虚拟攻防系统 HoneyPot

转载原地址 http://www.2cto.com/Article/200410/9.html

Honeypot 是一个故意设计为有缺陷的系统，通常是用来对入侵者的行为进行警报或者 
诱骗。传统的 Honeypot 是一般情况下类比其他作业系统或者一些常见漏洞，而 Honeynet 
则有所不同，它是一个学习的工具，下面是它们之间两个最大的区别所在：

● 根据 Snort creator Marty Roesch. Marty 我们可以把 HoneyPot 广义的分成二类： 
这二类为产品及研究，所谓产品式 HoneyPot 即为帮助组织减少风险和增加组织里的安 
全评量。而研究式则为要获得在骇客社群里的相关资讯所设置的。

● Honeynet 是一个网路系统，而并非某台单一主机，这一网路系统是隐藏在防火墙後面 
的，所有进出的资料都受到监控、捕获及控制。这些被捕获的资料可以对我们研究分析 
入侵者们使用的工具、方法及动机。在这个Honeynet中，我们可以使用各种不同的作业 
系统及设备，如 Solaris Linux Windows NT Cisco Switch 等等。这样建立的网路 
环境看上去会更加真实可信，同时我们还有不同的系统平台上面运行着不同的服务，比 
如 Linux 的 DNS server，Windows NT 的webserver 或者一个 Solaris 的FTP server 
，我们可以学习不同的工具以及不同的策略--或许某些入侵者仅仅把目标定於几个特定 
的系统漏洞上，而我们这种多样化的系统，就可能更多了揭示出他们的一些特性。

● 在 Honeynet 中的所有系统都是标准的机器，上面运行的都是真实完整的作业系统及应 
用程式--我们没有刻意地模彷某种环境或者故意使系统不安全。 
Honeynet是一个用来学习的骇客如何入侵系统的工具，包含了设计好的网路系统。

Honeynet 和 Honeypot 最为人所知的差异是 Honeypot 通常是指一台机器，在上面常见的 
软体有 The Deception Toolkig or Specter，而 honeynet 是一个电脑所组成的网路。最 
常见的 Honeynet 建置元素有：

● 防火墙，它记录了所有进出的连线且提供了 NAT 的服务和 DOS 的保护。 
● 入侵侦侧系统(IDS)，IDS和防火墙有时会放置在同一个位置，它记录了网路上的流量且 
寻找攻击和入侵的线索。 
● 远端日志电脑，稍微的修改成所有的入侵者的指令能够传送到系统日志。系统日志通常 
设定成远端的系统日志。 
● HoneyPot，我们设定好的Honeypot可为任何作业系统，当设定 Honeypot 时，能做小小 
的改变，以免入侵者查觉到这是一个 Honeynet。

Honeynet 是一个很有价值的研究，学习和教育的工具，藉着这个工具使我们能了解到 
入侵者的攻击方式，以便未来能侦测到入侵。从Honeynet 所收集来的资讯能被分析且能监 
视攻击的趋势。这些资讯也可被用教作教育训练。

一般而言，建置 HoneyPot 大多有两个原因：

1.学习入侵者如何侦测和企图获得系统的存取权限，当骇客的行为被记录下来之後，我们 
就可以藉此分析，来找出更好的方法来保护我们真实的系统。 
2.对於逮补入侵者所需的证据，这类的资讯在法庭上都需要作为控告人侵者的证据。

HoneyPot 所面临法律相关问题

● 诱捕的问题：

诱捕是一个法律术语，用於执法人员诱使一个罪犯从事一项非法行为，否则他们可能不 
会从事该非法行为。我们不是执法部门，我们不是在执法部门的控制下行动，而且我们 
甚至没有起诉的意图，所以，我们不认为安装一个 Honeynet 是诱捕行为。其他人将争 
论说我们正在提供一个"吸引人的目标"，意味着我们把不可靠的系统置於网上，以诱使 
人们攻击他们，从而把他们作为攻击别人的手段来使用。这也是错误的，因为我们并没 
有通过任何方式来宣传这些系统。如果有人发现了我们的一个系统，损害了它，并且使 
用它作他们不应当做的事情，那是因为他们在主动地和有意地从事这种非授权的行为。

● 保密的问题：

而关於这些活动有一些道德上的和伦理上的问题，最近由美国司法局，刑事庭，受理上 
诉的法官裁定，反对对於在电脑入侵和欺骗的犯罪案件中，对侵犯隐私权进 
 行辩护。包 
括下面一些问题：

1. 入侵这些系统的人是未经授权的，如果他们把任何文件置於系统上（当他们没有合法 
的帐号或使用特权时），我们认为他们已经不能保有在我们系统上的隐私权。 
2. 通过使用我们的系统进行通讯，他们就已经在通讯中放弃了他们的隐私权。 
3. 我们不提供公用的帐号，所以我们不是一个服务供应商，不受为服务供应商所设计的 
保密要求的限制。 
4. 不管怎样，我们不是执法部门，我们也不是在执法部门的控制下行动，或甚至起诉入 
侵我们系统的入侵者，所以，我们不受证据收集规定的限制，而执法部门和他们的执 
法人员却要受到其限制。 
5. 即使我们真的目击了一起严重的电脑犯罪，并且决定告发它，我们收集日志和记录网 
路流量，将其作为一个"商业运营"的常规过程，如果我们决定告发的时候，我们可以 
自由地将其交给执法部门。

HoneyPot的优点与缺点

优点：

1. 资料收集

Honeypots 收集少量的资料，但资料都是具有高价值的。它去除了大量的杂讯，使它能 
够简单的收集资料。在安全上中的最好的问题之一，就是如何在大量的资料当中，找到 
你所需要的资料，HoneyPot 能使你快速简单地去收集资料并且了解。比如 
HoneyNet Project，它是一个研究 honeypot 的团队，平垮每天收集 1-5MB 的资料， 
这些资讯一般都是很有价值的，不只能看到网路上的行动，并且能得知入侵者如何入侵 
这个系统。

2. 资源

许多安全工具会被频宽所限制住。网路入侵侦测装置不能够去追踪所有的网路行为，而 
丢弃封包。集中化的日志伺服器并无法收集所有的系统日志，而潜在地流失日志记录。 
Honeypots 则没有这个问题，它仅仅去截取对於他有关系的动作。

缺点：

1. 单一资料收集点

HoneyPots 放置一个很大的系统漏洞，如果没有攻击者来攻击，即变得一点价值都没有 
，也无法得知任何未授权的行为。

2. 风险

HoneyPots 对於你的环境也能够招致风险，作为攻击者另外一次攻击的平台，风险是变 
动性的，全依靠如何建置及如何利用 Honeypots。