導(dǎo)語：虛擬蜜罐Honey的分析和研究論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：該文介紹一個新的主動型的網(wǎng)絡(luò)安全系統(tǒng)－蜜罐。首先給出了蜜罐的定義和分類，然后詳細描述了一個網(wǎng)絡(luò)層次上的模擬計算機系統(tǒng)的虛擬蜜罐框架honeyd，討論了Honeyd的原理、結(jié)構(gòu)、特點、設(shè)計和實現(xiàn)，并對它的功能作了全面的測試評估。關(guān)鍵字：蜜罐，交互性，個性，路由拓撲，模板1蜜罐（Honeypot）的介紹今天網(wǎng)絡(luò)安全問題正日益嚴重。黑客利用自動化的大規(guī)模的漏洞掃描工具，可以在發(fā)現(xiàn)漏洞后不久就使全球的計算機系統(tǒng)遭受破壞。可是經(jīng)過數(shù)十年的研究和探索，我們?nèi)匀徊荒艽_保計算機系統(tǒng)的安全，甚至無法準確評估它們的安全性。現(xiàn)在我們介紹一種新的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)：蜜罐（Honeypot）。蜜罐是指受到嚴密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng)，它可以迷惑敵人，將攻擊從網(wǎng)絡(luò)中比較重要的機器上轉(zhuǎn)移開，對新攻擊發(fā)出預(yù)警，更重要的是可以引誘黑客攻擊而并對其攻擊的行為和過程進行深入的分析研究。將蜜罐和入侵檢測系統(tǒng)、防火墻等結(jié)合使用，可以有效提高系統(tǒng)安全性。Honeypot分為兩種類型：一種是低交互性蜜罐（Low-InteractionHoneypot），另一種是高交互性蜜罐（High-InteractionHoneypot）。低交互性蜜罐通常是運行于現(xiàn)有操作系統(tǒng)上的仿真服務(wù)，只允許少量的交互動作,黑客只能在仿真服務(wù)預(yù)設(shè)的范圍內(nèi)動作，它的優(yōu)點是結(jié)構(gòu)簡單，部署容易，風(fēng)險很低。高交互性蜜罐通常由真實的操作系統(tǒng)來構(gòu)建，提供給黑客的是真實的系統(tǒng)和服務(wù)。采用這種方式可以獲得大量的有用信息，包括我們完全不了解的新的網(wǎng)絡(luò)攻擊方式。同時，它也帶來了更多的風(fēng)險--黑客可能通過這個完全開放的真實系統(tǒng)去攻擊和滲透網(wǎng)絡(luò)中的其他機器。配置高交互性的物理的蜜罐成本很高，因為每個蜜罐是具有自已IP地址的真實機器，要有它自已的操作系統(tǒng)和相應(yīng)硬件。而虛擬蜜罐是由一臺機器去模擬構(gòu)造一個擁有的多個虛擬主機和虛擬服務(wù)的網(wǎng)絡(luò)。相對而言，虛擬蜜罐需要較少的計算機資源和維護費用。本文描述的Honeyd，就是一個在網(wǎng)絡(luò)層次上模擬計算機系統(tǒng)的虛擬蜜罐框架。2Honeyd的設(shè)計和實施Honeyd是一個輕型的開放源代碼的虛擬蜜罐的框架，可以模擬多個操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，支持IP協(xié)議族，創(chuàng)建任意拓撲結(jié)構(gòu)的虛擬網(wǎng)絡(luò)。同時，為了模擬拓撲分散的網(wǎng)絡(luò)地址空間和共享負荷，該結(jié)構(gòu)也支持網(wǎng)絡(luò)通道。圖1Honeyd的數(shù)據(jù)接收圖2Honeyd的結(jié)構(gòu)2.1網(wǎng)絡(luò)數(shù)據(jù)的接收要使Honeyd可以對目的IP地址屬于虛擬蜜罐之一的網(wǎng)絡(luò)數(shù)據(jù)包正常的接受和回應(yīng)，有如下方法：對指向Honeyd主機的虛擬IP地址創(chuàng)建特定路由、使用ARP及使用網(wǎng)絡(luò)通道。如圖1所示，假設(shè)10.0.0.1為我們路由器的IP地址，10.0.0.2為Honeyd主機的IP地址。10.0.0.11-14是Honeyd虛擬的蜜罐的IP地址。最簡單的情況是虛擬蜜罐的IP位于我們局域網(wǎng)內(nèi)。當(dāng)從互聯(lián)網(wǎng)向蜜罐WindowsNT4.0發(fā)送一個包時，路由器首先查詢它的路由表由找到10.0.0.13的轉(zhuǎn)送地址，如果沒有配置專用的路由，路由器通過ARP請求確定虛擬蜜罐的MAC地址，因為沒有相應(yīng)的物理機器ARP請求會不被響應(yīng)，因此我們配置Honeyd主機用自己的MAC地址的對10.0.0.13的ARP請求做出反應(yīng)，這樣通過ARP路由器就把發(fā)送蜜罐WindowsNT4.0的包轉(zhuǎn)到Honeyd主機的MAC地址。在復(fù)雜的情況下，我們也可以應(yīng)用通用路由封裝（GRE）通道協(xié)議在網(wǎng)絡(luò)地址空間和hondyd主機間建立通道。2.2Honeyd結(jié)構(gòu)Honeyd結(jié)構(gòu)由幾部分構(gòu)成：一個配置數(shù)據(jù)庫，一個中央包分配器，協(xié)議處理器，個性化引擎和隨機的路由組件，見圖2。Honeyd支持三種主要的互聯(lián)網(wǎng)協(xié)議：ICMP，TCP和UDP。輸入的包由中央包分配器處理，它首先檢測IP包的長度并驗證校驗，然后查詢配置數(shù)據(jù)庫找到與目的IP地址相對應(yīng)的蜜罐配置，如果不存在專用的配置，則應(yīng)用缺省模板。確定了配置后，數(shù)據(jù)包被傳送給相應(yīng)的協(xié)議處理器。ICMP協(xié)議處理器支持大多數(shù)ICMP請求。缺省時，對ECHO請求做出反應(yīng)并給出目的地址不可達的信息。對TCP和UDP來說，該結(jié)構(gòu)能為任意的服務(wù)建立連接，服務(wù)是在STDIN上接受數(shù)據(jù)并把輸出發(fā)送到STDOUT的外部應(yīng)用。Honeyd包含一個簡化的TCP狀態(tài)機，完全支持三次握手（Three-wayHandshake）的建立連接和通過FIN或RST撤消連接，但是接受器和擁塞窗口管理沒有完全實現(xiàn)。UDP數(shù)據(jù)報直接傳到應(yīng)用，當(dāng)收到一個發(fā)往封閉端口的UDP包的時候，默認發(fā)出一個ICMP端口不可達的信息。Honeyd結(jié)構(gòu)也支持連接的重定向，重定向可以是靜態(tài)的或依賴于連接四元組（源地址，源端口，目的地址，目的端口）。重定向允許我們把虛擬蜜罐上的一個服務(wù)連接請求轉(zhuǎn)遞給一個在真正的服務(wù)器上運行的服務(wù)，例如，我們可以把DNS請求重指向一個域名服務(wù)器甚至可以把連接反傳給敵人。2.3個性化引擎（PersonalityEngine）黑客通常會運用象Xprobe或Nmap的指紋識別工具來收集目標系統(tǒng)的信息，為了迷惑敵人，Honeyd可以模擬給定操作系統(tǒng)的網(wǎng)絡(luò)堆棧行為，我們把這稱為虛擬蜜罐的個性(Personality)。個性化引擎使蜜罐的網(wǎng)絡(luò)堆棧按照個性設(shè)置來改變每個外出包的協(xié)議頭，以便與被配置的操作系統(tǒng)的特征相符。Honeyd結(jié)構(gòu)應(yīng)用Nmap指紋庫作為個性的TCP和UCP行為的參照，用Xprobe的指紋據(jù)庫作為個性的ICMP行為的參照。下面介紹怎樣應(yīng)用Nmap提供的指紋信息來改變蜜罐的網(wǎng)絡(luò)堆棧特性。FingerprintWindowsNT4.0SP6ahotfixesTSeq(Class=RI%gcd=<6%SI=<40132&>290%IPID=BI|RPI%TS=U)T1(DF=Y%W=2017琄=S%Flags=AS%Ops=M)T2(Resp=Y