|
|
知识路径: > 网络安全主动防御技术原理与应用 > 网络攻击陷阱技术与应用 > 网络攻击陷阱技术原理 >
|
被考次数:5次
被考频率:中频率
总体答错率:52%
知识难度系数: 
|
由 软考在线 用户真实做题大数据统计生成
|
|
相关知识点:4个
|
|
|
|
|
网络系统中的各个组成部分,目前不可避免地存在安全脆弱性,通常通过补丁的方法防范或消除这些脆弱性。虽然这在一定程度上可以阻止敌手利用漏洞,但是这仅仅是被动的防范,攻击者仍然可用漏洞监测程序快速发现攻击目标的脆弱性,然后进行攻击,从而占据网络攻击的主动权。传统防范方法中,一般为攻击者充分掌握目标系统的脆弱信息,主动选择目标最薄弱的环节强行攻入,而安全保护目标静止不变,防御策略固定,不能给攻击者构成威胁或造成损失。因此,寻找有效的主动安全防御方法,确保网络系统免受攻击,是当前网络安全急需的技术。网络诱骗技术就是一种主动的防御方法,作为网络安全的重要策略和技术方法,它有利于网络安全管理者获得信息优势。网络攻击诱骗网络攻击陷阱可以消耗攻击者所拥有的资源,加重攻击者的工作量,迷惑攻击者,甚至可以事先掌握攻击者的行为,跟踪攻击者,并有效地制止攻击者的破坏行为,形成威慑攻击者的力量。目前,网络攻击诱骗技术有蜜罐主机技术和陷阱网络技术。
|
|
|
|
|
|
|
|
.空系统。空系统是标准的机器,上面运行着真实完整的操作系统及应用程序。在空系统中可以找到真实系统中存在的各种漏洞,与真实系统没有实质区别,没有刻意地模拟某种环境或者故意地使系统不安全。任何欺骗系统做得再逼真,也绝不可能与原系统完全一样,利用空系统做蜜罐是一种简单的选择。
|
|
|
|
.镜像系统。攻击者要攻击的往往是那些对外提供服务的主机,当攻击者被诱导到空系统或模拟系统的时候,会很快发现这些系统并不是他们期望攻击的目标。因此,更有效的做法是,建立一些提供敌手感兴趣的服务的服务器镜像系统,这些系统上安装的操作系统、应用软件以及具体的配置与真实的服务器基本一致。镜像系统对攻击者有较强的欺骗性,并且,通过分析攻击者对镜像系统所采用的攻击方法,有利于我们加强真实系统的安全。
|
|
|
|
.虚拟系统。虚拟系统是指在一台真实的物理机上运行一些仿真软件,通过仿真软件对计算机硬件进行模拟,使得在仿真平台上可以运行多个不同的操作系统,这样一台真实的机器就变成了多台主机(称为虚拟机)。通常将在真实的机器上安装的操作系统称为宿主操作系统,将在仿真平台上安装的操作系统称为客户操作系统,仿真软件在宿主操作系统上安装。VMware是典型的仿真软件,它在宿主操作系统和客户操作系统之间建立了一个虚拟的硬件仿真平台,客户操作系统可以基于相同的硬件平台模拟多台虚拟主机。另外,在因特网上,还有一个专用的虚拟蜜罐系统构建软件Honeyd,它可以用来虚拟构造出多种主机,并且在虚拟主机上,还可以配置运行不同的服务和操作系统,模拟多种系统脆弱性。Honeyd的应用环境如下图所示。
|
|
|
|
|
|
|
|
|
|
陷阱网络由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成,为攻击者制造一个攻击环境,供防御者研究攻击者的攻击行为。陷阱网络一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。下图是第一代陷阱网络,出入陷阱网络的数据包都经过防火墙和路由器,防火墙的功能是控制内外网络之间的通信连接,防止陷阱网络被作为攻击其他系统的跳板,其规则一般配置成不限制外部网对陷阱网络的访问,但需要对陷阱网络中的蜜罐主机对外的连接加强控制,包括:限制对外连接的目的地、限制主动对外发起连接、限制对外连接的协议类型等。路由器安放在防火墙和陷阱网络之间,路由器可以隐藏防火墙,即使攻击者控制了陷阱网络中的蜜罐主机,发现路由器与外部网相连接,也能被防火墙发现。同时,路由器具有访问控制功能,可以弥补防火墙的不足,例如用于防止地址欺骗攻击、DoS、基于ICMP的攻击等。陷阱网络的数据捕获设备是IDS,它监测和记录网络中的通信连接并报警可疑的网络活动。此外,为掌握攻击者在蜜罐主机中的行为,必须设法获取系统活动记录,方法有两种:一是让所有的系统日志不但在本地记录,同时也传送到一个远程的日志服务器上;二是安放监控软件,进行击键记录、屏幕拷贝、系统调用记录等,然后传送到远程主机。
|
|
|
|
|
|
|
|
第二代陷阱网络技术实现了数据控制系统、数据捕获系统的集成系统,这样就更便于安装与管理,如下图所示。它的优点包括:一是可以监控非授权的活动;二是隐蔽性更强;三是可以采用积极的响应方法限制非法活动的效果,如修改攻击代码字节,使攻击失效。
|
|
|
|
|
|
|
|
目前,研究人员正在开发虚拟陷阱网络(Virtual Honeynets),它将陷阱网络所需要的功能集中到一个物理设备中运行,实现蜜罐系统、数据控制系统、数据捕获系统、数据记录等功能,我们把它称作第三代陷阱网络技术,如下图所示。
|
|
|
|
|
|
|
|
目前,国内相关的商业产品有明鉴迷网系统-蜜罐HPOT。开源的网络攻击陷阱系统有Honeyd、工业控制系统蜜罐Conpot、口令蜜罐Honeywords等。
|
|
|
