解析蜜罐技術要點及其潛的在問題

http://www.yibo1263.com　2008-8-21 8:30:27 　來源:51CTO 　編輯:葉子

　　筆者試用了Capture HPC 2.0，此工具準許使用不同的客戶端，如Firefox、RealPlayer、Microsoft Word等軟件。它還擁有一個選項，即可以收集惡意軟件，并記錄客戶端和Web服務器之間的tcpdump捕獲。

　　客戶端蜜罐需要與服務器交互，目的是為了決定這個服務器是否是惡意的。采用高交互性的客戶端蜜罐，要實現(xiàn)這個目標，花費的成本是很高的。因此選擇與哪個服務器交互可以極大地增加找到網(wǎng)絡上惡意服務器的比率。我們可以使用幾種資源，但“搜索”也許是訪問大量Web 服務器的最傳統(tǒng)的方法。

　　交互水平的區(qū)別還適用于客戶端蜜罐。驅動一個客戶端與服務器交互，并且根據(jù)狀態(tài)的改變將服務器歸為惡意服務器的客戶端蜜罐是一種高交互性的蜜罐。另外一方面，一種低交互性的客戶端蜜罐使用了模擬的客戶端，如用wget代替IE瀏覽器，通過靜態(tài)分析(如簽名)來評估服務器的惡意屬性。惡意傳播的危險在高交互性的客戶端蜜罐上是很現(xiàn)實的，安全人員可以通過低交互性的客戶端蜜罐來減少這種危險。SpyBye 和 HoneyC屬于低交互性的客戶端蜜罐，它們可以執(zhí)行簡單的基于規(guī)則的匹配和簽名匹配，用以檢測客戶端的攻擊。

　　速度上的增加和較低的資源消耗是這些低交互性的客戶端蜜罐的最大好處。不過，因為這種蜜罐通常都是基于規(guī)則和簽名的，所以它們并不能檢測自己以前未見過的攻擊(零日漏洞攻擊)。高交互性的蜜罐更容易檢測這種攻擊，因為這種蜜罐并不需要預先知道這種攻擊的知識便可以檢測它。

　　特定應用蜜罐

　　現(xiàn)在既有通用的蜜罐可以提供或模仿有漏洞的系統(tǒng)，又有應用或特定協(xié)議的蜜罐。有許多蜜罐設計目的是通過偽裝成開放的郵件傳送服務器或開放代理來捕獲垃圾郵件。如Jackpot這個小程序，它由Java語言編寫，它可以假裝成一個可以轉發(fā)郵件的配置錯誤的SMTP服務器。實際上，它將所有的消息發(fā)送給用戶，然后繞過垃圾制造者的測試消息，并避免受垃圾郵件侵擾。(通常情況下，垃圾制造者會試圖發(fā)送一個測試郵件，其目的是為了確認主機是否是一個真實的開放服務器) 。另外，Proxypot也有不俗的表現(xiàn)。

　　另外HTTP，特別是Web應用蜜罐受到了特別的關注。而谷歌的 Hack Honeypot則提供了不同的種類的模塊，其中之一看似是一個配置錯誤的PHPShell。PHPShell準許管理員通過Web界面來執(zhí)行外殼命令，但對它的訪問卻至少受到口令的限制。谷歌這個工具擁有一個中央接口，它準許操作人員監(jiān)視用戶正試圖執(zhí)行的命令。

　　一種常見的漏洞利用技術是使用遠程文件包含。一些PHP配置準許執(zhí)行程序，以便于包含可以駐留在其它Web或FTP服務器上的文件。在某種特定的程序在進行包含之前，它并不仔細檢查其輸入。攻擊者能夠經(jīng)常在Web服務器上執(zhí)行他選擇的代碼。另外一種方法是，部分PHPHoP腳本會試圖分析下載有效負載，作為對惡意請求的一種直接響應。前一種方法可能更有用，因為其設計目的是為了在服務器上運行，同時又不會干擾實際服務器。但在Web應用程序中還有其它的漏洞，如SQL注入、直接命令注入等。

　　與其它蜜罐相比，有一些蜜罐能更好地捕獲特定類型的攻擊，而且理想情況下，幾種蜜罐的混合能夠提供對當前攻擊的最佳洞察方式。例如，用于PHPHoP的 ErrorDocument處理程序不能正確地捕獲POST數(shù)據(jù)，因為Apache并沒有將這種信息交給ErrorDocument處理程序。為此，你可能需要定制編寫Web服務器，或者用你希望模擬的文件名來創(chuàng)建PHP腳本。

　　蜜罐的潛在問題

　　在部署一個蜜罐或蜜網(wǎng)時，保密是極為重要的。如果每個人都知道這是一個陷阱，除了一些自動化的攻擊工具（如一些蠕蟲），不會有人嘗試攻擊它。還有一些蜜罐，特別是一些低交互性的蜜罐，由于其模擬的服務，會很容易就被攻擊者識別出蜜罐的身份。對于一個復雜系統(tǒng)的任何模仿總與真實的系統(tǒng)有不同點。例如，可以有多種方法讓一個程序決定它是否運行在一個虛擬機內部，并且惡意軟件正日益增多地使用這些技術來與蜜罐技術對抗�？梢赃@樣說，攻擊者正在想方設法找到檢測蜜罐的手段和技術，而蜜罐制造者也在努力改善蜜罐，使得攻擊者難于發(fā)現(xiàn)其“指紋特征”。

本新聞共3頁,當前在第2頁 1 2 3

【收藏】【打印】【進入論壇】

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费