網路欺騙技術 (轉)

網路欺騙技術 (轉)[@more@]

 

穀雨·YESKY

 

什麼是欺騙？

及網路的資訊將是新世紀中各國面臨的重大挑戰之一。在我國，這一問題已引起各方面的高度重視，一些典型技術及相關產品如密碼與、與訪問控制、檢測與響應、安全分析與模擬和災難恢復都處於如火如荼的研究和開發之中。近年來，在與入侵者周旋的過程中，另一種有效的資訊保安技術正漸漸地進入了人們的視野，那就是網路欺騙。

網路欺騙就是使入侵者相信資訊系統存在有價值的、可利用的安全弱點，並具有一些可竊取的資源（當然這些資源是偽造的或不重要的），並將入侵者引向這些錯誤的資源。它能夠顯著地增加入侵者的工作量、入侵複雜度以及不確定性，從而使入侵者不知道其進攻是否奏效或成功。而且，它允許防護者跟蹤入侵者的行為，在入侵者之前修補系統可能存在的安全。

從原理上講，每個有價值的網路系統都存在安全弱點，而且這些弱點都可能被入侵者所利用。網路欺騙主要有以下三個作用：

　　影響入侵者使之按照你的意志進行選擇；

　　迅速地檢測到入侵者的進攻並獲知其進攻技術和意圖；

　　消耗入侵者的資源。

一個理想的網路欺騙可以使入侵者感到他們不是很容易地達到了期望的目標（當然目標是假的），並使其相信入侵取得了成功。

 

網路欺騙的主要技術

Honey Pot和分散式Honey Pot

網路欺騙一般透過隱藏和安插錯誤資訊等技術手段實現，前者包括隱藏服務、多路徑和維護安全狀態資訊機密性，後者包括重定向、偽造假資訊和設定圈套等等。綜合這些技術方法，最早採用的網路欺騙是Honey  Pot技術，它將少量的有吸引力的目標（我們稱之為Honey Pot）放置在入侵者很容易發現的地方，以誘使入侵者上當。

這種技術的目標是尋找一種有效的方法來影響入侵者，使得入侵者將技術、精力集中到Honey Pot而不是其它真正有價值的正常系統和資源中。Honey Pot技術還可以做到一旦入侵企圖被檢測到時，迅速地將其切換。

但是，對稍高階的網路入侵，Honey Pot技術就作用甚微了。因此，分散式Honey Pot技術便應運而生，它將欺騙（Honey Pot）散佈在網路的正常系統和資源中，利用閒置的服務埠來充當欺騙，從而增大了入侵者遭遇欺騙的可能性。它具有兩個直接的效果，一是將欺騙分佈到更廣範圍的和埠空間中，二是增大了欺騙在整個網路中的百分比，使得欺騙比安全弱點被入侵者掃描器發現的可能性增大。

儘管如此，分散式Honey Pot技術仍有侷限性，這體現在三個方面：一是它對窮盡整個空間搜尋的網路掃描無效；二是隻提供了相對較低的欺騙質量；三是隻相對使整個搜尋空間的安全弱點減少。而且，這種技術的一個更為嚴重的缺陷是它只對掃描有效。如果入侵已經部分進入到網路系統中，處於觀察（如嗅探）而非主動掃描階段時，真正的網路服務對入侵者已經透明，那麼這種欺騙將失去作用。

 

欺騙空間技術

欺騙空間技術就是透過增加搜尋空間來顯著地增加入侵者的工作量，從而達到安全防護的目的。利用計算機系統的多宿主能力（multi－homed capability），在只有一塊以太的計算機上就能實現具有眾多IP地址的主機，而且每個IP地址還具有它們自己的MAC地址。這項技術可用於建立填充一大段地址空間的欺騙，且花費極低。實際上，現在已有研究機構能將超過4000個IP地址繫結在一臺執行的PC上。這意味著利用16臺計算機組成的網路系統，就可做到覆蓋整個B類地址空間的欺騙。儘管看起來存在許許多多不同的欺騙，但實際上在一臺計算機上就可實現。

從效果上看，將網路服務放置在所有這些IP地址上將毫無疑問地增加了入侵者的工作量，因為他們需要決定哪些服務是真正的，哪些服務是偽造的，特別是這樣的4萬個以上IP地址都放置了偽造網路服務的系統。而且，在這種情況下，欺騙服務相對更容易被掃描器發現，透過誘使入侵者上當，增加了入侵時間，從而大量消耗入侵者的資源，使真正的網路服務被探測到的可能性大大減小。

當入侵者的掃描器訪問到網路系統的外部路由器並探測到一欺騙服務時，還可將掃描器所有的網路流量重定向到欺騙上，使得接下來的遠端訪問變成這個欺騙的繼續。

當然，採用這種欺騙時網路流量和服務的切換（重定向）必須嚴格保密，因為一旦暴露就將招致攻擊，從而導致入侵者很容易將任一已知有效的服務和這種用於測試入侵者的掃描探測及其響應的欺騙區分開來。

 

增強欺騙質量

面對網路攻擊技術的不斷提高，一種網路欺騙技術肯定不能做到總是成功，必須不斷地提高欺騙質量，才能使入侵者難以將合法服務和欺騙區分開來。

網路流量模擬、網路動態、多重地址轉換和組織資訊欺騙是有效增強網路欺騙質量的幾種主要方法，下面分別予以介紹。

網路流量模擬

產生模擬流量的目的是使流量分析不能檢測到欺騙。在欺騙系統中產生模擬流量有兩種方法。一種方法是採用實時方式或重現方式複製真正的網路流量，這使得欺騙系統與真實系統十分相似，因為所有的訪問連線都被複制了。第二種方法是從遠端產生偽造流量，使入侵者可以發現和利用。

網路動態配置

真實網路是隨時間而改變的，如果欺騙是靜態的，那麼在入侵者長期監視的情況下就會導致欺騙無效。因此，需要動態配置欺騙網路以模擬正常的網路行為，使欺騙網路也象真實網路那樣隨時間而改變。為使之有效，欺騙特性也應該能儘可能地反映出真實系統的特性。例如，如果辦公室的計算機在下班之後關機，那麼欺騙計算機也應該在同一時刻關機。其它的如假期、週末和特殊時刻也必須考慮，否則入侵者將很可能發現欺騙。

多重地址轉換（multiple address translation）

地址的多次轉換能將欺騙網路和真實網路分離開來，這樣就可利用真實的計算機替換低可信度的欺騙，增加了間接性和隱蔽性。其基本的概念就是重定向服務（透過改寫代理實現），由代理服務進行地址轉換，使相同的源和目的地址象真實系統那樣被維護在欺騙系統中。右圖中，從m.n.o.p進入到a.b.c.g介面的訪問，將經過一系列的地址轉換——由a.f.c.g傳送到10.n.o.p再到10.g.c.f，最後將資料包欺騙形式從m.n.o.p轉換到真實機器上的a.b.c.g。並且還可將欺騙服務繫結在與提供真實服務主機相同型別和配置的主機上，從而顯著地提高欺騙的真實性。還可以嘗試動態多重地址轉換。

建立組織資訊欺騙

如果某個組織提供有關個人和系統資訊的訪問，那麼欺騙也必須以某種方式反映出這些資訊。例如，如果組織的伺服器包含了個人系統擁有者及其位置的詳細資訊，那麼你就需要在欺騙的DNS列表中具有偽造的擁有者及其位置，否則欺騙很容易被發現。而且，偽造的人和位置也需要有偽造的資訊如薪水、預算和個人記錄等等。

 

結束語

  本文闡述了網路欺騙在資訊中的作用及實現的主要技術，並介紹了增強欺騙質量的具體方法。高質量的網路欺騙，使可能存在的安全弱點有了很好的隱藏偽裝場所，真實服務與欺騙服務幾乎融為一體，使入侵者難以區分。因此，一個完善的網路安全整體解決方案，離不開網路欺騙。在網路攻擊和安全防護的相互促進發展過程中，網路欺騙技術將具有廣闊的發展前景。