了解你的敌人：Statistics

　　Know Your Enemy:

　　Statistics

　　Analyzing the past ... predicting the future

　　Honeynet Project

　　http://project.honeynet.org/

　　http://www.xfocus.org/honeynet/

　　Last Modified: 22 July, 2001

　　在过去的几年里，Honeynet Project已经收集和归档了backhat的活动信息，我们尽我们最大的能力来记录和捕获对Honeynet每一个探测，攻击，和使用。这些原始的数据有很高价值。我们重点会放在两个部分，第一，我们打算演示Blackhat团体是怎样活动的。不管你是谁，你是不安全的，我们的目标是让你认识到这些威胁的存在。其二，为了对一些早期警告和预报内容的进行测试，通过鉴别方法和倾向，可能预测在攻击发生之前的攻击和进行一定程度的对抗。我们使用Honeynet Project采集到的数据测试这种理论。

The Collected Data

　　Honeynet Project维护着8个高度控制和完全监视的网络，我们收集和归档了2000年4月到2001年2月这段时期中网络的每一个攻击，Honeynet有8个IP地址组成，使用本地ISP提供的单一ISDN连接，这种连接类型类似与大多数家庭用户或者小型商业用户。实际上，Honeynet位于其中一Project成员空余的卧室中。在那段时期，Honeynet中存在3个系统，其中包括如下：Solaris Sparc, WinNT, Win98, 和 Linux Red Hat操作系统。

　　Honeynet网络是用来捕获数据的网络，是一些使用普通的网络操作系统，如：Red Hat Linux 或者 Windows NT并在默认下配置的情况下实现的。Honeynet既没有对企图来标榜Honeynet也没有企图来"引诱"攻击者。理论上来说这个站点只会有很少的活动迹象，就想我们没有广告任何服务和系统。

　　Honeynet数据有价值的地方是Honeynet减少了主动错误信息(false positives)和被动错误信息(false negatives)所产生的问题。主动错误信息(false positives)指的是当组织由于恶意活动而被通知警报时候，经检查其实没有任何事情发生，而当这个组织持续的被主动错误信息(false positives)所触发警报，他们开始忽略他们的警报系统和数据采集，导致警告系统人为的无效。举个例子，MAIL入侵探测系统警告管理员系统被攻击，可能是一般已知的攻击被探测到，但是，这个警告可能是由一封包含对这个已知漏洞的警告并包含了攻击者所需的源代码来通知管理员的邮件错误触发的，或者可能是网络监视通信程序SNMP或者ICMP错误触发的。主动错误信息(false positives)对于大多数组织机构来说是是一项持续的挑战。Honeynet通过不包含任何实际的产品通信所触发的信息来减少这个问题，即不安装任何相关应用产品。因为Honeynet网络没有实际用途，它只是为了捕获未授权的活动，这表示任何信息包的进入和离开Honeynet都很本能的认为是有嫌疑的(因为没有任何应用平台)，就简化了数据捕获和进程分析，减少主动错误信息(false positives)的产生.

　　被动错误信息(false negatives)是多数组织机构需要面对的另一项挑战，被动错误信息(false negatives)就是对于真实的恶意攻击者或者未授权活动检测失败。多数组织机构有适当的机制来检测攻击，如入侵检测系统，防火墙日志，系统日志和进程计帐。这些工具的目的是为了检测有可疑或者未授权活动，但是，其中有两个重要的问题会导致产生被动错误信息(false negatives)检测失败：数据负载过重和新的漏洞，数据负载过重是当组织机构捕获过多的数据，而没有全部被查看，因此攻击者被忽略过，如，多数组织机构记录G级别的防火墙或者系统活动信息，这样对与重新复查这些成吨的信息来鉴别可疑行为变的极其困难。第二个问题就是新型漏洞的攻击，而造成安全软件没有能力来检测这种个攻击。Honeynet通过绝对的捕获所有进出honeynet的信息来减少这种新型攻击产生的漏捕。记住：Honeynet里只有很少或者没有的相关应用平台和程序所产生的活动，这表示所有捕获的相关信息是有一定嫌疑的。即使我们漏捕最初始的攻击，我们仍然截获这个活动，如Honeynet中有2个系统在没有任何警告给Honeynet 管理员的情况下被入侵，我们没有探测到这次攻击知道被入侵的主机发起对外的连接，一旦这些尝试被我们探测到，我们就检查了所有捕获的活动信息来鉴定这个攻击：它是怎样成功的，为何我们漏捕了，通过这些研究，honeynet减少了被动错误信息(false negatives)所产生的问题.

　　对于有价值的数据的复查可以很明显的减少主动错误信息(false positives)和被动错误信息(false negatives)的产生。记住：下面我们所讨论的发现是特定我们的网络，这不意味着你的组织机构中会看到同样的模式或者行为，我们使用这个采集到的数据来演示部分blackhat的性质和早期警告和预测的可能性。

Analyzing the Past

　　当我们研究黑帽子团体的时候，Honeynet项目惊奇地看到黑帽子团体是如此的活跃。我们的发现是令人惊慌的。下面是我们对十一个月来所收集数据的一些统计。公布这些数据的目地是展示黑帽子团体的频繁活动。需要注意的是，这些统计信息只代表了一个没什么价值的小家庭网络，它没有对外广而告之并且没有试图引诱黑客。那些有很高名气和很大价值的大型组织机构极有可能被探测和攻击的次数多得多。

攻击后的分析：

　　从2000年4月到11月，7台默认安装的Red Hat 6.2服务器在它们被放上Internet的三天之内被攻击。基于此，我们估计一个默认安装的Red Hat 6.2服务器的预期生命少于72小时。当我们最后一次试图证实这个估计的时候，系统在八小时内就被攻破。一个系统最快在15分钟内就被入侵。这意味着系统在连上Internet的15分钟内就被扫描，探测和入侵。碰巧的是，这是我们在1999年3月建立的第一个蜜罐系统。

　　在2000年10月31日，我们放置了一个默认安装的Windows98系统，就象许多家庭和组织那样设置了共享。这个蜜罐系统在24小时之内就被入侵。在接下来的三天中又被入侵了四次。就是说在少于四天内它被成功地入侵了五次。在2000年5月，我们有了第一个全月的Snort入侵警告信息，Honeynet项目记录了157个Snort警告。在2001年2月，Honeynet项目记录了1398个Snort警告，表示了超过890%的增长。这些增长可能受到对Snort入侵检测系统配置文件修改的影响。然而，我们也从防火墙日志中看到了活动的增加。在2000年5月我们有了第一个全月的防火墙的警告信息，Honeynet项目防火墙记录了103个不同的扫描（不算上NetBios）。在2001年2月，Honeynet项目记录了206个不同的扫描（不算上NetBios）。这表示增加了100% 。这些数字表示了黑帽子活动的持续的增加，极有可能是因为更具攻击性的自动扫描工具的出现和它们能更容易地被得到。