蜜罐主机技术主要包括哪些
蜜罐主机技术主要包括以下这些:
IP空间欺骗技术:IP空间欺骗利用计算机的多宿主能力在一块儿网卡上分配多个IP地址来增加入侵者的搜索空间来从而显著增加他们的工作量。这项技术和虚拟机技术结合可建立一个大的虚拟网段,且花费极低。蜜罐系统采用APR地址欺骗技术,探测现有网络环境中不存在的IP地址,并发送APR数据包假冒不存在的主机从而达到IP欺骗的效果,例如典型的使用这种技术的蜜罐Honeyd。
组织信息欺骗技术:如果某个组织提供有关个人和系统信息的访问,那么欺骗也必须以某种方式反映出这些信息。例如,如果组织的DNS服务器包含了个人系统拥有者及其位置的详细信息,那么你就需要在欺骗的DNS列表中具有伪造的拥有者及其位置,否则欺骗很容易被发现。而且,伪造的人和位置也需要有伪造的信息如薪水、预算和个人记录等等。
模拟系统漏洞和应用服务技术:模拟系统漏洞和应用服务为攻击者提供的交互能力比端口模拟高得多。它们可以预期一些活动,并且旨在可以给出一些端口响应无法给出的响应。譬如,可能有一种蠕虫病毒正在扫描特定的IIS漏洞,在这中情况下,可以构建一个模拟MicrosoftIISWeb服务器的honeypot,并包括通常会伴该程序的一些额外的功能或者行为。无论何时对该honeypot建立HTTP连接,它都会以一个IISWeb服务器的身份加以响应,从而为攻击者提供一个与实际的IISWeb服务器进行交互的机会。这种级别的交互比端口模拟所收集到的信息要丰富得多。
流量仿真技术:入侵者侵入系统后,他们的动作通常是小心、谨慎的。他们可能会使用一些工具分析系统的网络流量,如果发现系统少有网络流量,那系统的真实性势必会受到怀疑。流量仿真是利用各种技术产生欺骗的网络流量使流量分析不能检测到欺骗。现在主要的方法有两种。一是采用实时或重现的方式复制真正的网络流量,这使得欺骗系统与真实的系统十分相似。二是从远程伪造流量,使入侵者可以发现和利用。
模拟服务端口技术:侦听非工作的服务端口是诱骗黑客攻击的常用欺骗手段。当黑客通过端口扫描检测到系统打开了非工作的服务端口,他们很可能主动向这些端口发起连接,并试图利用已知系统或应用服务的漏洞来发送攻击代码。而蜜罐系统通过端口响应来收集所需要的信息。
网络动态配置技术:真实网络系统的状态一般会随时间而改变的,如果欺骗是静态的,那么在入侵者的长期监视下欺骗就容易暴露。因此需要动态地配置我们的系统以使其状态象真实的网络系统那样随时间而改变,从而更接近真实的系统,增加蜜罐的欺骗性。
模拟网络服务技术:网络服务往往与特定的系统漏洞联系在一起,网络服务往往是攻击者侵入系统的入口,网络服务可以吸引黑客的注意,同时也使蜜罐更接近一个真实的系统。