基于蜜罐的邮件捕获系统1.docVIP

基于蜜罐网络的邮件捕获系统 摘要： 关键词 1 介绍 网络钓鱼是伴随着网络技术的发展而产生的，根据中国反网络钓鱼联盟的2011年4月报告，4月份联盟处理钓鱼网站数量达2635， 2 相关工作 2.1 蜜罐系统 蜜罐系统就是一种用于捕捉探测，攻击和漏洞扫描行为的安全工具，其本身是一个包含漏洞的系统，其工作的条件在于认定每一个试图主动与其连接的行为都是可疑的，甚至是恶意的。蜜罐技术的创始人Lance Spitzner对蜜罐进行了如下定义：蜜罐是一种资源，其价值在于被攻击。 传统的安全工具入侵检测同样也可以通过分析数据来侦测入侵行为，但蜜罐可以捕获到实质的数据，并对数据进行分析。基于蜜罐系统与攻击者之间的信息资源的交互程度，可以将蜜罐分为高交互式与低交互式两种。 高交互式的蜜罐系统中，攻击者会与真实的操作系统，服务和程序进行通信。当此类蜜罐被攻击者攻击后，就会获得攻击者的行为特征，攻击所使用的工具信息等资源。配置高交互式的蜜罐时，其安全性要格外注意，因为如果被攻击者发现的话，就可能借此系统来攻击其他的网络。此类蜜罐主要作用如下：学习攻击者的攻击行为，了解攻击工具的具体使用和攻击所利用的系统漏洞。 低交互式的蜜罐系统只能提供一些简单的服务，系统中安装的工具都只是用于模拟操作系统与服务的，所以当攻击者与蜜罐进行实质性通信时会断开连接，所以相对来说其安全性更高，但捕获的信息有限。此类蜜罐主要作用如下：识别端口扫描，攻击特征提取，攻击趋势分析与恶意程序收集。 本文将使用低交互式的蜜罐系统来模拟smtp服务来获取邮件。 2.2 垃圾邮件所使用漏洞 在大多数国家里，制造、传播垃圾邮件的行为都是不合法的，所以很多垃圾邮件制造商都会想着隐藏自己的行为。图一给出了垃圾邮件制造商隐藏自己踪迹的常用方法。 中继转发 Smtp协议就是简单邮件传输协议，与25端口和tcp协议联系在一起，主要用于可靠的并有效的进行邮件传输。 在smtp协议中具有中继转发服务，即通过别人的邮件服务器将邮件递送到目的地址，一般来说，中继转发服务针对的对象都是有选择的并通过认证了的用户。然而一些具有安全漏洞的smtp服务器都会无限制的开放中继转发服务，这种服务器就有可能被垃圾邮件制造商发现并进行滥用。 开放代理 代理服务器是服务器之间的另一台服务器Honeyd是一款强大的开源虚拟蜜罐软件，属于一种低交互式的蜜罐系统，可运行在UNIX和windows系统中。可以在虚拟的网络环境中模拟多个地址，虚拟蜜罐主机可以根据具体的配置文件模拟多种网络服务，外部的主机可以对虚拟蜜罐主机进行常规的ping、tracert等操作，回应数据包时，honeyd的个性化引擎使回应包与被配置的操作系统特征相适应，同样honeyd也可以为真实的主机提供代理。 3.1 honeyd体系结构 Honeyd软件结构由配置数据库，中央包分配器，协议处理器，个性化引擎和自选路由组件组成。具体架构如图二所示： 图二 系统接收到的数据会由中央包分发器处理，中央包分发器首先会检查IP长度和校验和。然后根据配置数据库的数据查找到符合目标位置的蜜罐主机配置。确定具体的配置后，数据包就会交付给协议处理器进行相应处理。 由于不同的主机处理方式也各不相同，这就导致了发送的数据也就具有的不同的特点，由于攻击者会通过一些扫描工具来利用这些特点收集系统的信息，对于honeyd来说，最为重要的就是在扫描时自己的蜜罐身份不能被暴露出来，所以个性引擎组件的工作内容就是模拟不同系统的不同特征。具体来说，honeyd利用Nmap的指纹库来作为TCP和UDP连接的个性化参考，利用Xprobe指纹库来作为ICMP连接的个性化参考。 3.2利用honeyd构建虚拟网络： 对于在整个系统运行前，honeyd需要正确的配置，honeyd通过使用一个基于文本的配置文件，指定虚拟蜜罐的IP地址，每一个蜜罐主机可用的服务等。具体的几类指令有：create，set，add，bind，delete。其中create用于创建每一个主机所要使用的模板；set和add用于改变模板的设置，set命令从Nmap指纹文件中选取一个特征赋给一个模板，例如指令set linux personality “linux 2.6.6”，即设定一个模板名为linux的模拟运行linux 2.6.6版本操作系统，而add命令是模板应用的核心，其指定可远程访问的服务以及每一个端口上运行的应用程序，命令格式，如指令add linux proto tcp port 25 “./script/spam.py”，即当一个远程主机与带有linux模板主机的25端口建立tcp连接时，honeyd启动一个新的进程执行服务脚本./script/spam.py；bind命令就是给一个IP地址分配模板，例