下载后可任意编辑基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析The Artemis Project/狩猎女神项目组柳亚鑫,吴智发,诸葛建伟一、先决条件在 阅 读 本 文 前 , 请 先 阅 读 Know Your Enemy: Honeynets , Know Your Enemy: GenII Honeynets和Know Your Enemy:Honeywall CDROM Roo,可到http://www.honeynet.org/papers进行学习。对Honeynets的概念和第三代Honeynet (Roo)技术有个清楚的认识,并完全了解Roo的部署软/硬件要求。请首先阅读狩猎女神项目技术报告 《基于Vmware workstation的虚拟Honeynet》,其中有关类似部分将不再赘述。二、蜜罐“蜜网项目组”(TheHoneynetProject)的创始人 Lance Spitzner 给出了对蜜罐的权威定 义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。 这就意味着无论我们将何物指定为蜜罐,我们的期望和目标就是让系统被别人探测,攻击和被攻破的可能性。而这种资源是路由,或者是模拟脚本,或者是主机之类的,究竟的什么倒没什么关系。假如该系统从未被扫描或者被攻击过,那么它就是没有任何价值 的。这正是大部分产品系统的对立面,一般大家都不会希望它们被扫描和被攻击。蜜罐和大部分安全工具的不同也在于,它可以非常的灵活,可以使用它实现很多不同的目标,譬如,蜜罐可以用于阻止攻击,类似于防火墙;蜜罐还可以用于检测攻击,类似于入侵检测系统;无论是伪装一个端口,还是模拟一个网络拓扑,蜜罐都可以胜任。蜜罐是一种毫无产品价值可言的安全资源,没有任何人或者资源应该和它们进行通信。因此,从本质上说任何发送给它们的活动都会受到怀疑。任何发送给它们的流量都很有可能是一次探测、扫描或者攻击。由蜜罐所启动的任何流量都意味着系统很有可能被攻破了,并且攻击者正在进行出境连接。 蜜罐的优势与劣势:优势:① 数据价值,收集数据的保真度,由于蜜罐不提供任何实际的作用,因此其收集到的数据很少,同时收集到的数据很大可能就是由于黑客攻击造成的,蜜罐不依赖于任何复杂的检测下载后可任意编辑技术等,因此减少了漏报率和误报率。 ② 资源,蜜罐技术不需要强大的资源支持,可以使用一些低成本的设备构建蜜罐,不需要大量的资金投入。大多数安全机制都会面临资源限制和资源枯竭,譬如防火墙和 IDS, 会因为流量过大,超负荷而失效。由于蜜罐只会对少量活动进行捕获和监视,所以通常不会资源枯竭。部署蜜罐也不需要最新的尖端技术或者...
