蜜獾技術性：如何跟蹤網(wǎng)絡攻擊的主題活動？

很多人也許對專業(yè)名詞“蜜獾（honeypot）”和“蜜網(wǎng)（honeynets）”較為了解。盡管從嚴苛實際意義上講，有些人也許覺得他們是安全性研究人員的專用工具，倘若應用恰當，他們還可以使公司獲益。在這篇文章中，人們所采用的“蜜獾”和“蜜網(wǎng)”表示的是同一個含意，蜜獾一般嘗試仿真模擬一個更高更多元化的互聯(lián)網(wǎng)，為網(wǎng)絡黑客給予一個更為可靠的進攻自然環(huán)境。

蜜獾是一個獨立的系統(tǒng)軟件結合，其主要目的是：運用真正或模仿的缺陷或運用系統(tǒng)設置里的缺點（如一個非常容易被猜到的登陸密碼），誘惑網(wǎng)絡攻擊發(fā)起攻擊。蜜獾吸引住網(wǎng)絡攻擊，并能紀錄網(wǎng)絡攻擊的主題活動，進而能夠更好地了解網(wǎng)絡攻擊的進攻。蜜獾一般分成二種種類：高互動蜜獾和低互動蜜獾。

種類和最合適的

高互動蜜獾是一部配有真真正正電腦操作系統(tǒng)（非仿真模擬），并可徹底被攻陷的系統(tǒng)軟件。與網(wǎng)絡攻擊開展互動是指一部包括了詳細服務項目棧（servicestack）的實際系統(tǒng)軟件。該體系的設計目的是捕捉網(wǎng)絡攻擊在系統(tǒng)軟件中詳細的活動信息。而低互動蜜獾僅僅模擬出了真真正正電腦操作系統(tǒng)的一部分（如，互聯(lián)網(wǎng)局部變量、全過程和服務項目），比如仿真模擬某一版本號的FTP（文件傳輸協(xié)議）服務項目，在其中的源代碼存有系統(tǒng)漏洞。這可能吸引住蜘蛛查找服務敏感部位的系統(tǒng)漏洞，從而能夠深層次觀查到蜘蛛的個人行為。

但是，在你應用這幾種蜜獾時，要進行一些最合適的。用以網(wǎng)絡安全的高互動蜜獾帶來了真正電腦操作系統(tǒng)的業(yè)務和應用軟件，使之能夠獲取有關網(wǎng)絡攻擊更靠譜的信息內(nèi)容，這也是它優(yōu)點。它還能夠捕捉網(wǎng)絡攻擊在被攻克系統(tǒng)軟件里的很多信息內(nèi)容。這一點可能十分有協(xié)助，例如，在機構要想搜集有關網(wǎng)絡攻擊是如何找到攻克特殊種類系統(tǒng)軟件的詳盡真正數(shù)據(jù)信息，便于提升適度的防守的情況下。另一方面，這種蜜獾系統(tǒng)部署和保護下去十分困難，并且必須擔負很強的不良反應風險性：比如，被攻陷的系統(tǒng)軟件很有可能會被用于進攻互聯(lián)網(wǎng)上別的的系統(tǒng)軟件。

盡管低互動蜜獾非常容易創(chuàng)建和保護，且一般對網(wǎng)絡攻擊產(chǎn)生了免疫力，但仿真模擬很有可能不能吸引住網(wǎng)絡攻擊，還可能造成網(wǎng)絡攻擊繞開系統(tǒng)軟件發(fā)起攻擊，進而使蜜獾在這樣的情況下無效。究竟布署哪一種蜜獾取決于你最后的發(fā)展目標：假如目標是捕捉網(wǎng)絡攻擊與系統(tǒng)軟件的詳盡互動狀況，那么高互動蜜獾是一個更好的選擇；假如目標是捕捉對于某一有系統(tǒng)漏洞的業(yè)務版本號的惡意程序樣版，應用低互動蜜獾就足夠了。

在你決定應用哪一種蜜獾布署時，另一個必須考慮到的關鍵因素是：蜜獾是組裝在物理學系統(tǒng)軟件上，或是組裝在物理學系統(tǒng)軟件的多臺vm虛擬機上。這將直接關系到服務器維護的任務量。盡管虛擬系統(tǒng)本身確實有一系列安全隱患，但虛擬系統(tǒng)容許快速回復，并能明顯減少布署和重新配置的時長。

蜜獾布署

不論是高互動蜜獾或是低互動蜜獾，都被設計方案成在互聯(lián)網(wǎng)上不開展傳統(tǒng)式目地主題活動。也就是說，除電腦操作系統(tǒng)規(guī)定的之外，蜜獾系統(tǒng)軟件不運作別的的過程、服務項目和后臺運行。這類觀念事實上把任何與蜜獾相關的配對t檢驗都作為具備故意主題活動行為的目標，這樣一來反倒有益于檢驗進攻主題活動。在討論蜜獾布署的最好作法以前，先讓大家來了解一下常見的高互動和低交互蜜獾。

一般來說，高互動蜜獾不用專用軟件就還可以開展最底層電腦操作系統(tǒng)的組裝。一般來說，安裝一個VMware工作站或是用一個相近QEMU（仿真模擬Cpu）的vm虛擬機，就可以達到蜜獾對電腦操作系統(tǒng)的需要了（典型性狀況是，服務器里的顧客電腦操作系統(tǒng)運作虛擬軟件）。最底層操作系統(tǒng)安裝之后，下一步的重中之重便是開展設定，以對蜜獾（顧客電腦操作系統(tǒng)）開展有效的檢測。這一設定要分成兩部分：檢測服務器電腦操作系統(tǒng)和檢測顧客電腦操作系統(tǒng)。服務器電腦操作系統(tǒng)應當主要對出入蜜獾的數(shù)據(jù)流量開展抓包軟件，這一全過程能夠運用像tcpdump或Wireshark之類的程序流程來進行。與此同時，假如顧客電腦操作系統(tǒng)被感柒，故意帶外連接會產(chǎn)生潛在性的額外傷害，對這一狀況客戶期待提早被警示，也被稱為壓擠檢驗（extrusiondetection）。這一點能夠運用相近iptables（或是根據(jù)服務器的服務器防火墻）的當?shù)卦L問控制列表來進行。實行帶內(nèi)過慮實質(zhì)上應該是蜜獾受到進攻的類別執(zhí)行一部分操縱?？蛻艨梢园逊掌麟娔X操作系統(tǒng)總流量過慮和入侵檢測技術（比如Snort）結合在一起，進而得到對于已經(jīng)知道進攻媒體的額外警報工作能力（其實就是根據(jù)簽字的警報）。

對顧客電腦操作系統(tǒng)，或者進攻的具體總體目標開展檢測，必須捕捉到網(wǎng)絡攻擊的全部活動內(nèi)容，例如追蹤鍵盤記錄器主題活動、紀錄網(wǎng)絡攻擊常用的專用工具和記述管理權限擴張試著。Sebek便是一款可以實現(xiàn)以上規(guī)模性數(shù)據(jù)信息收集行動的專用工具。此外一些需要留意的虛擬化技術高互動蜜獾也有用戶模式的Linux和Argos系統(tǒng)。

與高互動蜜獾不一樣，低互動蜜獾必須在服務器電腦操作系統(tǒng)上組裝特殊的手機軟件，此外還需要進一步配備，為了合理地仿真模擬有瑕疵的服務項目。較受歡迎的低互動蜜獾技術性有Nepenthes，及其后面商品Dionaea和mwcollectd。

低互動蜜獾創(chuàng)造性地配備了各種檢驗作用，包含普遍紀錄作用、惡意程序捕獲作用、即時安全事故通告，及其遞交惡意程序主題活動開展遠程控制剖析。兩者的作用還能夠進一步提高，方法是什么應用Nepenthes中的log-IRC額外控制模塊，根據(jù)Dionaea和p0f模塊一同應用還能夠得到處于被動鑒別遠程控制電腦操作系統(tǒng)的工作能力。Dionaea一樣適用XMPP（可擴展信息當場協(xié)議書）控制模塊，該組件能夠在公司中間和安全社區(qū)中完成惡意程序二進制共享資源，進而提升消費者的防范意識。

接觸過一些與高互動蜜獾檢測相關的布署最佳實踐，這種實踐中實行了帶內(nèi)和帶外的過慮，及其互聯(lián)網(wǎng)入侵防御系統(tǒng)。這種作用有待提高，還要加強蜜獾和正常的互聯(lián)網(wǎng)中間的防護。理想化的狀況是，蜜獾自然環(huán)境應當布署在自身專用型的移動互聯(lián)網(wǎng)通道上，而設備的電腦操作系統(tǒng)管理方法則放到另一個單獨的網(wǎng)絡上。另一方面，低互動蜜獾沒法被網(wǎng)絡攻擊所有攻克，為此他們的維護工作要簡單一些。運用chroot之類的系統(tǒng)，可以把低互動蜜獾系統(tǒng)軟件防護到一個較小一點系統(tǒng)文件中。此外，低互動蜜獾系統(tǒng)軟件也需要與正常的互聯(lián)網(wǎng)完全防護，不然低互動蜜獾仍舊會曝露在與高互動蜜獾同樣的威協(xié)下。

典型性運用

蜜獾的主要用途之一是搜集惡意程序樣版。這種樣版很有可能運用零日系統(tǒng)漏洞（zero-dayvulnerabilities），或給定的進攻空間向量。蜜獾能讓學者對以上進攻有更快的掌握。比如，根據(jù)檢測IRC操縱安全通道，蜜獾就能夠保證即時進攻總流量。他們還具有處于被動鑒別網(wǎng)絡攻擊電腦操作系統(tǒng)種類，或儲存/重蹈覆轍進攻主題活動的工作能力。此外，他們?nèi)菰S學者共享資源威協(xié)信息內(nèi)容（比如XMPP），或是把樣版遞交給線上沙盒游戲和多防病毒軟件漏洞掃描工具（如VirusTotal、Jotti、ThreatExpert和CWSandbox）實現(xiàn)進一步剖析。

蜜獾搜集惡意程序主題活動的行業(yè)能夠拓展到喪尸系統(tǒng)軟件（bot）和拒絕服務攻擊（botnet）。拒絕服務攻擊有著分布式系統(tǒng)的特性，取決于遠程連接命令安全通道的應用（一般是根據(jù)IRC和HTTP），運用的往往是零日進攻或已經(jīng)知道進攻空間向量，這類系統(tǒng)架構促使蜜獾能夠有效的對它進行追蹤和剖析。

對公司來講，蜜獾的應用性遠高于上述所說情況。但是，蜜獾的實效性非常大水平上在于能不能有一個好設計。一切設計缺陷（例如，不充分的防護、欠缺檢測和即時警報工作能力）都可能把蜜獾變成明顯的負債率，而非能夠?qū)︼L險做好監(jiān)管的資本。應用蜜獾時，適度的謹慎和慎重很必需。假如你并沒有充裕的經(jīng)歷卻期待應用蜜獾，那你就必須常常向練習過的專業(yè)人員資詢。