honeyd蜜罐部署及应用.pdfVIP

1.0 李伊龙 刘尚东 1 第一章 Honeypot简介 1.1 Honeypot 的起源 20 蜜罐这个概念已经出现了至少 年之久了。 蜜罐(honeypot)，首次出现在CliffStoll 的小说«The Cuckoo’s Egg»[1]中，这部小说 主要讲述的是作者自己身为公司的网络管理员，如何追踪并发现一起商业间谍案的故事。 在作者追踪的过程中，为了吸引黑客在线足够长的时间以便安全人员能够跟踪到他，Stoll 搭建了一个名叫“elaborate hoax”的东西，在其中放上黑客所感兴趣的一些东西，这个 “elaboratehoax”，就是现在我们通常所说的蜜罐，蜜罐。但是毋庸置疑在那之前已经有大 量组织对其进行了很好的开发和使用，也进行了大量的研究和部署，只不过在 1990 年之 前很少为公众所知而已。 1.2 Honeypot 的发展历程 蜜罐技术的发展历程分为以下三个阶段。 从九十年代初蜜罐概念的提出直到1998 年左右，“蜜罐”还仅仅限于一种思想，通常 由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正 被黑客所攻击的主机和系统。 1990/1991—— 第一本阐述蜜罐概念的公开发表的著作——Clifford Stoll 的 The Cuckoo’sEgg 及BillCheswick 的anevening withBerferd. 从1998 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门 用于欺骗黑客的开源工具，如Fred Cohen 所开发的DTK（欺骗工具包）、NielsProvos 开 发的Honeyd 等，同时也出现了像KFSensor、Specter 等一些商业 蜜罐产品。这一阶段的 蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服 务，并对黑客的攻击行为做出回应，从而欺骗黑客。 1997——FredCohen 的DeceptionToolkit0.1版本发行，这是可为安全界所用的首批蜜 罐解决方案之一。 1998——开始研发公开出售的首批商用蜜罐之一，CyberCopSting。其中引入了将多个 虚拟系统与单个蜜罐相绑定的概念。 1998——MartyRoech 及GREInternetworking 开始开发后来演化成NetFacade的蜜罐 解决方案。这项工作同时也开启了Snort的概念。 1998——BackOfficerFriendly 发布——一种免费的、只用于windows的蜜罐，并将包 括LanceSpitzner在内的许多人引入到了蜜罐的概念中。 1999——HoneypotProject 形成，“KnowYourEnemy”系列论文发布。这项工作使人们 加深了对蜜罐的认识并验证了蜜罐及其相关技术的价值。 2 2000、/2001——使用蜜罐来捕获和研究蠕虫活动。更多的组织采用蜜罐来检测攻击和 研究新威胁。 2002——一个蜜罐当场检测并捕获到一种新型的未知攻击，即Solarisdtspcdexploit。 2003-02-15——NielsProvos发布了Honeyd 0.5版。 虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。但是由于虚拟蜜罐工具存在着 交互程度低，较容易被黑客识别等问题，从 2000 年之后，安全研究人员更倾向于使用真 实的主机、操作系统和应用程序搭建蜜罐，但与之前不同的是，融入了更强大的数据捕获、 数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能 够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。 1.3 Honeypot 的定义 “蜜网项目组”（TheHoneynet Project）的创始人Lance Spitzner给出了对蜜罐的权威定 义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。 这就意味着无论我们将何物指定为蜜罐，我们的期望和目标就是让系统被