導語：淺談陷阱系統分析與實現一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：文章介紹了目前網絡安全的現狀和有關技術，重點分析了陷阱技術，并提出了一種陷阱系統在網絡中的部署方案，討論了此種結構的優點及其中防火墻、路由器與入侵檢測系統發揮的重要作用。

關鍵詞：防火墻；入侵檢測；陷阱系統

計算機網絡的出現為人們提供了各種方便和機會，然而網絡帶來便利的同時也帶來了各種各樣的問題，特別是網絡安全問題，與人們的生活和工作息息相關。目前網絡安全主要技術包括：防火墻、入侵檢測、加密技術、漏洞掃描等，但是這些防御措施都是在已發現的各種攻擊方式的基礎上去推測和防御黑客的攻擊，都是被動的；但是，由于黑客采用的技術不斷更新變化，我們的應對措施總是滯后于各種攻擊模式，這種情況對于網絡安全是非常不利的。因此，人們又開始研究一種新型的與傳統安全思想完全不同的網絡安全技術—陷阱。不同于原有的網絡安全策略，陷阱技術是通過模擬真實網絡，吸引黑客主動攻擊，從而學習了解入侵者的思路、目的和工具[1]。通過這種方式，可以更好地理解網絡所遇到的威脅，在學習如何防御這些威脅時也有了更好的依據。

1陷阱技術

陷阱技術是一種記錄黑客攻擊過程的技術，它使用各種監控技術來捕獲攻擊者的行為，其實是用來欺騙攻擊者，使他們進入受控環境中，并在此過程中生成對于當前攻擊行為、工具、技術的數據，把攻擊者引入到并不重要的虛擬環境中，降低黑客攻擊重要系統的可能性，從而減少對重要系統和網絡的威脅。陷阱系統是通過陷阱技術實現的一種主機或網絡，是預設的環境，它使用相應的技術手段把黑客等侵入系統的一切信息記錄下來，包括攻擊的過程、使用工具等，可以保護主機的正常運行，更為重要的是，它可以混淆黑客等入侵者的攻擊目標，從而保護關鍵主機。陷阱系統收集的信息可以追蹤和查找入侵者的資料；可以作為培訓教案提高安全人員防范黑客攻擊的能力，還可以作為證據起訴入侵者。陷阱系統實質上是模擬真實系統或網絡，但一般不包含有價值的數據和信息，但在攻擊者看來要有吸引力，迷惑攻擊者，同時不能威脅到重要系統和數據的安全。當前，實現陷阱的技術主要有兩大類：蜜罐技術（Honeypot）和蜜網系統（HoneynetSystem）。

1.1蜜罐技術

蜜罐實際上是一種網絡資源，它存在的價值就在于被探測和被攻擊[2]。所以Honeypot會模擬不同系統或一些常見的漏洞，在某個系統上做相應設置使其誘騙入侵者的攻擊，比如Honeyd，BOF和Specter等。蜜罐系統的目的是通過額外開銷浪費攻擊者的精力和時間，以減少關鍵系統被攻擊的風險，還可以通過記錄攻擊者的攻擊方法和路徑，為提高重要系統的安全策略提供依據。一般來說，Honeypot應通過路由器或防火墻放置在靠近正常服務區的地方以吸引入侵者的注意，這里正常服務區指的是提供服務和存放重要數據的系統或服務器。這時在路由器或防火墻中需要使用端口重定向功能隱藏真正的目標IP，使入侵者感覺是在訪問服務區。另外一種方法是把Honeypot布置在提供服務的系統與系統之間。這種方式更適合于來自網絡外部的隨機攻擊，這是因為大部分情況下外部人員很難知曉內部網絡分布的詳細情況，發動的攻擊也就帶有一定的隨機性。當入侵者以全網掃描的方式尋找脆弱主機時，就有極大的可能找到Honeypot，因為其本身就被設計為具有一些常見漏洞，以吸引黑客的注意，這樣就能大大降低正常系統被攻擊的風險[3]。

1.2蜜網工程

現在有一些安全組織和科研人員正轉向研究蜜網工程，蜜網與傳統的Honeypot不同，其不但用來對入侵者的行為進行誘騙或報警，更重要的是它是一個學習工具，又稱為研究型蜜網。與Honeypot相比較，Honeynet有所不同，其是一個網絡系統而不是某臺單一主機。一般來說，Honeynet是隱藏在防火墻后面的，因為防火墻的過濾功能，使得所有進出網絡的數據都要通過防火墻的捕獲及控制。當獲得這些數據后，就可以采用相應的方法加以研究，從而得出入侵者所使用的方法、工具和動機。在Honeynet中，可使用多種不同的操作系統及設備，比如LinuxWindowsServer，Unix等；還可以在不同的平臺上運行不同的服務，如WindowsServer的DNS，DHCP，Webserver，FTP等，這樣可以使建立的網絡系統看上去更真實，可以更多地學習入侵者所使用的不同工具及策略，揭示出他們的一些習慣和特性。建立Honeynet的目的是人為地建立一種環境，在這個環境中，入侵者所用的工具以及他們的行為都可以被監控和捕捉。要達到這個要求，信息操控和信息捕獲是蜜網的設計者要解決的兩個問題。信息操控代表著一種約束規則，即我們必須要確定系統信息包的發送地址，這樣才能保證在Honeynet里的Honeypot主機被入侵后，該主機不會被用來攻擊在蜜網以外的系統或主機，也就是說，所有進出Honeynet的數據流都必須被控制而不會被入侵者有所察覺。信息捕獲則是要通過不同方法獲取進出Honeynet的所有信息并記錄入侵者的各種行為，通過捕獲的數據可以分析了解黑客使用的工具、策略及方法，從而防患于未然。另外，對于那些在分布式環境中有多個Honeynet系統的研究機構或公司來說，還有第3件事要做，那就是信息收集。在完成信息捕獲的任務后，有必要把各個不同蜜網所收集到的信息集中起來，進行匯總分析，這樣能夠更好地研究黑客，加快安全技術的發展。

2系統部署

在建立Honeynet的過程中，需要綜合應用各種知識、技術及設備，如防火墻、路由器、入侵檢測系統等。如果是一個比較大型的網絡，則可以專門設置一個完整的陷阱區域，將陷阱系統布置在該區域中。通過這樣的布局，不但可以方便陷阱系統的管理，同時還可以有效防止因大規模的入侵者攻擊而影響正常系統。陷阱系統看起來就像正常系統一樣，其所提供的服務，包括主機、系統軟硬件的配置都與正常系統類似，最大的區別只是數據信息的真偽不同。在正常服務區中，還可同時安裝提供正常服務的系統和蜜罐主機，這樣不但可以提高陷阱成功的可能性，還可以在一定程度上減少防火墻以及IDS系統不能識別的攻擊包對正常服務區域進行攻擊的危險。本文提出的一種Honeynet在網絡中的部署方案如圖1所示，從中可以看出：防火墻、路由器、入侵檢測系統（IntrusionDetectionSystem，IDS）各自發揮著不可替代的重要作用。

2.1防火墻的作用

將防火墻放置在Honeynet的前端，最大的好處是所有的信息包都要經過防火墻才能進入系統。當防火墻發現攻擊行為時，對于一般的掃描數據包，是直接將這些數據包轉發到陷阱區，而不是丟棄這些包；如果是一些破壞性較強的攻擊包，如廣播攻擊、Dos攻擊等，就一定要將其阻擋在外。除此之外，該防火墻還要具有追蹤功能，對于所有從Honeypot機器往外信息包進行跟蹤，當數量超過一定值時，防火墻將會把這些信息包阻塞，禁止發送；只是阻擋而不是直接將包都丟棄的目的是為了不引起入侵者的懷疑，同時也可以避免攻擊者利用Honeypot主機對內部系統進行探測和攻擊。

2.2路由器的作用

在防火墻與Honeynet之間放置的路由器，有兩個作用：首先，路由器的存在隱藏了防火墻，當Honeypot被攻擊時，入侵者從這里察看往外的路由，會感覺更像一個真實的網絡環境而不是蜜罐環境；除了這點以外，路由器還限制網絡訪問，作為防火墻的功能的擴充，做到層層保護，目的是確保Honeypot不會被用來攻擊真實服務器或其他系統。這里有一點要注意，陷阱系統畢竟是為了吸引黑客攻擊而開發，為了在不被黑客發現的情況下得到盡可能多的數據信息，有可能需要對系統進行一些必要的修改，盡管這種修改是非常必要的，但是為了不引起入侵者的懷疑，修改要盡可能的少。除此之外，捕獲到的數據也要有安全的存放地點，不能存放在Honeypot主機上，因為這樣做非常不安全，極有可能會被黑客注意到，從而發現該系統是一個陷阱系統。為避免此種情況發生，我們需要把數據放在遠程安全的主機上。

2.3IDS的作用

IDS主要工作就是對網絡中的信息流量進行監控分析和記錄，IDS可以捕獲系統中的幾乎所有舉動，在本設計中，IDS的放置方式使得所有機器都可以被監控到。IDS會把信息包中的特征字符串與自身的入侵檢測特征庫中的某一項進行比較驗證，如果相同或相似，它就會發出警告消息。IDS還可有效地保護日志文件。因為對于較高“水平”的黑客來說，在入侵系統后，一般都會刪除或修改日志文件，因此有必要對日志文件進行備份，除了在本機上保存日志文件之外，還應該發一份到遠程日志服務器上。即便入侵者還想要登錄遠程服務器，他們也不能對日志產生太大影響，因為這時IDS會繼續捕獲Honeynet的信息包，檢測出入侵者的活動，并寫入遠程日志系統，保證了日志的完整性。從另一方面來說，陷阱技術的發展也將促進IDS技術的發展，通過陷阱系統獲取黑客的最新入侵方法，可以幫助我們更好地設計IDS的特征數據庫，從而提高IDS系統的檢測效率。從這一點來說，IDS的發展與陷阱技術的發展是相輔相成的。

3結語

傳統的網絡安全技術如防火墻和入侵檢測系統等是應用技術手段將攻擊者趕走，而隱蔽的陷阱則可以收集攻擊者的攻擊信息和各種數據包，通過分析其可能的攻擊目標和攻擊方式，從而達到保護攻擊目標的作用，降低正常系統被攻破的危險，是當前網絡安全領域加強應用研究的重要方向，對于下階段進一步研究動態蜜罐技術的廣泛應用有積極意義[4]。它克服了傳統安全技術的預防能力不夠的弱點，除進行入侵監測外，更重要的是可以用來學習了解入侵者的思路、行為和目的，使人們在與入侵者的斗爭中獲取主動權。

作者:鈕永莉 單位:滁州職業技術學院

[參考文獻]

[1]金淦，張晶.蜜罐技術系統在局域網安全中研究與設計[J].信息與電腦（理論版），2010（3）：84-86.

[2]劉猛.Honeynet原型系統的研究與設計[J].電腦知識與技術，2006（10）：57-58.

[3]魏辰.“蜜罐”技術在校園網絡安全中的應用[J].青海師范大學學報（自然科學版），2011（3）：66-68.

[4]程靜.基于動態蜜罐技術的虛擬網絡設計[J].韶關學院學報，2014（4）：24-28.