了解你的敌人:蠕虫战

　　Know Your Enemy:

　　Honeynets

　　什么是Honeynet，它的价值、运作方式、风险及相关问题

　　Honeynet Project

　　http://project.honeynet.org

　　Last Modified: 21 April, 2001

　　http://www.xfocus.org

　　在过去的几年中 Honeynet Project 专注于对网络入侵者这一群体使用的各种工具、攻击策略及目的进行研究，并且分享我们的经验，这里我们使用的主要工具就是Honeynet。本文阐述了Honeynet究竟是什么、它对安全组织的价值、它的工作方式、会带来的风险、技术难题等等。我们将使用技术手段尝试自己去了解入侵者群体。同时我们希望这里讨论的这些技术可以帮助大家更好地构建Honeynet，更好了了解我们的敌人，我们也希望各种组织能够了解Honeynet的基本状况。

什么是Honeynet

　　Honeynet可以说是一个学习工具！它是一个专门设计来让人“攻陷”的网络，一旦被入侵者所攻破，入侵者的一切信息、工具等都将被用来分析学习。其想法与honeypot相似，但两者之间还是有些不同点的：honeypot也是一个用来让人攻击的网络，通常是用来诱骗入侵者的，通常情况下，honeypot会模拟某些常见的漏洞、摸拟其它操作系统或者是在某个系统上做了设置使其成为一台“牢笼”主机。比如The Deception Toolkit(下载), CyberCop Sting, 以及 Mantrap. 是一些脚本的集合，它模拟出了一些常的系统漏洞；CyberCop Sting运行于NT平台，它模拟出多个不同系统的IP堆栈及inetd服务。Mantrap则是将Solaris系统进行了一些设置，建立起了一些“牢笼主机”。毫无疑义，这些都是相当不错的想法，但在现在的环境下，它们有些不适合了，需要更多的改进。

Honeynet与传统意义上的honeypot有两个最大的不同点在于：

　　一个Honeynet是一个网络系统，而并非某台单一主机，这一网络系统是隐藏在防火墙后面的，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据可以对我们研究分析入侵者们使用的工具、方法及动机。在这个Honeynet中，我们可以使用各种不同的操作系统及设备，如Solaris, Linux, Windows NT, Cisco Switch, 等等。这样建立的网络环境看上去会更加真实可信，同时我们还有不同的系统平台上面运行着不同的服务，比如Linux的DNS server，Windows NT的webserver或者一个Solaris的FTP server，我们可以学习不同的工具以及不同的策略——或许某些入侵者仅仅把目标定于几个特定的系统漏洞上，而我们这种多样化的系统，就可能更多了揭示出他们的一些特性。

　　在Honeynet中的所有系统都是标准的机器，上面运行的都是真实完整的操作系统及应用程序——就象你在互联网上找到的系统一样。我们没有刻意地模拟某种环境或者故意地使系统不安全。在Honeynet里面找到的存在风险的系统，与在互联网上一些公司组织的毫无二致。你可以简单地把你的操作系统放到Honeynet中，并不会对整个网络造成影响。

　　我们的Honeynet ProjectIt使用的是在互联网上最常见到的操作系统，比如默认安装的Linux, Solaris, Windows98以及Windows NT，正因为我们使用的是最常见、普通的系统，我们的研究成果才会对大多数的互联网组织有实用意义。

　　Honeynet 的价值、法律相关事务

　　传统意义上的信息安全，一般都是防御性质的，比如防火墙、入侵检测系统、加密等等，它们都是用来保护我们的信息资产的，他们的策略是，先考虑系统可能出现哪些问题，然后对问题一一进行分析解决。而Honeynet希望做到的是改变这一思路，使其更具交互性——它的主要功能是用来学习了解敌人(入侵者)的思路、工具、目的。通过获取这些技能，互联网上的组织将会更好地理解他们所遇到的威胁，并且理解如何防止这些威胁。通过honeynet，组织可以在与入侵者的“游击战争”中获得最大的主动权。

　　例如，Honeynet能够收集的信息的主要来源之一是入侵者团体之间的通信，诸如IRC（Internet在线聊天系统）。入侵者经常在彼此之间自由交谈，揭示了他们的动机，目的，和行动。我们通过使用Honeynets，已经捕获了这些谈话内容，监控了他们之间说过的每一句话，我们甚至已经捕获了与攻击我们的系统有牵连的入侵者的实时录像。这使我们能够清楚地洞察入侵者们是如何针对特定系统以及他们攻击系统的能力。你可以参见Know Your Enemy: Motives中的例子。在这份文件中，我们追踪了把一个特殊的国家作为攻击目标的一组入侵者。经过三个周的时间，我们不仅了解了他们是如何把系统作为目标和如何攻击系统的，而且更重要的是，了解了他们这样做的原因。根据这种详细的信息，我们现在能够更好的理解和防护这种常见的威胁。

　　Honeynets也为组织提供了关于他们自己的安全风险和脆弱性的一些经验。Honeynets的内容涵盖了组织在其特定环境下系统和应用软件。公司或者组织可以通过对Honeynet的学习及使用，提高增强自己的能力。例如，某家公司可能想提供一个新的网络服务器，以便其网上支付系统。其操作系统和应用程序如果能够先在一Honeynet的中得到检验以识别任何未知的风险和脆弱性，将会在很大程度上提高其可靠程度。我们自己在Honeynet的工作平台上检验IDS、防火墙等过程中就得到了相当多的经验。

　　最后，一个Honeynet能够帮助一个组织发展它的事件响应能力。在过去的两年中，我们已经极大地提高了我们检测、响应、恢复、和分析受侵害系统的能力。根据这些经验，我们已经发表了两篇文章，就是 Know Your Enemy: Forensic Analysis 和 The Forensic Challenge 其中提到的一些技巧是：如果你发现了一个受到入侵的系统，你或许可以把它当成一个挑战，使用各种技术来捕获或者分析入侵者的行为并且不被他察觉。同时，你捕获的数据也可以存储在一个攻击特征库中，今后你如果在其它事件中发现类似的特征代码，你就可以轻易地判断出其攻击方式了。

　　但是这些方法在法律上遇上了一些麻烦

诱捕的问题：

　　诱捕是一个法律术语，用于执法人员诱使一个罪犯从事一项非法行为，否则他们可能不会从事该非法行为。我们不是执法部门，我们不是在执法部门的控制下行动，而且我们甚至没有起诉的意图，所以，我们不认为安装一个Honeynet是诱捕行为。其他人将争论说我们正在提供一个“吸引人的目标”，意味着我们把不可靠的系统置于网上，以诱使人们攻击他们，从而把他们作为攻击别人的手段来使用。这也是错误的，因为我们并没有通过任何方式来宣传这些系统。如果有人发现了我们的一个系统，损害了它，并且使用它作他们不应当做的事情，那是因为他们在主动地和有意地从事这种非授权的行为。