网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > Honeypot > 文章  
虚拟攻防系统--HoneyPot
文章来源: sinbad.zhoubin.com 文章作者: Cert 发布时间: 2002-12-18   字体: [ ]
 

  Honeypot 是一个故意设计为有缺陷的系统,通常是用来对入侵者的行为进行警报或者诱骗。传统的 Honeypot 是一般情况下类比其他作业系统或者一些常见漏洞,而 Honeynet则有所不同,它是一个学习的工具,下面是它们之间两个最大的区别所在:

  ● 根据 Snort creator Marty Roesch. Marty  我们可以把 HoneyPot 广义的分成二类:这二类为产品及研究,所谓产品式 HoneyPot 即为帮助组织减少风险和增加组织里的安全评量。而研究式则为要获得在骇客社群里的相关资讯所设置的。

  ● Honeynet 是一个网路系统,而并非某台单一主机,这一网路系统是隐藏在防火墙後面的,所有进出的资料都受到监控、捕获及控制。这些被捕获的资料可以对我们研究分析入侵者们使用的工具、方法及动机。在这个Honeynet中,我们可以使用各种不同的作业系统及设备,如 Solaris, Linux, Windows NT, Cisco Switch 等等。这样建立的网路环境看上去会更加真实可信,同时我们还有不同的系统平台上面运行着不同的服务,比如 Linux 的 DNS server,Windows NT 的webserver 或者一个 Solaris 的FTP server,我们可以学习不同的工具以及不同的策略--或许某些入侵者仅仅把目标定於几个特定的系统漏洞上,而我们这种多样化的系统,就可能更多了揭示出他们的一些特性。 

  ● 在 Honeynet 中的所有系统都是标准的机器,上面运行的都是真实完整的作业系统及应用程式--我们没有刻意地模彷某种环境或者故意使系统不安全。Honeynet是一个用来学习的骇客如何入侵系统的工具,包含了设计好的网路系统。

  Honeynet 和 Honeypot 最为人所知的差异是 Honeypot 通常是指一台机器,在上面常见的软体有 The Deception Toolkig or Specter,而 honeynet 是一个电脑所组成的网路。最常见的 Honeynet 建置元素有:

  ● 防火墙,它记录了所有进出的连线且提供了 NAT 的服务和 DOS 的保护。
  ● 入侵侦侧系统(IDS),IDS和防火墙有时会放置在同一个位置,它记录了网路上的流量且寻找攻击和入侵的线索。
  ● 远端日志电脑,稍微的修改成所有的入侵者的指令能够传送到系统日志。系统日志通常设定成远端的系统日志。
  ● HoneyPot,我们设定好的Honeypot可为任何作业系统,当设定 Honeypot 时,能做小小的改变,以免入侵者查觉到这是一个 Honeynet。    Honeynet 是一个很有价值的研究,学习和教育的工具,藉着这个工具使我们能了解到 入侵者的攻击方式,以便未来能侦测到入侵。从Honeynet 所收集来的资讯能被分析且能监视攻击的趋势。这些资讯也可被用教作教育训练。

  一般而言,建置 HoneyPot 大多有两个原因:

  1.学习入侵者如何侦测和企图获得系统的存取权限,当骇客的行为被记录下来之後,我们就可以藉此分析,来找出更好的方法来保护我们真实的系统。
  2.对於逮补入侵者所需的证据,这类的资讯在法庭上都需要作为控告人侵者的证据。

  HoneyPot 所面临法律相关问题

  ● 诱捕的问题:

  诱捕是一个法律术语,用於执法人员诱使一个罪犯从事一项非法行为,否则他们可能不会从事该非法行为。我们不是执法部门,我们不是在执法部门的控制下行动,而且我们甚至没有起诉的意图,所以,我们不认为安装一个 Honeynet 是诱捕行为。其他人将争论说我们正在提供一个"吸引人的目标",意味着我们把不可靠的系统置於网上,以诱使人们攻击他们,从而把他们作为攻击别人的手段来使用。这也是错误的,因为我们并没有通过任何方式来宣传这些系统。如果有人发现了我们的一个系统,损害了它,并且使用它作他们不应当做的事情,那是因为他们在主动地和有意地从事这种非授权的行为。

  ● 保密的问题:

  而关於这些活动有一些道德上的和伦理上的问题,最近由美国司法局,刑事庭,受理上诉的法官裁定,反对对於在电脑入侵和欺骗的犯罪案件中,对侵犯隐私权进行辩护。包括下面一些问题: 

  1. 入侵这些系统的人是未经授权的,如果他们把任何文件置於系统上(当他们没有合法   的帐号或使用特权时),我们认为他们已经不能保有在我们系统上的隐私权。 2. 通过使用我们的系统进行通讯,他们就已经在通讯中放弃了他们的隐私权。 3. 我们不提供公用的帐号,所以我们不是一个服务供应商,不受为服务供应商所设计的   保密要求的限制。 4. 不管怎样,我们不是执法部门,我们也不是在执法部门的控制下行动,或甚至起诉入   侵我们系统的入侵者,所以,我们不受证据收集规定的限制,而执法部门和他们的执   法人员却要受到其限制。 5. 即使我们真的目击了一起严重的电脑犯罪,并且决定告发它,我们收集日志和记录网   路流量,将其作为一个"商业运营"的常规过程,如果我们决定告发的时候,我们可以   自由地将其交给执法部门。

  HoneyPot的优点与缺点

  优点

  1. 资料收集

  Honeypots 收集少量的资料,但资料都是具有高价值的。它去除了大量的杂讯,使它能 够简单的收集资料。在安全上中的最好的问题之一,就是如何在大量的资料当中,找到 你所需要的资料,HoneyPot 能使你快速简单地去收集资料并且了解。比如 HoneyNet Project,它是一个研究 honeypot 的团队,平垮每天收集 1-5MB 的资料, 这些资讯一般都是很有价值的,不只能看到网路上的行动,并且能得知入侵者如何入侵 这个系统。

  2. 资源

  许多安全工具会被频宽所限制住。网路入侵侦测装置不能够去追踪所有的网路行为,而 丢弃封包。集中化的日志伺服器并无法收集所有的系统日志,而潜在地流失日志记录。 Honeypots 则没有这个问题,它仅仅去截取对於他有关系的动作。

  缺点

  1. 单一资料收集点

  HoneyPots 放置一个很大的系统漏洞,如果没有攻击者来攻击,即变得一点价值都没有 ,也无法得知任何未授权的行为。

  2. 风险

  HoneyPots 对於你的环境也能够招致风险,作为攻击者另外一次攻击的平台,风险是变 动性的,全依靠如何建置及如何利用 Honeypots。

--
原文链接: http://sinbad.zhoubin.com/read.html?board=Honeypot&num=5

 
推荐文章
·黑客经典之恶意SSH登录企图分析(
·用honeypot检测网络入侵
·网络安全新方案-密罐式虚拟主机
 
 
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·网络安全新方案-密罐式
·黑客经典之恶意SSH登录
·用honeypot检测网络入侵
相关分类
相关文章
·用honeypot检测网络入侵
·网络安全新方案-密罐式
·黑客经典之恶意SSH登录
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $