虚拟蜜罐Honeyd的分析和研究(1)

　　关键字：蜜罐，交互性，个性，路由拓扑，模板

 

　　今天网络安全问题正日益严重。黑客利用自动化的大规模的漏洞扫描工具，可以在发现漏洞后不久就使全球的计算机系统遭受破坏。可是经过数十年的研究和探索，我们仍然不能确保计算机系统的安全，甚至无法准确评估它们的安全性。现在我们介绍一种新的网络安全预警系统：蜜罐（Honeypot）。蜜罐是指受到严密监控的网络诱骗系统，它可以迷惑敌人，将攻击从网络中比较重要的机器上转移开，对新攻击发出预警，更重要的是可以引诱黑客攻击而并对其攻击的行为和过程进行深入的分析研究。将蜜罐和入侵检测系统、防火墙等结合使用，可以有效提高系统安全性。

Honeypot分为两种类型：一种是低交互性蜜罐（Low-Interaction Honeypot），另一种是高交互性蜜罐（High-Interaction Honeypot）。

　　低交互性蜜罐通常是运行于现有操作系统上的仿真服务，只允许少量的交互动作,黑客只能在仿真服务预设的范围内动作，它的优点是结构简单，部署容易，风险很低。

　　高交互性蜜罐通常由真实的操作系统来构建，提供给黑客的是真实的系统和服务。采用这种方式可以获得大量的有用信息，包括我们完全不了解的新的网络攻击方式。同时，它也带来了更多的风险--黑客可能通过这个完全开放的真实系统去攻击和渗透网络中的其他机器。

　　配置高交互性的物理的蜜罐成本很高，因为每个蜜罐是具有自已IP地址的真实机器，要有它自已的操作系统和相应硬件。而虚拟蜜罐是由一台机器去模拟构造一个拥有的多个虚拟主机和虚拟服务的网络。相对而言，虚拟蜜罐需要较少的计算机资源和维护费用。

　　本文描述的Honeyd，就是一个在网络层次上模拟计算机系统的虚拟蜜罐框架。

　　Honeyd是一个轻型的开放源代码的虚拟蜜罐的框架，可以模拟多个操作系统和网络服务，支持IP协议族，创建任意拓扑结构的虚拟网络。同时，为了模拟拓扑分散的网络地址空间和共享负荷，该结构也支持网络通道。 

 　

图1   Honeyd的数据接收                             　 图2 Honeyd的结构

2.1网络数据的接收

　　要使Honeyd可以对目的IP地址属于虚拟蜜罐之一的网络数据包正常的接受和回应，有如下方法：对指向Honeyd主机的虚拟IP地址创建特定路由、使用ARP代理及使用网络通道。

　　如图1所示，假设10.0.0.1为我们路由器的IP地址，10.0.0.2为Honeyd主机的IP地址。10.0.0.11-14是Honeyd虚拟的蜜罐的IP地址。最简单的情况是虚拟蜜罐的IP位于我们局域网内。当从互联网向蜜罐Windows NT 4.0 发送一个包时，路由器首先查询它的路由表由找到10.0.0.13的转送地址，如果没有配置专用的路由，路由器通过ARP请求确定虚拟蜜罐的MAC地址，因为没有相应的物理机器ARP请求会不被响应，因此我们配置Honeyd主机用自己的MAC地址的对10.0.0.13的ARP请求做出反应，这样通过ARP代理路由器就把发送蜜罐Windows NT 4.0的包转到Honeyd主机的MAC地址。

　　在复杂的情况下，我们也可以应用通用路由封装（GRE）通道协议在网络地址空间和hondyd主机间建立通道。

2.2 Honeyd结构

　　Honeyd结构由几部分构成：一个配置数据库，一个中央包分配器，协议处理器，个性化引擎和随机的路由组件，见图2。

　　Honeyd支持三种主要的互联网协议：ICMP，TCP和UDP。输入的包由中央包分配器处理，它首先检测IP包的长度并验证校验，然后查询配置数据库找到与目的IP地址相对应的蜜罐配置，如果不存在专用的配置，则应用缺省模板。确定了配置后，数据包被传送给相应的协议处理器。

　　ICMP协议处理器支持大多数ICMP请求。缺省时，对ECHO请求做出反应并给出目的地址不可达的信息。对TCP和UDP来说，该结构能为任意的服务建立连接，服务是在STDIN上接受数据并把输出发送到STDOUT的外部应用。Honeyd包含一个简化的TCP状态机，完全支持三次握手（Three-way Handshake）的建立连接和通过FIN或RST撤消连接，但是接受器和拥塞窗口管理没有完全实现。UDP数据报直接传到应用，当收到一个发往封闭端口的UDP包的时候，默认发出一个ICMP端口不可达的信息。

　　Honeyd结构也支持连接的重定向，重定向可以是静态的或依赖于连接四元组（源地址，源端口，目的地址，目的端口）。重定向允许我们把虚拟蜜罐上的一个服务连接请求转递给一个在真正的服务器上运行的服务，例如，我们可以把DNS请求重指向一个域名服务器甚至可以把连接反传给敌人。