返回
虚拟蜜罐honeyd的分析和研究.doc

虚拟蜜罐honeyd的分析和研究.doc

ID:56238083

大小:107.00 KB

页数:4页

时间:2020-03-23

虚拟蜜罐honeyd的分析和研究.doc_第1页
虚拟蜜罐honeyd的分析和研究.doc_第2页
虚拟蜜罐honeyd的分析和研究.doc_第3页
虚拟蜜罐honeyd的分析和研究.doc_第4页
资源描述:

《虚拟蜜罐honeyd的分析和研究.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、虚拟蜜罐Honeyd的分析和研究1蜜罐(Honeypot)的介绍今天网络安全问题正口益严重。黑客利用白动化的大规模的漏洞扫描工具,可以在发现漏洞示不久就使全球的计算机系统遭受破坏。可是经过数I-年的研究和探索,我们仍然不能确保计算机系统的安全,茯至无法准确评估它们的安全性。现在我们介绍一种新的网络安全预警系统:蜜罐(Honeypol)。蜜罐是指受到严密监控的网络诱骗系统,它可以迷惑敌人,将攻击从网络屮比较重要的机器上转移开,对新攻击发出预警,更重要的是可以引诱黑客攻击而并对其攻击的行为和过程进行深入的分析研究。

2、将蜜罐和入侵检测系统、防火墙等结合使用,可以有效提高系统安全性。Honeypot分为两种类型:一种是低交互性蜜罐(Low・InlenictionHoneypot),比一种是高交互性蜜罐(High-InteractionHoneypot)o低交互性蜜罐通常是运行于现有操作系统上的仿真服务,貝允许少量的交互动作,黑客只能在仿真服务预设的范围内动作,它的优点是结构简单,部署容易,风险很低。高交互性蜜罐通常由真实的操作系统来构建,提供给黑客的是真实的系统和服务。采用这种方式可以获得大量的有用信息,包括我们完全不了解的新

3、的网络攻击方式。同时,它也带来了更多的风险-黑客可能通过这个完全开放的真实系统去攻击和渗透网络屮的其他机器。配置高交互性的物理的蜜罐成木很高,因为毎个蜜罐是具有H已ip地址的真实机器,要有它白已的操作系统和相应驶件。而虚拟蜜罐是由一台机器去模拟构造一个拥有的多个虚拟主机和虚拟服务的网络。相对而言,虚拟蜜罐需要较少的计算机资源和维护费用。木文描述的Honeyd,就是一个在网络层次上模拟计算机系统的虚拟蜜罐框架。2Honeyd的设计和实施Honeyd是一个轻型的开放源代码的虚拟蜜罐的框架,可以模拟多个操作系统和网络

4、服务,支持IP协议族,仓腱任意拓扑结构的虚拟网络。同时,为了模拟拓扑分散的网络地址空间和共享负荷,该结构也支持网络通道。Linux1.0.9FreeBSD32・40VMndowsNT4NelBSD16H10.0.0.1110.0.0.12100.0.1310.0.0.14图1Honeyd的数据接收图2Honeyd的结构2.1网络数据的接收要使Honeyd可以对目的IP地址属于虚拟蜜罐Z—的网络数据包正常的接受和冋应,有如下方法:对指向Honeyd主机的虚拟IP地址创建特定路由、使用ARP代理及使用网络通道。如图

5、1所示,假设10.0.0.1为我们路由器的IP地址,10.0.0.2为Honeyd主机的IP地址。10.0.0.11・14是Honeyd虚拟的蜜罐的IP地址。最简单的情况是虚拟蜜罐的IP位于我们局域网内。当从互联网向蜜罐WindowsNT4.0发送一个包时,路由器首先杳询它的路由表由找到10.0.0.13的转送地址,如果没有配置专用的路由,路由器通过ARP请求确定虚拟蜜罐的MAC地址,因为没有相应的物理机器ARP请求会不被响应,因此我们配置Honeyd主机用Izl己的MAC地址的对10.0.0.13的ARP请求

6、做出反应,这样通过ARP代理路由器就把发送蜜罐WindowsNT4.0的包转至QHoneyd主机的MAC地址。在复杂的情况下,我们也可以应用通用路由封装(GRE)通道协议在网络地址空间和hondyd主机间建立通道。2.2Honeyd结构Honeyd结构由几部分构成:一个配置数据库,一个屮央包分配器,协议处理器,个性化引擎和随机的路由组件,见图2。Honeyd支持三种主要的互联网协议:ICMP,TCP和UDP。输入的包由中央包分配器处理,它首先检测IP包的长度并验证校验,然示查询配置数据库找到与目的IP地址相对应

7、的蜜罐配置,如果不存在专用的配置,则应用缺省模板。确定了配置麻,数据包被传送给相应的协议处理器。ICMP协议处理器支持大多数ICMP请求。缺省时,对ECHO请求做出反应并给出目的地址不可达的信息。对TCP和UDP来说,该结构能为任意的服务建立连接,服务是在STDIN上接受数据并把输出发送到STDOUT的外部应用。Honeyd包含一个简化的TCP状态机,完全支持三次握手(Three-wayHandshake)的建立连接和通过FIN或RST撤消连接,但是接受器和拥塞窗口管理没有完全实现。UDP数据报有•接传到应用,

8、当收到一个发往封闭端口的UDP包的时候,默认发出一个ICMP端口不可达的信息。Honeyd结构也支持连接的重定向,重定向可以是静态的或依赖于连接四元纟R(源地址,源端口,目的地址,目的端口)。重定向允许我们把虚拟蜜罐上的一个服务连接请求转递给一个在真正的服务器上运行的服务,例如,我们可以把DNS请求重指向一个域名服务器共至可以把连接反传给敌人。2.3个性化引擎(PersonalityE

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。