返回
虚拟蜜罐honeyd的分析和研究

虚拟蜜罐honeyd的分析和研究

ID:9636943

大小:48.50 KB

页数:3页

时间:2018-05-04

虚拟蜜罐honeyd的分析和研究_第1页
虚拟蜜罐honeyd的分析和研究_第2页
虚拟蜜罐honeyd的分析和研究_第3页
资源描述:

《虚拟蜜罐honeyd的分析和研究》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、虚拟蜜罐Honeyd的分析和研究摘要:该文介绍一个新的主动型的网络安全系统-蜜罐。首先给出了蜜罐的定义和分类,然后详细描述了一个网络层次上的模拟计算机系统的虚拟蜜罐框架Honeyd,讨论了Honeyd的原理、结构、特点、设计和实现,并对它的功能作了全面的测试评估。  关键字:蜜罐,交互性,个性,路由拓扑,模板1蜜罐(Honeypot)的介绍  今天网络安全问题正日益严重。黑客利用自动化的大规模的漏洞扫描工具,可以在发现漏洞后不久就使全球的计算机系统遭受破坏。可是经过数十年的研究和探索,我们仍然不能确保计算机系统的安全,甚至无法准确评估

2、它们的安全性。现在我们介绍一种新的网络安全预警系统:蜜罐(Honeypot)。蜜罐是指受到严密监控的网络诱骗系统,它可以迷惑敌人,将攻击从网络中比较重要的机器上转移开,对新攻击发出预警,更重要的是可以引诱黑客攻击而并对其攻击的行为和过程进行深入的分析研究。将蜜罐和入侵检测系统、防火墙等结合使用,可以有效提高系统安全性。Honeypot分为两种类型:一种是低交互性蜜罐(LoAC地址,因为没有相应的物理机器ARP请求会不被响应,因此我们配置Honeyd主机用自己的MAC地址的对10.0.0.13的ARP请求做出反应,这样通过ARP代理路由

3、器就把发送蜜罐P,TCP和UDP。输入的包由中央包分配器处理,它首先检测IP包的长度并验证校验,然后查询配置数据库找到与目的IP地址相对应的蜜罐配置,如果不存在专用的配置,则应用缺省模板。确定了配置后,数据包被传送给相应的协议处理器。  ICMP协议处理器支持大多数ICMP请求。缺省时,对ECHO请求做出反应并给出目的地址不可达的信息。对TCP和UDP来说,该结构能为任意的服务建立连接,服务是在STDIN上接受数据并把输出发送到STDOUT的外部应用。Honeyd包含一个简化的TCP状态机,完全支持三次握手(Three-P端口不可达的

4、信息。  Honeyd结构也支持连接的重定向,重定向可以是静态的或依赖于连接四元组(源地址,源端口,目的地址,目的端口)。重定向允许我们把虚拟蜜罐上的一个服务连接请求转递给一个在真正的服务器上运行的服务,例如,我们可以把DNS请求重指向一个域名服务器甚至可以把连接反传给敌人。2.3个性化引擎(PersonalityEngine)  黑客通常会运用象Xprobe或Nmap的指纹识别工具来收集目标系统的信息,为了迷惑敌人,Honeyd可以模拟给定操作系统的网络堆栈行为,我们把这称为虚拟蜜罐的个性(Personality)。个性化引擎使蜜罐

5、的网络堆栈按照个性设置来改变每个外出包的协议头,以便与被配置的操作系统的特征相符。  Honeyd结构应用Nmap指纹库作为个性的TCP和UCP行为的参照,用Xprobe的指纹据库作为个性的ICMP行为的参照。下面介绍怎样应用Nmap提供的指纹信息来改变蜜罐的网络堆栈特性。Fingerprint)T2(Resp=Y%DF=N%)T4(DF=N%ETL)T6(DF=N%ETL)T7(DF=N%ETL)PU(Resp=N

6、Y)图3Nmap指纹的例子  每个Nmap指纹有一个类似于图3中所示的格式,Fingerprint符号后的字符串为个性

7、化名字,后面的九行描述九个不同测试的结果。第一个测试是最重要的,它决定着远程操作系统的网络堆栈怎样为TCPSYN字段产生初始序列号(ISN),在Class字段指明预测ISN的难度,在gcd和SI字段提供ISN分布的更多详细信息,同时它也决定IP报文标识和TCP时间戳。  下七个测试确定到达开放和关闭的TCP端口的包的堆栈行为,最后的测试PU分析了对关闭的UDP端口的ICMP反应包。2.4路由拓扑(RoutingTopology)  Honeyd能够模拟随机的网络路由拓扑。通常虚拟的路由拓扑是一株树,根节点是数据包进入虚拟网络的入口。树

8、的每个内部节点代表着一个路由器。每个边代表着一个包含着时间等待和包损失等特性的连接。树的终端节点与网络相对应。  当Honeyd接到包时,它找到正确的入口路由树并穿过它,从根开始直到发现包含包的目的IP地址的一个节点为止,沿途的包损失和所有边的时间等待积累起来,确定是否抛弃该包和它的传送应该延迟多长时间。数据包每通过一个虚拟路由器,就相应减少的生存期TTL的值,当TTL为零时,Honeyd发出包含导致TTL为零的路由器IP的一个ICMP超时信息。  Honeyd也可以把真正的系统与虚拟的路由拓扑结合起来,当结构收一个真实系统的包时,包

9、沿着网络拓扑行走直到它发现直接对真正的机器所属的网络空间负责的一个虚拟路由器。当真正的系统发出ARP请求时,结构以相应的虚拟路由器的ARP回复来响应。2.5配置  在Honeyd框架中,通过配置模板(Template)来

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。