基于LINUX蜜网的防御系统

　　日志服务器配置：你也可以配置Snare将日志存放于远程服务器上，这里可以存放在我们的真实(物理的)机器上，或者我们可以设置严格的ACL来管理日志，或者只允许日志以appen only形式存在。

　　3 防御系统的应用实例

　　我们所部署的防御系统中的虚拟Linux蜜罐主机被黑客所攻陷，并被用以进一步对外发起扫描和攻击，此攻击的整个捕获和分析过程如下：

　　(1)自动告警工具发出告警邮件，显示虚拟Linux蜜罐主机有向外HTTP端口的网络连接。 (2)通过查看HoneyWall上的snort报警信息，发现黑客通过攻击Linux蜜罐主机的smbd服务的漏洞攻陷主机，并获得一个root权限的shell。

　　(3)进一步查看黑客攻陷蜜罐主机后的行为，发现黑客连续下载后门工具以替换系统文件如sshd和login等，同时也下载了一些批量扫描和攻击(autorooter)工具如SCAN，TD等，并不断地对外部主机的137端口进行扫描，由于Honeywall上的IPTables对外发出连接数进行了限制，结果黑客并没有利用我们的蜜罐主机攻陷任何其他主机。

　　4 防御系统实现的主要问题的分析

　　在防御系统中设置蜜网的目的就是要诱人攻击，以便了解和研究黑客所采用的技术，提升网络防御能力。所以系统务必提供真实有效的服务，以便迷惑入侵者，而且要能对所有进出的数据能够进行监控，以避免无法控制局面的出现。

　　在防御系统中我们主要针对3个方面的问题：

　　(1)怎么样诱惑入侵。为了吸引入侵者，需要构建一个具有网络流量仿真能力的模拟网作为Honeynet，然后利用端口映射和重定向技术，将它转向到一个Honeynet的lP地址中，对其行为进行监控。得到入侵者使用的主要技术，同时牵制他们的主要攻击精力，保证正常网络的安全。

　　(2)怎么样控制信息。信息控制是一种规则。必须保证一旦Honeynet被攻陷，不会出现无法控制的局面，避免对所保护网络的安全造成危害。难点在于怎么样在控制住数据流量的同时又不引起入侵者的怀疑。当入侵者突破Honeynet 后，他们将进行网络连接，以便从网络上获取攻击力量等，我们必须允许他们做大部分的“合法”事情。但应防止对其他系统的攻击，可以使用多层次控制避免单点失效，同时使用人工实时监控，一旦入侵者的活跃范围超越了受控制的范围，马上终止所有连接。

　　(3)怎么样实现数据捕获。数据捕获主要是指IDS日志和蜜网中主机的系统日志，即“多重捕获”。对于高明入侵者在攻入系统后，会试图更改甚至销毁目标主机上易于暴露入侵行为的各种记录。蜜网的“多重捕获”措施就是在确保不被入侵者发现的前提下捕获攻击行为信息，IDS在数据链路层对蜜网中的网络数据流进行监控!分析和抓取以便将来能够重现攻击行为。蜜网中主机除了使用操作系统自身提供的日志功能外，还可以利用第三方软件加强日志功能，并且传输到安全级别更高的服务器上进行备份。

　　5 结束语

　　蜜网是一个很有价值的资源，通过研究运用蜜网技术深入了解已知攻击!发现未知攻击，进而根据攻击深度更新完善网络防御系统。随着各种新的观点和技术还在不断出现，相信它会开辟出网络安全主动防御领域的一个新方向，并具有广阔的应用前景。

原文链接：http://article.pchome.net/00/16/13/20/index.phtml

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页 1 2下一页

上一篇：让 Linux 更安全（三）   下一篇：在 Linux 上构建一个RADIUS服务器

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】