蜜罐技术及其在取证中的应用.docxVIP

蜜罐技术及其在取证中的应用周政杰徐志强吴惠源厦门市美亚柏科信息股份有限公司【摘要】传统取证技术大多为事后取证、静态取证，这种取证方式存在效率低、有效性差、数据保留不完整等问题。与攻击者在技术层面比较，取证工作处于信息获取不对称的位置，采用蜜罐及蜜罐网技术在一定程度上可以弥补数字取证上的不足。本文就网络主动防御性取证技术进行了研究，从目前取证技术存在的不足出发，逐步引出一个相对较完善的蜜罐及蜜罐网架构解决方案。【关键词】蜜罐及蜜罐网；网络取证；取证分析1引言件成功获取到相关的载波信息，利用载波里包含的地理位置信息，找到米特尼克的位置，并通知联邦调查局将其成功的逮捕。而在此之前，FBI还曾经买通米特尼克一个好朋友，让他去入侵系统，他入侵后发现有人跟踪，成功地摆脱了[1]。撇开是非不谈，在这次抓捕活动中，我们看到老练的米特尼克也会栽倒在精心布置的“陷阱”里，这个案例从取证意义上来讲非常有代表意义，从前期的技术入侵，到后面的心理攻防，直至最后完美的构建“陷阱”，成功地完成取证定位工作。而这个“陷阱”就是要给大家介绍的蜜罐技术。先从一个案例说起，著名天才黑客少年米特尼克15岁闯入了“北美空中防务指挥系统”的计算机主机内，和他另外一些朋友翻遍了美国指向前苏联及其盟国所有核弹头的数据资料，然后又悄无声息地溜了出来。30岁前，他多次入侵重要国家安全部门系统和知名公司的系统。1994年圣诞节，在他30岁的时候，米特尼克向圣迭戈超级计算机中心发动了一次攻击，《纽约时报》称这一入侵行动“将整个互联网置于一种危险的境地”。这一攻击激怒了在该中心工作的计算机专家下村勉，后来他被人称为“美国最出色的计算机安全专家之一”。米特尼克盗取数据和文件令下村勉非常震怒，他下决心帮助联邦调查局把米特尼克缉拿归案。圣诞节后，他通过精心的布置，发出警告，言辞经过精心的构造，引诱米特尼克入侵，终于，米特尼克经不住激将法，在1995年情人节之际再次入侵，这次下村勉通过在系统里安装的tcpdump软2蜜罐简介2.1蜜罐的概念“蜜网项目组”（TheHoneynetProject）的创始人LanceSpitzner给出了对蜜罐的定义：蜜罐是一种安全资源，其价值在于被扫描、攻击60|必威体育官网网址科学技术|2011年12月学术交流AcademicExchanges和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析[2]。从我们上面举的案例可以看出，在20世纪80年代后期、90年代初期，蜜罐就已经有人开始使用了，网络管理人员利用网络跟踪机、Tcpdump、嗅探器等工具来跟踪黑客的地址及行踪，而当时的“蜜罐机”大多也是真实主机和系统，只是当时还没有人明确提出这个概念。1988年开始，蜜罐技术进入了网络安全研究人员的视线，通过一些重要事件的启发，很多网络安全研究人员从以前的成功经验得到思路，开始研究蜜罐的雏形，早期的蜜罐应用了一些专门研发的工具，如Honeyd、Dtk、Nepenthes、Smokedetector等，甚至出现了一些专门研究组织，比如巴西的蜜罐联盟、北京大学的蜜罐研究小组等。蜜罐分为低交互蜜罐、中交互蜜罐和高交互蜜罐。高交互蜜罐是一个真实的操作系统，为攻击者提供真实的系统环境，不会对攻击者造成怀疑，当攻击者获得高权限后，更多活动和行为将被记录下来，从而为我们的分析提供更多参考和帮助。本次讨论的是交互性高仿真应用环境，避免有些攻击者通过查看系统指纹有所怀疑而放弃攻击，其他暂不讨论。多个蜜罐系统与网络进行结合的环境我们称之为蜜罐网，蜜罐网可以提供全面的、翔实的、高效的网络攻击取证环境，下面我们具体讨论蜜罐的具体架构及蜜罐网的取证作用。防火墙镜像交换机业务主机日志记录主机Windows蜜罐主机Linux蜜罐主机Solaris蜜罐主机蜜罐主机图1蜜罐网取证系统拓扑框架的服务。我们可以设定特定的系统漏洞，也可以打必威体育精装版补丁，用来挖掘新漏洞。在蜜罐网里的所有操作系统都是按照我们的需求改造过的系统，上面运行着正常的操作系统及提供正常的各种服务。根据我们的需要，可以调整或关闭访问策略及提供的服务，与互联网系统不同的是我们需要对攻击作更深入的研究和调查。图1的交换机是经过设置后可以做数据重定向的镜像交换机，数据可以通过镜像的方式复制一份传送到日志记录主机，该主机采用旁路接入的方式对进出报文进行监听。蜜罐系统采用TCP/IP的协议栈，对底层报文进行解析，最大限度还原攻击数据和具体网络行为。因为是旁路过来的数据——单项数据传输，所以它的安全性是很高的，不用担心被发现及入侵。其他系统各有分工，下面我们分步骤给出数字取证的模型。3蜜罐数据的价值2.2蜜罐及蜜罐网的组成蜜罐网取证系统拓扑框架如图1所示。