一種蜜網技術的介紹

 

        蜜罐是一種安全資源，其價值在於被掃描、攻擊和攻陷，它以犧牲真實的沒有打補丁的作業系統(一般以 Linux 為平臺)為代價欺騙入侵者以達到採集黑客攻擊方法和保護真實主機目標。傳統蜜罐有著不少的優點，比如收集資料的保真度，蜜罐不依賴於任何複雜的檢測技術等，因此減少了漏報率和誤報率。使用蜜罐技術能夠收集到新的攻擊工具和攻擊方法，而不像目前的大部分入侵檢測系統只能根據特徵匹配的方法檢測到已知的攻擊。但是隨著應用的廣泛，傳統蜜罐的缺點也開始暴露了出來，綜合起來主要有 3 個方面：

（1）蜜罐技術只能對針對蜜罐的攻擊行為進行監視和分析，其檢視不像入侵檢測系統能夠通過旁路偵聽等技術對整個網路進行監控。

（2）蜜罐技術不能直接防護有漏洞的資訊系統並有可能被攻擊者利用帶來一定的安全風險。

（3）攻擊者的活動在加密通道上進行（ IPSec，SSH，SSL，等等）增多，資料捕獲後需要花費時間破譯，這給分析攻擊行為增加了困難。

          針對以上問題出現了蜜網技術。蜜網技術實質上是一類研究型的高互動蜜罐技術，與傳統蜜罐技術的差異在於，蜜網構成了一個黑客誘捕網路體系架構，在這個架構中，可以包含一個或多個蜜罐，同時保證了網路的高度可控性，以及提供多種工具以方便對攻擊資訊的採集和分析。圖 1 給出了蜜網的結構及其蜜罐在蜜網中的位置。其中最為關鍵的部件為稱為 HoneyWall 的蜜網閘道器，包括三個網路介面，網路卡 1接入外網，網路卡 2 連線蜜網，而網路卡 3 作為一個祕密通道，連線到一個監控網路。HoneyWall 是一個工作在鏈路層的橋接裝置，作為蜜網與其他網路的惟一連線點，所有流入流出蜜網的網路流量都將通過 HoneyWall，並受其控制和審計，同時不會對網路資料包進行 TTL 遞減和網路路由，也不會提供本身的 MAC 地址，因此對黑客而言，HoneyWall 是完全不可見的，因此黑客不會識別出其所攻擊的網路是蜜網。