互聯網世界的攻擊者們,比現實世界的壞人們更善於隱藏自己,他們往往躲在肉雞、代理的背後,肆無忌憚的攻擊我們的站點。對於這樣的壞人,我們只能躲在高牆之後被動防禦了嗎?
當然不是!因爲,有一種神奇的技術叫“蜜罐”。
引子
在軍事領域,以響尾蛇導彈爲代表的紅外製導武器,可以利用紅外探測器捕獲和跟蹤目標自身輻射的能量來追擊目標。對於飛機來說,沒有任何方法能在空中關停產生熱輻射的發動機,所以,對飛機來說,響尾蛇導彈是一種非常可怕的存在。
道高一尺魔高一丈,爲了避免被響尾蛇導彈擊落,很多飛機都會配備一種防禦武器:紅外誘餌彈,在響尾蛇導彈接近自己的時候,放出紅外誘餌彈,吸引對方去攻擊誘餌彈,從而達到讓自己金蟬脫殼的作用。
“蜜罐”是一種思想
類似的事情也發生在互聯網安全領域。
一個接入互聯網的網站,只要能和外部產生通信,就有被黑客攻擊的可能——就像飛機在控制無法關停發動機一樣。但是網站能像飛機發射紅外誘餌一樣,用某種陷阱來引誘攻擊者,就可以達到自身不被攻擊的目的。
這種引誘黑客攻擊的“陷阱”就是“蜜罐”。從廣義上看,“蜜罐”並不具體指某種技術,而是一種思想。
舉個栗子,在電影《無間道》中,警方發現自己這邊有內鬼但是並不知道是誰,於是假裝傳遞含有內鬼信息的信封,劉德華飾演的內鬼摸不清底細,冒險去拿了這個信封。
在這個情節裏,這個僞裝成情報的信封就相當於“蜜罐”。
“蜜罐”的創造者
蜜罐作爲一種古老的技術思想,近幾年被人們越來越多地提起。
這一概念最初出現在一本上世紀出版的小說——《The Cuckoo's Egg》中,這本小說描述了作者作爲一個公司的網絡管理員,如何追蹤並發現一起商業間諜案的故事。這本書是互聯網界和文學小說界的傳奇,被譽爲最真實的黑客小說。
這本書的作者 CliffordStoll 其實是個計算機安全專家,他在1988年提出“蜜罐是一個瞭解黑客的有效手段”。之後,蜜罐技術受到越來越多的網絡安全研究員們的注意,成爲繼被動防禦技術之後又一個強有力的網絡安全技術。
然而,蜜罐技術迎來真正的發展,是在這一概念被提出10年之後。
在這一時期,蜜罐思想吸引到一匹網絡安全技術員的注意,同時也開發出一批相應的產品,如Fred Cohen 所開發的DTK(欺騙工具包)、Niels Provos 開發的Honeyd 等,同時也出現了像KFSensor、Specter 等一些商業蜜罐產品。
這一階段的蜜罐可以稱爲是虛擬蜜罐,即開發的這些蜜罐工具能夠模擬成虛擬的操作系統和網絡服務,並對黑客的攻擊行爲做出迴應,從而欺騙黑客。
虛擬蜜罐工具的出現也使得部署蜜罐變得比較方便,即使是普通的網絡安全技術員也能配置,而不是像小說情節那樣不接地氣。
這些能夠模擬IP棧、OS、應用程序的蜜罐,在它被攻陷了後也很容易重建。通常情況下,模仿是完全在內存中實現的。虛擬蜜罐軟件也允許在單一的物理主機上配置一個完全的蜜網,一個虛擬蜜罐系統可被用來模仿成千上萬個系統,每個系統使用成千上萬個端口且使用不同的IP。
“蜜罐”的發展
和飛機發射的紅外誘餌類似,這種簡單的蜜罐更多是起到干擾攻擊者的作用,並不能獲取到更多攻擊者信息。
於是有人就提出一些設想:
如果用蜜罐獲取到更多的攻擊者信息,比如攻擊者的IP,就可以對攻擊來源打上標記,這樣一來就可以直接防禦來自被標記的攻擊,禦敵於“國門”之外,大大減輕安全壓力。
在這種指導思想下,一種新時代的蜜罐產生了:高交互蜜罐。
高交互蜜罐提供真實的操作系統和真實的服務,因此,這種蜜罐的交互性最強,收集到的數據也最全面。
由於是真實的操作系統和真實的服務,這樣的蜜罐其實是可以被攻陷的,甚至入侵者還能利用該蜜罐作爲跳板,對網絡上其他用戶進行入侵。因此,高交互蜜罐捕獲的入侵信息是最全面的,但也是比較危險的。
“蜜罐”的未來
在討論蜜罐技術的未來之前,我們需要知道一個前提:蜜罐並不是當前互聯網世界最主流的安全技術,企業也不能只依賴蜜罐技術來保護自己。
所以,這就存在一個問題,企業部署蜜罐的同時還得部署傳統的被動防禦,這樣一來安全成本就大大提高。
離開劑量談毒性都是耍流氓
離開了成本去談安全也是耍流氓,所以,對於中小企業來說,蜜罐技術大部分時候還處於紙上談兵的階段。
另外,蜜罐作爲一種誘餌,存在被攻破的可能性,如果是部署在物理機上的蜜罐,甚至可能被黑客作爲跳板來入侵,這種風險也是企業用戶不得不考慮的因素之一。