧。對(duì),蜜罐的確是用來(lái)“受虐”的,但是它同時(shí)也是一臺(tái)連接網(wǎng)絡(luò)的計(jì)算機(jī),如果你做的一臺(tái)蜜罐被入侵者攻破并“借”來(lái)對(duì)某大學(xué)服務(wù)器進(jìn)行攻擊,因此引發(fā)的損失恐怕只能由你來(lái)承擔(dān)了。還有一些責(zé)任是誰(shuí)也說(shuō)不清的,例如,你做的一臺(tái)蜜罐不幸引來(lái)了Slammer、Sasser、Blaster等大名鼎鼎的“爬蟲類”病毒而成了傳播源之一,那么這個(gè)責(zé)任誰(shuí)來(lái)負(fù)擔(dān)?
3.蜜罐的類型
世界上不會(huì)有非常全面的事物,蜜罐也一樣。根據(jù)管理員的需要,蜜罐的系統(tǒng)和漏洞設(shè)置要求也不盡相同,蜜罐是有針對(duì)性的,而不是盲目設(shè)置來(lái)無(wú)聊的,因此,就產(chǎn)生了多種多樣的蜜罐……
3.1.實(shí)系統(tǒng)蜜罐
實(shí)系統(tǒng)蜜罐是最真實(shí)的蜜罐,它運(yùn)行著真實(shí)的系統(tǒng),并且?guī)е鎸?shí)可入侵的漏洞,屬于最危險(xiǎn)的漏洞,但是它記錄下的入侵信息往往是最真實(shí)的。這種蜜罐安裝的系統(tǒng)一般都是最初的,沒(méi)有任何SP補(bǔ)丁,或者打了低版本SP補(bǔ)丁,根據(jù)管理員需要,也可能補(bǔ)上了一些漏洞,只要值得研究的漏洞還存在即可。然后把蜜罐連接上網(wǎng)絡(luò),根據(jù)目前的網(wǎng)絡(luò)掃描頻繁度來(lái)看,這樣的蜜罐很快就能吸引到目標(biāo)并接受攻擊,系統(tǒng)運(yùn)行著的記錄程序會(huì)記下入侵者的一舉一動(dòng),但同時(shí)它也是最危險(xiǎn)的,因?yàn)槿肭终呙恳粋€(gè)入侵都會(huì)引起系統(tǒng)真實(shí)的反應(yīng),例如被溢出、滲透、奪取權(quán)限等。
3.2.偽系統(tǒng)蜜罐
什么叫偽系統(tǒng)呢?不要誤解成“假的系統(tǒng)”,它也是建立在真實(shí)系統(tǒng)基礎(chǔ)上的,但是它最大的特點(diǎn)就是“平臺(tái)與漏洞非對(duì)稱性”。
大家應(yīng)該都知道,世界上操作系統(tǒng)不是只有Windows一家而已,在這個(gè)領(lǐng)域,還有Linux、Unix、OS2、BeOS等,它們的核心不同,因此會(huì)產(chǎn)生的漏洞缺陷也就不盡相同,簡(jiǎn)單的說(shuō),就是很少有能同時(shí)攻擊幾種系統(tǒng)的漏洞代碼,也許你用LSASS溢出漏洞能拿到Windows的權(quán)限,但是用同樣的手法去溢出Linux只能徒勞。根據(jù)這種特性,就產(chǎn)生了“偽系統(tǒng)蜜罐”,它利用一些工具程序強(qiáng)大的模仿能力,偽造出不屬于自己平臺(tái)的“漏洞”,入侵這樣的“漏洞”,只能是在一個(gè)程序框架里打轉(zhuǎn),即使成功“滲透”,也仍然是程序制造的夢(mèng)境——系統(tǒng)本來(lái)就沒(méi)有讓這種漏洞成立的條件,談何“滲透”?實(shí)現(xiàn)一個(gè)“偽系統(tǒng)”并不困難,Windows平臺(tái)下的一些虛擬機(jī)程序、Linux自身的腳本功能加上第三方工具就能輕松實(shí)現(xiàn),甚至在Linux/Unix下還能實(shí)時(shí)由管理員產(chǎn)生一些根本不存在的“漏洞”,讓入侵者自以為得逞的在里面瞎忙。實(shí)現(xiàn)跟蹤記錄也很容易,只要在后臺(tái)開著相應(yīng)的記錄程序即可。
這種蜜罐的好處在于,它可以最大程度防止被入侵者破壞,也能模擬不存在的漏洞,甚至可以讓一些Windows蠕蟲攻擊Linux——只要你模擬出符合條件的Windows特征!但是它也存在壞處,因?yàn)橐粋€(gè)聰明的入侵者只要經(jīng)過(guò)幾個(gè)回合就會(huì)識(shí)破偽裝,另者,編寫腳本不是很簡(jiǎn)便的事情,除非那個(gè)管理員很有耐心或者十分悠閑。
4.使用你的蜜罐
既然蜜罐不是隨隨便便做來(lái)玩的,管理員自然就不會(huì)做個(gè)蜜罐然后讓它賦閑在家,那么蜜罐做來(lái)到底怎么用呢?
4.1.迷惑入侵者,保護(hù)服務(wù)器
一般的客戶/服務(wù)器模式里,瀏覽者是直接與網(wǎng)站服務(wù)器連接的,換句話說(shuō),整個(gè)網(wǎng)站服務(wù)器都暴露在入侵者面前,如果服務(wù)器安全措施不夠,那么整個(gè)網(wǎng)站數(shù)據(jù)都有可能被入侵者輕易毀滅。但是如果在客戶/服務(wù)器模式里嵌入蜜罐,讓蜜罐作為服務(wù)器角色,真正的網(wǎng)站服務(wù)器作為一個(gè)內(nèi)部網(wǎng)絡(luò)在蜜罐上做網(wǎng)絡(luò)端口映射,這樣可以把網(wǎng)站的安全系數(shù)提高,入侵者即使?jié)B透了位于外部的“服務(wù)器”,他也得不到任何有價(jià)值的資料,因?yàn)樗肭值氖敲酃薅选km然入侵者可以在蜜罐的基礎(chǔ)上跳進(jìn)內(nèi)部網(wǎng)絡(luò),但那要比直接攻下一臺(tái)外部服務(wù)器復(fù)雜得多,許多水平不足的入侵者只能望而卻步。蜜罐也許會(huì)被破壞,可是不要忘記了,蜜罐本來(lái)就是被破壞的角色。
在這種用途上,蜜罐不能再設(shè)計(jì)得漏洞百出了。蜜罐既然成了內(nèi)部服務(wù)器的保護(hù)層,就必須要求它自身足夠堅(jiān)固,否則,整個(gè)網(wǎng)站都要拱手送人了。
4.2.抵御入侵者,加固服務(wù)器
入侵與防范一直都是熱點(diǎn)問(wèn)題,而在其間插入一個(gè)蜜罐環(huán)節(jié)將會(huì)使防范變得有趣,這臺(tái)蜜罐被設(shè)置得與內(nèi)部網(wǎng)絡(luò)服務(wù)器一樣,當(dāng)一個(gè)入侵者費(fèi)盡力氣入侵了這臺(tái)蜜罐的時(shí)候,管理員已經(jīng)收集到足夠的攻擊數(shù)據(jù)來(lái)加固真實(shí)的服務(wù)器。
采用這個(gè)策略去布置蜜罐,需要管理員配合監(jiān)視,否則入侵者攻破了第一臺(tái),就有第二臺(tái)接著承受攻擊了……
4.3.誘捕網(wǎng)絡(luò)罪犯
這是一個(gè)相當(dāng)有趣的應(yīng)用,當(dāng)管理員發(fā)現(xiàn)一個(gè)普通的客戶/服務(wù)器模式網(wǎng)站服務(wù)器已經(jīng)犧牲成肉雞的時(shí)候,如果技術(shù)能力允許,管理員會(huì)迅速修復(fù)服務(wù)器。那么下次呢?既然入侵者已經(jīng)確信自己把該服務(wù)器做成了肉雞,他下次必然還會(huì)來(lái)查看戰(zhàn)果,難道就這樣任由他放肆?一些企業(yè)的管理員不會(huì)罷休,他們會(huì)設(shè)置一個(gè)蜜罐模擬出已經(jīng)被入侵的狀態(tài),做起了姜太公。同樣,一些企業(yè)為了查找惡意入侵者,也會(huì)故意設(shè)置一些有不明顯漏洞的蜜罐,讓入侵者在不起疑心的情況下乖乖被記錄下一切行動(dòng)證據(jù),有些人把此戲稱為“監(jiān)獄機(jī)”,通過(guò)與電信局的配合,可以輕易揪出IP源頭的那雙黑手。
三、結(jié)語(yǔ)
隨著網(wǎng)絡(luò)入侵類型的多樣化發(fā)展,蜜罐也必須進(jìn)行多樣化的演繹,否則它有一天將無(wú)法面對(duì)入侵者的肆虐。這也對(duì)網(wǎng)絡(luò)管理員的技術(shù)能力有了更高的要求,因?yàn)槊酃蕖@個(gè)活躍在安全領(lǐng)域的虛擬演員,它的一舉一動(dòng),都是通過(guò)你來(lái)設(shè)計(jì)的,我們無(wú)法讓蜜罐像T-X那樣變化無(wú)常,但是,至少要防止我們?cè)O(shè)計(jì)的阿諾再次被T-X踏斷脖子注入反叛指令。