论文部分内容阅读
摘 要: 蜜罐是一种引诱黑客攻击的主动防御式陷阱技术,通过在网络上部署一台没有任何目的作用的高危计算机系统,去了解黑客常用的和最新的入侵手法,或分散黑客的攻击目标以达到保护真实主机的目的。树莓派是一款有高性能,高稳定性的卡片式电脑,常用于孩子的教育。近年来网络安全事故频发,网络犯罪更是给国家带来不可估量损失。以低廉的树莓派为载体制作树莓派蜜罐系统,该系统能对机房、校内网络等起到监控保护的作用,且能用于学生在网络攻防方面的实践。
关键词: 网络攻防;蜜罐;树莓派
【中图分类号】 TP398 【文献标识码】 A 【文章编号】 2236-1879(2017)14-0236-02
0 引言
随着网络的发展,仅仅依赖防火墙难以保障整个网络的安全。如今大量黑客通过一些漏洞入侵IoT物联网设备获得控制权组建僵尸网络[1],利用DMZ作为跳板进行嗅探,拖库等攻击。所以网站系统的防护是安全防护的重点,也是难点。
在网络攻防博弈模型[2]提出的通过算法计算防御成本、期望值等数据来进行最优主动防御,然而最安全的方法并不是靠计算,而是保护计算机安全的一种形式。根据仿生学原理,带有“甜味”的东西可以引诱各种“昆虫”。蜜罐是用来吸引黑客,从而在黑客攻击的过程中,获得黑客信息。
1、树莓派蜜罐简介
1.1树莓派,
这是一款基于Linux的卡片电脑,只有手掌大小。由英国树莓派基金会研发,推广给世界的极客爱好者,同时供儿童学习与应用。
1.2蜜罐,
蜜罐优点之一是大大减少要分析的数据。相对于防火墙和入侵检测系统,蜜罐对警告和威胁的信息辨别,具有零误报率和低漏报率的特点。而且对资源的消耗极低,对监视和检测的能力尤为突出。
蜜罐可分为低交互蜜罐和高交互蜜罐,其中高交互蜜罐又可分为应用层蜜罐、客户端蜜罐及虚拟化蜜罐。
蜜罐技术的监测广度有限,并且传统蜜罐对于数据的分散收集,部署复杂,所以蜜网项目组织引入了蜜网的技术概念,即通过利用快速部署的方法,部署分布式蜜罐,并且集中处理日志等方法。其优势在于相对于其他的蜜罐软件,蜜罐部署简单,灵活性高。
2、应用部署
2.1部署构架,
本文中分别利用Docker [8]与树莓派部署Dionaea与Web蜜罐,分布在不同的网段中,收集数据。再通过日志服务器集中同意分析,节省大量资源。
并且使用入侵检测系统与防火墙相互配合对普通攻击行为过滤,以免被大量的低水平的攻擊信息影响核心数据。具体部署如图2所示。
图2 蜜罐部署结构图
2.2Dionaea恶意代码捕获蜜罐,
Dionaea属于低交互蜜罐系统[9],Honeynet Project的开源项目。Dionaea蜜罐的设计目的是诱捕恶意攻击,获取恶意攻击会话与恶意攻击代码程序样本。利用自身模块化的结构的特点,模拟出常用的应用层服务协议,支持的协议有SMB、http、tftp、Mysql、SIP[10]
利用Docker,达到保护宿主机的安全的目的。Docker中网络连接模式如图3所示。
图3虚拟主机在docker技术下的网络连接方式
2.3树莓派蜜罐,
树莓派蜜罐防护采用Glastopf蜜罐与p0f远程系统指纹识别相互配合,提供更有利的攻击信息。树莓派目前仍为32位的,但docker的虚拟化必须在构架为x64上执行,故采用真机。
图4 树莓派蜜罐部署
Glastopf利用环境,在对方的一些探测中,对攻击行为进行捕捉,根据提交的HTTP请求方式不同,蜜罐的处理方式也不相同,若为POST方法,则储存到蜜罐中,还有对于远程包含文件也能够几时发现,以下是触发函数:
if '=http://' in request:
handle_rfi_request();
可以对/Glastopf/res 下的index.html进行修改,增加修改当前流行的漏洞关键字,以此来吸引黑客的注意,达到保护主机的目的。
3、数据收集分析
3.1 数据控制,
实验的目的是为了获取黑客对web的攻击,一些其他开放端口会影响数据统计的结果。加大分析人员的工作量,利用Iptables对数据进行控制,以达到数据的准确性[11]。攻击直方图如图5所示。
图5 入侵的IP数据
分析后,使用shell脚本对ssh暴力破解的行为进行限制,代码如下:
SSH_LOG=/var/log/secure
IP_ADDR=`tail -1000 /var/log/secure | grep “Failed password” |egrep -o “([0-9]{1,3}\.){3}[0-9]
{1,3}”|sort -nr |uniq -c |awk '$1>=4 {print $2}'`
IPTABLES_CONF=/etc/sysconfig/iptables
echo
cat < ------------Start DORP SSH FAILED IP----------
EOF
for i in $IP_ADDR
do
cat $IPTABLES_CONF | grep $i >/dev/null
if [ $? -ne 0 ];then
sed -i “/lo/a -A INPUT -s $i -m state ——state NEW -m tcp -p tcp ——dport 22 -j DROP” $IPTABLES_CONF
else
echo “This is $i is exists in iptables,Please exit......”
fi
done
/etc/init.d/iptables restart
echo “END”
3.2 结果统计
分析部署在DMZ区域的蜜罐。三天之内,受到1365次攻击(见表1),捕获到15个黑客上传的样本。木马检出率为4/15,100%为蠕虫病毒。绝大部分的攻击,来源于自动化攻击,大部分来自国内中部与美国西岸。
表1 数据统计结果
攻击对象平均次数/天所占百分比
http /8030266.37%
Mssql /330614130.98%
Smb /135122.63%
4、结语
在网络中部署树莓派蜜罐系统,并集中管理日志,构建成一个分布式蜜网。同时降低攻防雙方的信息不对称,减轻网络维护人员的工作量,提升网络质量。另一方面,手动部署树莓派蜜罐,能够更加深刻了解网络防御层次与网络模型,对网络安全理解更加深刻。树莓派蜜罐与防火墙等的联动,还需要进一步提升,与防火墙技术等防御手段进行配合,才能最大程度保护网络。
参考文献
[1] 李可,方滨兴,崔翔,刘奇旭.僵尸网络发展研究[J].计算机研究与发展,2016,(10):2189-2206.
[2] 姜伟,方滨兴,田志宏,张宏莉.基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报,2009,(04):817-827.
[3] 诸葛建伟,唐勇,韩心慧,段海新. 蜜罐技术研究与应用进展[J]. 软件学报,2013,(04):825-842.
[4] 伍阳. 基于Docker的虚拟化技术研究[J].信息技术,2016,(01):121-123+128.
[5] 马腾云.基于蜜罐技术的网络安全预警系统[D].山东大学,2013.
[6] 陈翠云,梁华庆.基于蜜罐提升Snort检测能力的设计[J].电子设计工程,2016,(04):48-51.
[7] 赵亚楠,马兆丰.Linux中Netfilter/iptables的研究与应用[J].中国科技论文,2014,(10):1174-1177+1187.
关键词: 网络攻防;蜜罐;树莓派
【中图分类号】 TP398 【文献标识码】 A 【文章编号】 2236-1879(2017)14-0236-02
0 引言
随着网络的发展,仅仅依赖防火墙难以保障整个网络的安全。如今大量黑客通过一些漏洞入侵IoT物联网设备获得控制权组建僵尸网络[1],利用DMZ作为跳板进行嗅探,拖库等攻击。所以网站系统的防护是安全防护的重点,也是难点。
在网络攻防博弈模型[2]提出的通过算法计算防御成本、期望值等数据来进行最优主动防御,然而最安全的方法并不是靠计算,而是保护计算机安全的一种形式。根据仿生学原理,带有“甜味”的东西可以引诱各种“昆虫”。蜜罐是用来吸引黑客,从而在黑客攻击的过程中,获得黑客信息。
1、树莓派蜜罐简介
1.1树莓派,
这是一款基于Linux的卡片电脑,只有手掌大小。由英国树莓派基金会研发,推广给世界的极客爱好者,同时供儿童学习与应用。
1.2蜜罐,
蜜罐优点之一是大大减少要分析的数据。相对于防火墙和入侵检测系统,蜜罐对警告和威胁的信息辨别,具有零误报率和低漏报率的特点。而且对资源的消耗极低,对监视和检测的能力尤为突出。
蜜罐可分为低交互蜜罐和高交互蜜罐,其中高交互蜜罐又可分为应用层蜜罐、客户端蜜罐及虚拟化蜜罐。
蜜罐技术的监测广度有限,并且传统蜜罐对于数据的分散收集,部署复杂,所以蜜网项目组织引入了蜜网的技术概念,即通过利用快速部署的方法,部署分布式蜜罐,并且集中处理日志等方法。其优势在于相对于其他的蜜罐软件,蜜罐部署简单,灵活性高。
2、应用部署
2.1部署构架,
本文中分别利用Docker [8]与树莓派部署Dionaea与Web蜜罐,分布在不同的网段中,收集数据。再通过日志服务器集中同意分析,节省大量资源。
并且使用入侵检测系统与防火墙相互配合对普通攻击行为过滤,以免被大量的低水平的攻擊信息影响核心数据。具体部署如图2所示。
图2 蜜罐部署结构图
2.2Dionaea恶意代码捕获蜜罐,
Dionaea属于低交互蜜罐系统[9],Honeynet Project的开源项目。Dionaea蜜罐的设计目的是诱捕恶意攻击,获取恶意攻击会话与恶意攻击代码程序样本。利用自身模块化的结构的特点,模拟出常用的应用层服务协议,支持的协议有SMB、http、tftp、Mysql、SIP[10]
利用Docker,达到保护宿主机的安全的目的。Docker中网络连接模式如图3所示。
图3虚拟主机在docker技术下的网络连接方式
2.3树莓派蜜罐,
树莓派蜜罐防护采用Glastopf蜜罐与p0f远程系统指纹识别相互配合,提供更有利的攻击信息。树莓派目前仍为32位的,但docker的虚拟化必须在构架为x64上执行,故采用真机。
图4 树莓派蜜罐部署
Glastopf利用环境,在对方的一些探测中,对攻击行为进行捕捉,根据提交的HTTP请求方式不同,蜜罐的处理方式也不相同,若为POST方法,则储存到蜜罐中,还有对于远程包含文件也能够几时发现,以下是触发函数:
if '=http://' in request:
handle_rfi_request();
可以对/Glastopf/res 下的index.html进行修改,增加修改当前流行的漏洞关键字,以此来吸引黑客的注意,达到保护主机的目的。
3、数据收集分析
3.1 数据控制,
实验的目的是为了获取黑客对web的攻击,一些其他开放端口会影响数据统计的结果。加大分析人员的工作量,利用Iptables对数据进行控制,以达到数据的准确性[11]。攻击直方图如图5所示。
图5 入侵的IP数据
分析后,使用shell脚本对ssh暴力破解的行为进行限制,代码如下:
SSH_LOG=/var/log/secure
IP_ADDR=`tail -1000 /var/log/secure | grep “Failed password” |egrep -o “([0-9]{1,3}\.){3}[0-9]
{1,3}”|sort -nr |uniq -c |awk '$1>=4 {print $2}'`
IPTABLES_CONF=/etc/sysconfig/iptables
echo
cat <
EOF
for i in $IP_ADDR
do
cat $IPTABLES_CONF | grep $i >/dev/null
if [ $? -ne 0 ];then
sed -i “/lo/a -A INPUT -s $i -m state ——state NEW -m tcp -p tcp ——dport 22 -j DROP” $IPTABLES_CONF
else
echo “This is $i is exists in iptables,Please exit......”
fi
done
/etc/init.d/iptables restart
echo “END”
3.2 结果统计
分析部署在DMZ区域的蜜罐。三天之内,受到1365次攻击(见表1),捕获到15个黑客上传的样本。木马检出率为4/15,100%为蠕虫病毒。绝大部分的攻击,来源于自动化攻击,大部分来自国内中部与美国西岸。
表1 数据统计结果
攻击对象平均次数/天所占百分比
http /8030266.37%
Mssql /330614130.98%
Smb /135122.63%
4、结语
在网络中部署树莓派蜜罐系统,并集中管理日志,构建成一个分布式蜜网。同时降低攻防雙方的信息不对称,减轻网络维护人员的工作量,提升网络质量。另一方面,手动部署树莓派蜜罐,能够更加深刻了解网络防御层次与网络模型,对网络安全理解更加深刻。树莓派蜜罐与防火墙等的联动,还需要进一步提升,与防火墙技术等防御手段进行配合,才能最大程度保护网络。
参考文献
[1] 李可,方滨兴,崔翔,刘奇旭.僵尸网络发展研究[J].计算机研究与发展,2016,(10):2189-2206.
[2] 姜伟,方滨兴,田志宏,张宏莉.基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报,2009,(04):817-827.
[3] 诸葛建伟,唐勇,韩心慧,段海新. 蜜罐技术研究与应用进展[J]. 软件学报,2013,(04):825-842.
[4] 伍阳. 基于Docker的虚拟化技术研究[J].信息技术,2016,(01):121-123+128.
[5] 马腾云.基于蜜罐技术的网络安全预警系统[D].山东大学,2013.
[6] 陈翠云,梁华庆.基于蜜罐提升Snort检测能力的设计[J].电子设计工程,2016,(04):48-51.
[7] 赵亚楠,马兆丰.Linux中Netfilter/iptables的研究与应用[J].中国科技论文,2014,(10):1174-1177+1187.