關於做好蜜罐系統的詳解

蜜罐技術的實現

蜜罐好比是情報收集系統。蜜罐好像是故意讓人***的目標，引誘***前來***。所以***者***後，你就可以知道他是如何得逞的，隨時瞭解針對貴公司服務器發動的最新的***和漏洞。還可以通過竊聽***之間的聯繫，收集***所用的種種工具，並且掌握他們的社交網絡。

設置蜜罐並不難，只要在外部因特網上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。因爲***可能會設陷阱，以獲取計算機的日誌和審查功能，你就要在計算機和因特網連接之間安置一套網絡監控系統，以便悄悄記錄下進出計算機的所有流量。然後只要坐下來，等待***者自投羅網。

不過，設置蜜罐並不是說沒有風險。這是因爲，大部分安全遭到危及的系統會被***用來***其它系統。這就是下游責任（downstream liability），由此引出了蜜網（honeynet）這一話題。

蜜網是指另外採用了技術的蜜罐，從而以合理方式記錄下***的行動，同時儘量減小或排除對因特網上其它系統造成的風險。建立在反向防火牆後面的蜜罐就是一個例子。防火牆的目的不是防止入站連接，而是防止蜜罐建立出站連接。不過，雖然這種方法使蜜罐不會破壞其它系統，但同時很容易被***發現。

數據收集是設置蜜罐的另一項技術挑戰。蜜罐監控者只要記錄下進出系統的每個數據包，就能夠對***的所作所爲一清二楚。蜜罐本身上面的日誌文件也是很好的數據來源。但日誌文件很容易被***者刪除，所以通常的辦法就是讓蜜罐向在同一網絡上但防禦機制較完善的遠程系統日誌服務器發送日誌備份。（務必同時監控日誌服務器。如果***者用新手法闖入了服務器，那麼蜜罐無疑會證明其價值。）

近年來，由於黑帽子羣體越來越多地使用加密技術，數據收集任務的難度大大增強。如今，他們接受了衆多計算機安全專業人士的建議，改而採用SSH等密碼協議，確保網絡監控對自己的通訊無能爲力。蜜網對付密碼的計算就是修改目標計算機的操作系統，以便所有敲入的字符、傳輸的文件及其它信息都記錄到另一個監控系統的日誌裏面。因爲***者可能會發現這類日誌，蜜網計劃採用了一種隱蔽技術。譬如說，把敲入字符隱藏到NetBIOS廣播數據包裏面。

蜜罐技術的優勢

蜜罐系統的優點之一就是它們大大減少了所要分析的數據。對於通常的網站或郵件服務器，***流量通常會被合法流量所淹沒。而蜜罐進出的數據大部分是***流量。因而，瀏覽數據、查明***者的實際行爲也就容易多了。

自1999年啓動以來，蜜網計劃已經收集到了大量信息，你可以在www.honeynet.org上找到。部分發現結果包括：***率在過去一年增加了一倍；***者越來越多地使用能夠堵住漏洞的自動點擊工具（如果發現新漏洞，工具很容易更新）；儘管虛張聲勢，但很少有***採用新的***手法。

蜜罐主要是一種研究工具，但同樣有着真正的商業應用。把蜜罐設置在與公司的Web或郵件服務器相鄰的IP地址上，你就可以瞭解它所遭受到的***。

當然，蜜罐和蜜網不是什麼“射後不理”（fire and forget）的安全設備。據蜜網計劃聲稱，要真正弄清楚***者在短短30分鐘內造成的破壞，通常需要分析30到40個小時。系統還需要認真維護及測試。有了蜜罐，你要不斷與***鬥智鬥勇。可以這麼說：你選擇的是戰場，而對手選擇的是較量時機。因而，你必須時時保持警惕。

蜜罐領域最讓人興奮的發展成果之一就是出現了虛擬蜜網。虛擬計算機網絡運行在使用VMware或User-Mode Linux等虛擬計算機系統的單一機器之上。虛擬系統使你可以在單一主機系統上運行幾臺虛擬計算機（通常是4到10臺）。虛擬蜜網大大降低了成本、機器佔用空間以及管理蜜罐的難度。此外，虛擬系統通常支持“懸掛”和“恢復”功能，這樣你就可以凍結安全受危及的計算機，分析***方法，然後打開TCP/IP連接及系統上面的其它服務。

對大組織的首席安全官（CSO）來說，運行蜜網最充分的理由之一就是可以發現內部不懷好意的人。

蜜罐技術的法律問題

出乎意料的是，監控蜜罐也要承擔相應的法律後果，譬如說，有可能違反《反竊聽法》。雖然目前沒有判例法，但熟悉這方面法律的人士大多數認爲，雙方同意的標語是出路所在。也就是說，給每個蜜罐打上這樣的標語：“使用該系統的任何人同意自己的行爲受到監控，並透露給其他人，包括執法人員。”



蜜罐技術解析
一、從影片特技到蜜罐技術
《特洛伊》裏龐大的希臘艦隊、《終結者2》裏隨意改變形體的“液體金屬”、《侏羅紀公園》裏滿地亂跑的恐龍們、《***帝國》裏的“子彈時間”…… 隨着計算機技術的不斷髮展，越來越多的電腦特技被應用在電影領域，不需要工資的虛擬演員不知辛勞地日夜工作，這些電腦技術使得導演可以構思現實中不可能存在的情節環境，也減少了影片開支。但是，在計算機的信息安全領域裏，網絡管理員要面對的是***真槍實幹的***破壞，難道在電腦技術大量應用的今天，安全領域卻得不到一點援助?答案是有的，它就是在安全領域裏代替網絡管理員上陣的“虛擬演員”——蜜罐技術。

蜜罐，或稱Honeypot，與應用於電影的特技相比，它並不神祕——所謂蜜罐，就是一臺不作任何安全防範措施而且連接網絡的計算機，但是與一般計算機不同，它內部運行着多種多樣的數據記錄程序和特殊用途的“自我暴露程序”——要誘惑貪嘴的黑熊上鉤，蜂蜜自然是不可少的。在***者的角度來看，***到蜜罐會使他們的心情大起大落——從一開始偷着樂罵管理員傻帽到最後明白自己被傻帽當成猴子耍的過程。

二、爲什麼要使用蜜罐

《終結者2》裏阿諾讓約翰把自己放入熔爐，《特洛伊》裏Achilles被王子射殺，戰爭片裏的機槍掃射，甚至《黑衣人》裏外星人發射的核彈毀滅了北極!如果這一切是真實的話，我們的明星已經成爲牆上的照片了，拍一部片要死多少人?況且，我們只有一個地球，值得爲了一部影片炸掉某個地區?所以人們必須採用電腦特技完成這些不能真實發生的劇情。同樣，管理員也不會爲了記錄***情況而讓***者肆意進入服務器搞破壞，所以蜜罐出現了。

前面說過了，蜜罐是一臺存在多種漏洞的計算機，而且管理員清楚它身上有多少個漏洞，這就像狙擊手爲了試探敵方狙擊手的實力而用槍支撐起的鋼盔，蜜罐被***而記錄下***者的一舉一動，是爲了管理員能更好的分析廣大***者都喜歡往哪個洞裏鑽，今後才能加強防禦。

另一方面是因爲防火牆的侷限性和脆弱性，因爲防火牆必須建立在基於已知危險的規則體系上進行防禦，如果***者發動新形式的***，防火牆沒有相對應的規則去處理，這個防火牆就形同虛設了，防火牆保護的系統也會遭到破壞，因此技術員需要蜜罐來記錄***者的行動和***數據，必要時給防火牆添加新規則或者手工防禦。

三、深入蜜罐

既然使用蜜罐能有那麼多好處，那麼大家都在自己家裏做個蜜罐，豈不是能最大程度防範***?有這個想法的讀者請就此打住!蜜罐雖然在一定程度上能幫管理員解決分析問題，但它並不是防火牆，相反地，它是個危險的***記錄系統。蜜罐被狡猾的***者反利用來***別人的例子也屢見不鮮，只要管理員在某個設置上出現錯誤，蜜罐就成了打狗的肉包子。而一般的家庭用戶電腦水平不可能達到專業水平，讓他們做蜜罐反而會引火燒身——蜜罐看似簡單，實際卻很複雜。雖然蜜罐要做好隨時犧牲的準備，可是如果它到最後都沒能記錄到***數據，那麼這臺蜜罐根本就是純粹等着挨宰的肉雞了，蜜罐就複雜在此，它自身需要提供讓***者樂意停留的漏洞，又要確保後臺記錄能正常而且隱蔽的運行，這些都需要專業技術，如果蜜罐能隨便做出來，我們在家裏也能拍攝《***帝國》了——故意開着漏洞卻沒有完善的記錄處理環境的服務器不能稱爲蜜罐，它只能是肉雞。

所以，我們必須瞭解蜜罐，它到底是什麼樣的?

1.蜜罐的定義

首先我們要弄清楚一臺蜜罐和一臺沒有任何防範措施的計算機的區別，雖然這兩者都有可能被***破壞，但是本質卻完全不同，蜜罐是網絡管理員經過周密佈置而設下的“黑匣子”，看似漏洞百出卻盡在掌握之中，它收集的***數據十分有價值;而後者，根本就是送給***者的禮物，即使被***也不一定查得到痕跡……因此，蜜罐的定義是:“蜜罐是一個安全資源，它的價值在於被探測、***和損害。”

設計蜜罐的初衷就是讓******，藉此收集證據，同時隱藏真實的服務器地址，因此我們要求一臺合格的蜜罐擁有這些功能:發現***、產生警告、強大的記錄能力、欺騙、協助調查。另外一個功能由管理員去完成，那就是在必要時候根據蜜罐收集的證據來起訴***者。

2.涉及的法律問題

蜜罐是用來給******的，它必須提供一定的漏洞，但是我們也知道，很多漏洞都屬於“高危”級別，稍有不慎就會導致系統被***，一旦蜜罐被破壞，***者要做的事情是管理員無法預料的，例如，一個***者成功進入了一臺蜜罐，並且用它做“跳板”(指***者遠程控制一臺或多臺被***的計算機對別的計算機進行***行爲)去***別人，那麼這個損失由誰來負責?設置一臺蜜罐必須面對三個問題:設陷技術、隱私、責任。

設陷技術關係到設置這臺蜜罐的管理員的技術，一臺設置不周全或者隱蔽性不夠的蜜罐會被***者輕易識破或者破壞，由此導致的後果將十分嚴重。

由於蜜罐屬於記錄設備，所以它有可能會牽涉到隱私權問題，如果一個企業的管理員惡意設計一臺蜜罐用於收集公司員工的活動數據，或者偷偷攔截記錄公司網絡通訊信息，這樣的蜜罐就已經涉及法律問題了。

對於管理員而言，最倒黴的事情就是蜜罐被***者成功破壞了。有人也許會認爲，既然蜜罐是故意設計來“犧牲”的，那麼它被破壞當然合情合理，用不着小題大做吧。對，蜜罐的確是用來“受虐”的，但是它同時也是一臺連接網絡的計算機，如果你做的一臺蜜罐被***者攻破並“借”來對某大學服務器進行***，因此引發的損失恐怕只能由你來承擔了。還有一些責任是誰也說不清的，例如，你做的一臺蜜罐不幸引來了Slammer、Sasser、Blaster等大名鼎鼎的“爬蟲類”病毒而成了傳播源之一，那麼這個責任誰來負擔?

3.蜜罐的類型

世界上不會有非常全面的事物，蜜罐也一樣。根據管理員的需要，蜜罐的系統和漏洞設置要求也不盡相同，蜜罐是有針對性的，而不是盲目設置來無聊的，因此，就產生了多種多樣的蜜罐……

3.1.實系統蜜罐

實系統蜜罐是最真實的蜜罐，它運行着真實的系統，並且帶着真實可***的漏洞，屬於最危險的漏洞，但是它記錄下的***信息往往是最真實的。這種蜜罐安裝的系統一般都是最初的，沒有任何SP補丁，或者打了低版本SP補丁，根據管理員需要，也可能補上了一些漏洞，只要值得研究的漏洞還存在即可。然後把蜜罐連接上網絡，根據目前的網絡掃描頻繁度來看，這樣的蜜罐很快就能吸引到目標並接受***，系統運行着的記錄程序會記下***者的一舉一動，但同時它也是最危險的，因爲***者每一個***都會引起系統真實的反應，例如被溢出、***、奪取權限等。

3.2.僞系統蜜罐

什麼叫僞系統呢?不要誤解成“假的系統”，它也是建立在真實系統基礎上的，但是它最大的特點就是“平臺與漏洞非對稱性”。

大家應該都知道，世界上操作系統不是隻有Windows一家而已，在這個領域，還有Linux、Unix、OS2、BeOS等，它們的核心不同，因此會產生的漏洞缺陷也就不盡相同，簡單的說，就是很少有能同時***幾種系統的漏洞代碼，也許你用LSASS溢出漏洞能拿到Windows的權限，但是用同樣的手法去溢出Linux只能徒勞。根據這種特性，就產生了“僞系統蜜罐”，它利用一些工具程序強大的模仿能力，僞造出不屬於自己平臺的“漏洞”，***這樣的“漏洞”，只能是在一個程序框架裏打轉，即使成功“***”，也仍然是程序製造的夢境——系統本來就沒有讓這種漏洞成立的條件，談何“***”?實現一個“僞系統”並不困難，Windows平臺下的一些虛擬機程序、Linux自身的腳本功能加上第三方工具就能輕鬆實現，甚至在Linux/Unix下還能實時由管理員產生一些根本不存在的“漏洞”，讓***者自以爲得逞的在裏面瞎忙。實現跟蹤記錄也很容易，只要在後臺開着相應的記錄程序即可。

這種蜜罐的好處在於，它可以最大程度防止被***者破壞，也能模擬不存在的漏洞，甚至可以讓一些Windows蠕蟲***Linux——只要你模擬出符合條件的Windows特徵!但是它也存在壞處，因爲一個聰明的***者只要經過幾個回合就會識破僞裝，另者，編寫腳本不是很簡便的事情，除非那個管理員很有耐心或者十分悠閒。

4.使用你的蜜罐

既然蜜罐不是隨隨便便做來玩的，管理員自然就不會做個蜜罐然後讓它賦閒在家，那麼蜜罐做來到底怎麼用呢?

4.1.迷惑***者，保護服務器

一般的客戶/服務器模式裏，瀏覽者是直接與網站服務器連接的，換句話說，整個網站服務器都暴露在***者面前，如果服務器安全措施不夠，那麼整個網站數據都有可能被***者輕易毀滅。但是如果在客戶/服務器模式裏嵌入蜜罐，讓蜜罐作爲服務器角色，真正的網站服務器作爲一個內部網絡在蜜罐上做網絡端口映射，這樣可以把網站的安全係數提高，***者即使***了位於外部的“服務器”，他也得不到任何有價值的資料，因爲他***的是蜜罐而已。雖然***者可以在蜜罐的基礎上跳進內部網絡，但那要比直接攻下一臺外部服務器複雜得多，許多水平不足的***者只能望而卻步。蜜罐也許會被破壞，可是不要忘記了，蜜罐本來就是被破壞的角色。

在這種用途上，蜜罐不能再設計得漏洞百出了。蜜罐既然成了內部服務器的保護層，就必須要求它自身足夠堅固，否則，整個網站都要拱手送人了。

4.2.抵禦***者，加固服務器

***與防範一直都是熱點問題，而在其間插入一個蜜罐環節將會使防範變得有趣，這臺蜜罐被設置得與內部網絡服務器一樣，當一個***者費盡力氣***了這臺蜜罐的時候，管理員已經收集到足夠的***數據來加固真實的服務器。

採用這個策略去佈置蜜罐，需要管理員配合監視，否則***者攻破了第一臺，就有第二臺接着承受***了……

4.3.誘捕網絡罪犯

這是一個相當有趣的應用，當管理員發現一個普通的客戶/服務器模式網站服務器已經犧牲成肉雞的時候，如果技術能力允許，管理員會迅速修復服務器。那麼下次呢?既然***者已經確信自己把該服務器做成了肉雞，他下次必然還會來查看戰果，難道就這樣任由他放肆?一些企業的管理員不會罷休，他們會設置一個蜜罐模擬出已經被***的狀態，做起了姜太公。同樣，一些企業爲了查找惡意***者，也會故意設置一些有不明顯漏洞的蜜罐，讓***者在不起疑心的情況下乖乖被記錄下一切行動證據，有些人把此戲稱爲“監獄機”，通過與電信局的配合，可以輕易揪出IP源頭的那雙黑手。