基于蜜罐网络的邮件捕获系统分析与部署.docVIP

基于蜜罐网络的邮件捕获系统分析与部署 Analysis and Deployment for the Honeypot-based Mail Capture System 李秋锐 司响2 宋士超2 （中国人民公安大学,北京100038） 摘要：散布钓鱼网站的方式多种多样，由于大多数的钓鱼网站链接都是通过垃圾邮件传播的，因此本文从垃圾邮件传播的角度入手，通过分析钓鱼邮件发布者使用的网络安全漏洞，建立一个基于Honeyd的邮件捕获系统，从而获取大量垃圾邮件，以便于以后通过邮件分析达到对钓鱼网站主动探测的目的 关键词：蜜罐 Honeyd 垃圾邮件 网络钓鱼 Abstract：There are many ways for disseminate of phishing sites. Since most of the phishing website link are spread through spam, so this article is focus on the spread of spam. By analyzing network security vulnerabilities, we establish a honeyd-based mail capture system, the target of this system is to gain a lot of spam, for detecting phishing sites by analysis mail cpatured later. Keyword： honeypot Honeyd Spam Phishing 1 前言 网络钓鱼是伴随着网络技术的发展而产生的，根据中国反网络钓鱼联盟的2011年4月报告，4月份联盟处理钓鱼网站数量达2635，截止到2011年3月底，中国反钓鱼网站联盟累计认定处理的钓鱼网站数量为43842个。尽管网络钓鱼收到多方重视，但钓鱼网站的数量还是有增无减。[1] 根据统计，钓鱼网站的链接其传播方式主要有垃圾邮件、即时通讯和媒体传播，本文主要研究与垃圾邮件有关的传播方式，由于常规的钓鱼探测系统虽然可以很有效的对邮件进行分析，但却不能实时的获取邮件，所以该系统通过建立蜜罐网络达到欺骗垃圾邮件发布者，获取大量垃圾邮件的目的，以便于为随后的邮件分析提供样本，从而主动探测钓鱼网站的有关信息。 2 蜜罐系统 蜜罐系统是一种用于捕捉探测，攻击和漏洞扫描行为的安全工具，其本身是一个包含漏洞的系统，由于蜜罐系统没有提供任何实质性的服务，所以可以认定每一个试图主动与其进行连接交互数据的行为都是可疑的。目前很多款优秀的蜜罐软件，如KFSensor、honeyd等等，本文将基于Honeyd软件来构建蜜罐系统。 Honeyd是一款强大的开源虚拟蜜罐软件，属于一种低交互式的蜜罐系统，可运行在UNIX和windows系统中。可以在虚拟的网络环境中模拟多个地址，虚拟蜜罐主机可以根据具体的配置文件模拟多种网络服务，外部的主机可以对虚拟蜜罐主机进行常规的ping、tracert等操作，回应数据包时，honeyd的个性化引擎使回应包与被配置的操作系统特征相适应，同样honeyd也可以为真实的主机提供代理。 Honeyd软件结构由配置数据库，中央包分配器，协议处理器，个性化引擎和自选路由组件组成。具体架构如图一所示： 图一 honeyd软件结构 如图一所示，Honeyd接收到的数据会由中央包分配器处理，中央包分发器首先会检查IP长度和校验和。然后根据配置数据库的数据查找到符合目标位置的蜜罐主机配置。确定具体的配置后，数据包就会交付给相应的协议处理器进行处理。 协议处理器具体分为三部分：ICMP处理器，UDP处理器，TCP处理器。ICMP处理器支持多数的ICMP查询，一般情况下，都会响应echo请求，并处理“destination unreachable”的消息。对于分配到TCP处理器和UDP处理器的数据包，,Honeyd可以为其与任意的服务建立连接，这些服务都是外部的应用程序，可以通过标准输入输出进行数据交互。[2] 由于不同蜜罐主机处理方式也各不相同，这就导致蜜罐主机发送的数据包也就具有的不同的特点，对于honeyd来说，最为重要的就是在扫描时自己的蜜罐身份不能被暴露出来，所以个性化引擎组件的工作内容就是模拟不同系统的网络栈行为。具体来说，honeyd利用Nmap的指纹库来作为TCP和UDP连接的个性化参考，利用Xprobe指纹库来作为ICMP连接的个性化参考。 3 垃圾邮件所使用漏洞分析 由于制造、传播垃圾邮件的行为都是不合法的，所以很多垃圾邮件制造商都会想着隐藏自己的行为。图二给出垃圾邮件制造商隐藏自己踪迹的常用方法。 图二 垃圾邮件商常用技术 中继转发 S