|
知识路径: > 网络安全主动防御技术原理与应用 > 网络攻击陷阱技术与应用 > 网络攻击陷阱技术原理 > 网络攻击陷阱技术原理 >
|
考试要求:掌握
相关知识点:2个
|
|
|
|
陷阱网络由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成,为攻击者制造一个攻击环境,供防御者研究攻击者的攻击行为。陷阱网络一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。下图是第一代陷阱网络,出入陷阱网络的数据包都经过防火墙和路由器,防火墙的功能是控制内外网络之间的通信连接,防止陷阱网络被作为攻击其他系统的跳板,其规则一般配置成不限制外部网对陷阱网络的访问,但需要对陷阱网络中的蜜罐主机对外的连接加强控制,包括:限制对外连接的目的地、限制主动对外发起连接、限制对外连接的协议类型等。路由器安放在防火墙和陷阱网络之间,路由器可以隐藏防火墙,即使攻击者控制了陷阱网络中的蜜罐主机,发现路由器与外部网相连接,也能被防火墙发现。同时,路由器具有访问控制功能,可以弥补防火墙的不足,例如用于防止地址欺骗攻击、DoS、基于ICMP的攻击等。陷阱网络的数据捕获设备是IDS,它监测和记录网络中的通信连接并报警可疑的网络活动。此外,为掌握攻击者在蜜罐主机中的行为,必须设法获取系统活动记录,方法有两种:一是让所有的系统日志不但在本地记录,同时也传送到一个远程的日志服务器上;二是安放监控软件,进行击键记录、屏幕拷贝、系统调用记录等,然后传送到远程主机。
|
|
|
|
|
第二代陷阱网络技术实现了数据控制系统、数据捕获系统的集成系统,这样就更便于安装与管理,如下图所示。它的优点包括:一是可以监控非授权的活动;二是隐蔽性更强;三是可以采用积极的响应方法限制非法活动的效果,如修改攻击代码字节,使攻击失效。
|
|
|
|
|
目前,研究人员正在开发虚拟陷阱网络(Virtual Honeynets),它将陷阱网络所需要的功能集中到一个物理设备中运行,实现蜜罐系统、数据控制系统、数据捕获系统、数据记录等功能,我们把它称作第三代陷阱网络技术,如下图所示。
|
|
|
|
|
目前,国内相关的商业产品有明鉴迷网系统-蜜罐HPOT。开源的网络攻击陷阱系统有Honeyd、工业控制系统蜜罐Conpot、口令蜜罐Honeywords等。
|
|
|