虚拟攻防系统 HoneyPot
转载原地址 http://www.2cto.com/Article/200410/9.html
Honeypot 是一个故意设计为有缺陷的系统,通常是用来对入侵者的行为进行警报或者
诱骗。传统的 Honeypot 是一般情况下类比其他作业系统或者一些常见漏洞,而 Honeynet
则有所不同,它是一个学习的工具,下面是它们之间两个最大的区别所在:
● 根据 Snort creator Marty Roesch. Marty 我们可以把 HoneyPot 广义的分成二类:
这二类为产品及研究,所谓产品式 HoneyPot 即为帮助组织减少风险和增加组织里的安
全评量。而研究式则为要获得在骇客社群里的相关资讯所设置的。
● Honeynet 是一个网路系统,而并非某台单一主机,这一网路系统是隐藏在防火墙後面
的,所有进出的资料都受到监控、捕获及控制。这些被捕获的资料可以对我们研究分析
入侵者们使用的工具、方法及动机。在这个Honeynet中,我们可以使用各种不同的作业
系统及设备,如 Solaris Linux Windows NT Cisco Switch 等等。这样建立的网路
环境看上去会更加真实可信,同时我们还有不同的系统平台上面运行着不同的服务,比
如 Linux 的 DNS server,Windows NT 的webserver 或者一个 Solaris 的FTP server
,我们可以学习不同的工具以及不同的策略--或许某些入侵者仅仅把目标定於几个特定
的系统漏洞上,而我们这种多样化的系统,就可能更多了揭示出他们的一些特性。
● 在 Honeynet 中的所有系统都是标准的机器,上面运行的都是真实完整的作业系统及应
用程式--我们没有刻意地模彷某种环境或者故意使系统不安全。
Honeynet是一个用来学习的骇客如何入侵系统的工具,包含了设计好的网路系统。
Honeynet 和 Honeypot 最为人所知的差异是 Honeypot 通常是指一台机器,在上面常见的
软体有 The Deception Toolkig or Specter,而 honeynet 是一个电脑所组成的网路。最
常见的 Honeynet 建置元素有:
● 防火墙,它记录了所有进出的连线且提供了 NAT 的服务和 DOS 的保护。
● 入侵侦侧系统(IDS),IDS和防火墙有时会放置在同一个位置,它记录了网路上的流量且
寻找攻击和入侵的线索。
● 远端日志电脑,稍微的修改成所有的入侵者的指令能够传送到系统日志。系统日志通常
设定成远端的系统日志。
● HoneyPot,我们设定好的Honeypot可为任何作业系统,当设定 Honeypot 时,能做小小
的改变,以免入侵者查觉到这是一个 Honeynet。
Honeynet 是一个很有价值的研究,学习和教育的工具,藉着这个工具使我们能了解到
入侵者的攻击方式,以便未来能侦测到入侵。从Honeynet 所收集来的资讯能被分析且能监
视攻击的趋势。这些资讯也可被用教作教育训练。
一般而言,建置 HoneyPot 大多有两个原因:
1.学习入侵者如何侦测和企图获得系统的存取权限,当骇客的行为被记录下来之後,我们
就可以藉此分析,来找出更好的方法来保护我们真实的系统。
2.对於逮补入侵者所需的证据,这类的资讯在法庭上都需要作为控告人侵者的证据。
HoneyPot 所面临法律相关问题
● 诱捕的问题:
诱捕是一个法律术语,用於执法人员诱使一个罪犯从事一项非法行为,否则他们可能不
会从事该非法行为。我们不是执法部门,我们不是在执法部门的控制下行动,而且我们
甚至没有起诉的意图,所以,我们不认为安装一个 Honeynet 是诱捕行为。其他人将争
论说我们正在提供一个"吸引人的目标",意味着我们把不可靠的系统置於网上,以诱使
人们攻击他们,从而把他们作为攻击别人的手段来使用。这也是错误的,因为我们并没
有通过任何方式来宣传这些系统。如果有人发现了我们的一个系统,损害了它,并且使
用它作他们不应当做的事情,那是因为他们在主动地和有意地从事这种非授权的行为。
● 保密的问题:
而关於这些活动有一些道德上的和伦理上的问题,最近由美国司法局,刑事庭,受理上
诉的法官裁定,反对对於在电脑入侵和欺骗的犯罪案件中,对侵犯隐私权进
行辩护。包
括下面一些问题:
1. 入侵这些系统的人是未经授权的,如果他们把任何文件置於系统上(当他们没有合法
的帐号或使用特权时),我们认为他们已经不能保有在我们系统上的隐私权。
2. 通过使用我们的系统进行通讯,他们就已经在通讯中放弃了他们的隐私权。
3. 我们不提供公用的帐号,所以我们不是一个服务供应商,不受为服务供应商所设计的
保密要求的限制。
4. 不管怎样,我们不是执法部门,我们也不是在执法部门的控制下行动,或甚至起诉入
侵我们系统的入侵者,所以,我们不受证据收集规定的限制,而执法部门和他们的执
法人员却要受到其限制。
5. 即使我们真的目击了一起严重的电脑犯罪,并且决定告发它,我们收集日志和记录网
路流量,将其作为一个"商业运营"的常规过程,如果我们决定告发的时候,我们可以
自由地将其交给执法部门。
HoneyPot的优点与缺点
优点:
1. 资料收集
Honeypots 收集少量的资料,但资料都是具有高价值的。它去除了大量的杂讯,使它能
够简单的收集资料。在安全上中的最好的问题之一,就是如何在大量的资料当中,找到
你所需要的资料,HoneyPot 能使你快速简单地去收集资料并且了解。比如
HoneyNet Project,它是一个研究 honeypot 的团队,平垮每天收集 1-5MB 的资料,
这些资讯一般都是很有价值的,不只能看到网路上的行动,并且能得知入侵者如何入侵
这个系统。
2. 资源
许多安全工具会被频宽所限制住。网路入侵侦测装置不能够去追踪所有的网路行为,而
丢弃封包。集中化的日志伺服器并无法收集所有的系统日志,而潜在地流失日志记录。
Honeypots 则没有这个问题,它仅仅去截取对於他有关系的动作。
缺点:
1. 单一资料收集点
HoneyPots 放置一个很大的系统漏洞,如果没有攻击者来攻击,即变得一点价值都没有
,也无法得知任何未授权的行为。
2. 风险
HoneyPots 对於你的环境也能够招致风险,作为攻击者另外一次攻击的平台,风险是变
动性的,全依靠如何建置及如何利用 Honeypots。
虚拟攻防系统 HoneyPot的更多相关文章
- win7物理主机与虚拟XP系统互相ping不通解决方法
安装了虚拟XP系统,win7物理主机与XP系统ping不通,原因在于安装虚拟XP系统网络连接方式选的仅主机网络,则win7物理主机上的网卡应为VMnet1,而自己的win7VMnet1网卡处于禁用状态 ...
- 如何快速实现一个虚拟 DOM 系统
虚拟 DOM 是目前主流前端框架的技术核心之一,本文阐述如何实现一个简单的虚拟 DOM 系统. 为什么需要虚拟 DOM? 虚拟 DOM 就是一棵由虚拟节点组成的树,这棵树展现了真实 DOM 的结构.这 ...
- 使用HyperV虚拟机装系统
新建虚拟机 新建虚拟机 进行相关参数设置 选择系统安装镜像位置,名称及位置 指定代数一般为1代即可 为虚拟机运行分配内存 创建虚拟硬盘或连接已有虚拟硬盘,并分配硬盘空间 核对创建虚拟机相关信息 安装系 ...
- 虚拟Linux系统使用Windows系统oracle数据库
前提:本地oracle数据库能正常使用. 数据库:oracle 11g 虚拟机:VMware_workstation_full_12.5.2 本机系统:Windows 7 旗舰版 虚拟机系统:open ...
- 虚拟机装系统出现 ntldr is missing(NTLDR丢失)、无法正常开机、解决方法
虚拟机(VMware Workstation或Hyper-V)装ghost版系统提示“ntldr is missing Press Ctrl+Alt+del to Resta 此方法对实体机.虚拟机安 ...
- Android环境虚拟WINDOWS系统
参考文档:http://bbs.anzhi.com/thread-5120526-1-1.html 我们知道安卓手机是arm平台,windows是x86平台,指令集完全不同,但在这里要教给大家的是靠软 ...
- VirtualBox 虚拟Ubuntu系统与主机互ping
互ping的前提是主机和虚拟机的ip地址在同一波段[eg:主机为:192.168.1.10虚拟Linux:192.168.1.11] 1.设置主机ip: ...
- vmware虚拟IOS系统
安装虚拟机 --以管理员的身份运行
- 使用VMWare虚拟mac系统,设置网络的正确姿势
1. 启动mac虚拟机: 2. 虚拟机-虚拟机设置-网络适配器-选择NAT模式: 3. 打开mac的网络设置,选择使用DHCP模式,并设置DNS服务器为win的DNS: 4. 回到win,控制面板-网 ...
随机推荐
- 面试题_125_to_133_Java 面试中其他各式各样的问题
这部分包含 Java 中关于 XML 的面试题,JDBC 面试题,正则表达式面试题,Java 错误和异常及序列化面试题 125)嵌套静态类与顶级类有什么区别?(答案)一个公共的顶级类的源文件名称与类名 ...
- subsets-ii(需要思考,包括了子数组的求法)
还是有一定难度的. 基本方法,就是用队列,然后不断累加新的数.这是为了不重复而量身定制的. 如果运行重复,是有更简单清晰的方法,就是每次增加考虑一个数字,然后加到本来每一个结果的后面.如下: publ ...
- HDU 1255 覆盖的面积 (扫描线 线段树 离散化 矩形面积并)
题目链接 题意:中文题意. 分析:纯手敲,与上一道题目很相似,但是刚开始我以为只是把cnt>=0改成cnt>=2就行了,. 但是后来发现当当前加入的线段的范围之前 还有线段的时候就不行了, ...
- .net项目的svn Global ignore pattern
*.o *.lo *.la *.al .libs *.so *.so.[0-9]* *.a *.pyc *.pyo __pycache__ *.rej *~ #*# .#* .*.swp .DS_S ...
- bzoj1567: [JSOI2008]Blue Mary的战役地图
将矩阵hash.s[0]忘了弄成0,输出中间过程发现了. hash.sort.判重.大概这样子的步骤吧. #include<cstdio> #include<cstring> ...
- WebServices生成发布过程及常见问题的解决方法
春夏秋冬走健康之路看四季养生网 健康饮食 养生问题 母婴保健 养生小常识 3.下一步,我们需要将Myservice文件夹拷贝到C:\Inetpub\wwwroot目录下(重要).如下图所示 然后依次 ...
- Java知识点:琐碎知识点(1)
Java基本介绍 SUN:Stanford University NetworkJava之父:James GoslingJava的跨平台性因为有Java虚拟机,运行class文件.Java吉祥物:Du ...
- BZOJ 3527 力
fft推下公式.注意两点: (1)数组从0开始以避免出错. (2)i*i爆long long #include<iostream> #include<cstdio> #incl ...
- 多线程程序设计学习(2)之single threaded execution pattern
Single Threaded Execution Pattern[独木桥模式] 一:single threaded execution pattern的参与者--->SharedResourc ...
- 【转】AVL
#include <iostream> #include <ctime> #include <queue> #include <cassert> #in ...