网络攻击陷阱技术与应用(网络攻击陷阱技术与应用书)

小编：小蝶更新时间：2022-08-29

网络攻击陷阱技术拟通过改变保护目标对象的信息，欺骗网络攻击者，从而改变网络安全防守方的被动性，提升网络安全防护能力。

网络攻击陷阱技术原理

网络诱骗技术就是一种主动的防御方法，作为网络安全的重要策略和技术方法，它有利于网络安全管理者获得信息优势。

网络攻击诱骗网络攻击陷阱可以消耗攻击者所拥有的资源，加重攻击者的工作量，迷惑攻击者，甚至可以事先掌握攻击者的行为，跟踪攻击者，并有效地制止攻击者的破坏行为，形成威慑攻击者的力量。

目前，网络攻击诱骗技术有蜜罐主机技术和陷阱网络技术。

1．蜜罐主机技术

蜜罐主机技术包括空系统、镜像系统、虚拟系统等。

空系统。空系统是标准的机器，上面运行着真实完整的操作系统及应用程序。在空系统中可以找到真实系统中存在的各种漏洞，与真实系统没有实质区别，没有刻意地模拟某种环境或者故意地使系统不安全。任何欺骗系统做得再逼真，也绝不可能与原系统完全一样，利用空系统做蜜罐是一种简单的选择。
镜像系统。攻击者要攻击的往往是那些对外提供服务的主机，当攻击者被诱导到空系统或模拟系统的时候，会很快发现这些系统并不是他们期望攻击的目标。因此，更有效的做法是，建立一些提供敌手感兴趣的服务的服务器镜像系统，这些系统上安装的操作系统、应用软件以及具体的配置与真实的服务器基本一致。镜像系统对攻击者有较强的欺骗性，并且，通过分析攻击者对镜像系统所采用的攻击方法，有利于我们加强真实系统的安全。
虚拟系统。虚拟系统是指在一台真实的物理机上运行一些仿真软件，通过仿真软件对计算机硬件进行模拟，使得在仿真平台上可以运行多个不同的操作系统，这样一台真实的机器就变成了多台主机（称为虚拟机）。通常将在真实的机器上安装的操作系统称为宿主操作系统，将在仿真平台上安装的操作系统称为客户操作系统，仿真软件在宿主操作系统上安装。VMware 是典型的仿真软件，它在宿主操作系统和客户操作系统之间建立了一个虚拟的硬件仿真平台，客户操作系统可以基于相同的硬件平台模拟多台虚拟主机。在因特网上，还有一个专用的虚拟蜜罐系统构建软件 Honcyd，它可以用来虚拟构造出多种主机，并且在虚拟主机上，还可以配置运行不同的服务和操作系统，模拟多种系统脆弱性。Honcyd 的应用环境如图所示。

2．陷阱网络技术

陷阱网络由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成，为攻击者制造一个攻击环境，供防御者研究攻击者的攻击行为。

陷阱网络一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。

第一代陷阱网络，出入陷阱网络的数据包都经过防火墙和路由器，防火墙的功能是控制内外网络之间的通信连接，防止陷阱网络被作为攻击其他系统的跳板，其规则一般配置成不限制外部网对陷阱网络的访问，但需要对陷阱网络中的蜜罐主机对外的连接加强控制，包括:限制对外连接的目的地、限制主动对外发起连接、限制对外连接的协议类型等，路由器安放在防火墙和陷阱网络之间，路由器可以隐藏防火墙，即使攻击者控制着网络中的蜜罐主机，发现路由器与外部网相连接，也能被防火墙发现。同时，路由器具有访问控制功能，可以弥补防火墙的不足，例如用于防止地址欺骗攻击、DoS、基于 ICMP 的攻击等。陷阱网络的数据捕获设备是 IDS，它监测和记录网络中的通信连接并报警可疑的网络活动。为掌握攻击者在蜜罐主机中的行为，必须设法获取系统活动记录，方法有两种：一是让所有的系统日志不但在本地记录，同时也传送到一个远程的日志服务器上；二是安放监控软件，进行击键记录、屏幕拷贝、系统调用记录等，然后传送到远程主机