蜜罐技术存在哪些问题
蜜罐技术存在以下问题:
视野局限:蜜罐最大的问题就是视野的有限性,他们只能看到任何活动是直接针对他们自身的,如果某个攻击者闯入了网络中并攻击了很多系统蜜罐会意识不到这些活动的进行,除非他本身遭受到直接的攻击。如果攻击者识别出了蜜罐的所在,很容易避开该系统。蜜罐的数据收集的价值有一种显微镜效应,可以帮助使用人员密切关注价值明了的数据,但是显微镜效应会忽略掉一些发生在周围的事情。
指纹容易被识别:蜜罐的一个缺点就是其指纹容易被识别到,这种情况大多出现在商用的蜜罐中,因为商用的蜜罐系统具备一些特定的预期特征或者行为,因而能够被攻击者识别出其真实的身份情况。
自身存在安全风险:这里所说的风险,指的是一个蜜罐一且遭受了攻击,就可以被用于攻击、渗透,甚至危害其他的系统或者组织。不同的蜜罐具有不同级别的风险性。有些只会招致很低的风险,而另一些则有可能会将整个平台让攻击者以启动新的攻击。蜜罐越简单,其风险性越小。仅仅模拟几种服务的蜜罐是很难被攻破井用来攻击其他系统的。
低交互性蜜罐易被攻破:现在市场主流的蜜罐分高中低三类,诉求和解决的问题也不一样,如果要真实模拟环境,高交互蜜罐最合适,实现起来也更复杂,但是市面大部分蜜罐都低交互,稍微有点经验的黑客就能攻破;
覆盖范围小:蜜罐是被动放在那里,等待黑客自己进来,如果有多台服务器部署一台蜜罐是无法完全防护的,但因为成本问题则也无法根据服务器数量部署相同数量蜜罐;
攻击溯源困难:如果采用高交互蜜罐,黑客入侵进去以后,怎么记录所有黑客的攻击,在蜜罐里装监控,黑客很容易就能发现,而且还能 kill 该监控,一般黑客都是攻击脚本不落盘,木马程序直接内存运行,没有办法拿到黑客样本,溯源非常困难;
无法动态实时防御:蜜罐仅仅只能对攻击进行溯源、分析,不能做到根据黑客的行为,预测黑客的下一步,做到防范于未然;
未网络隔离风险增加:黑客入侵蜜罐,如果蜜罐没做任何网络隔离,可能就会通过蜜罐做横向攻击;
要使蜜罐更加安全应使蜜罐具备以下功能技术:
IP空间欺骗技术:IP空间欺骗利用计算机的多宿主能力在一块儿网卡上分配多个IP地址来增加入侵者的搜索空间来从而显著增加他们的工作量。这项技术和虚拟机技术结合可建立一个大的虚拟网段,且花费极低。蜜罐系统采用APR地址欺骗技术,探测现有网络环境中不存在的IP地址,并发送APR数据包假冒不存在的主机从而达到IP欺骗的效果,例如典型的使用这种技术的蜜罐Honeyd。
组织信息欺骗技术:如果某个组织提供有关个人和系统信息的访问,那么欺骗也必须以某种方式反映出这些信息。例如,如果组织的DNS服务器包含了个人系统拥有者及其位置的详细信息,那么你就需要在欺骗的DNS列表中具有伪造的拥有者及其位置,否则欺骗很容易被发现。而且,伪造的人和位置也需要有伪造的信息如薪水、预算和个人记录等等。
模拟系统漏洞和应用服务技术:模拟系统漏洞和应用服务为攻击者提供的交互能力比端口模拟高得多。它们可以预期一些活动,并且旨在可以给出一些端口响应无法给出的响应。譬如,可能有一种蠕虫病毒正在扫描特定的IIS漏洞,在这中情况下,可以构建一个模拟MicrosoftIISWeb服务器的honeypot,并包括通常会伴该程序的一些额外的功能或者行为。无论何时对该honeypot建立HTTP连接,它都会以一个IISWeb服务器的身份加以响应,从而为攻击者提供一个与实际的IISWeb服务器进行交互的机会。这种级别的交互比端口模拟所收集到的信息要丰富得多。
流量仿真技术:入侵者侵入系统后,他们的动作通常是小心、谨慎的。他们可能会使用一些工具分析系统的网络流量,如果发现系统少有网络流量,那系统的真实性势必会受到怀疑。流量仿真是利用各种技术产生欺骗的网络流量使流量分析不能检测到欺骗。现在主要的方法有两种。一是采用实时或重现的方式复制真正的网络流量,这使得欺骗系统与真实的系统十分相似。二是从远程伪造流量,使入侵者可以发现和利用。
模拟服务端口技术:侦听非工作的服务端口是诱骗黑客攻击的常用欺骗手段。当黑客通过端口扫描检测到系统打开了非工作的服务端口,他们很可能主动向这些端口发起连接,并试图利用已知系统或应用服务的漏洞来发送攻击代码。而蜜罐系统通过端口响应来收集所需要的信息。
网络动态配置技术:真实网络系统的状态一般会随时间而改变的,如果欺骗是静态的,那么在入侵者的长期监视下欺骗就容易暴露。因此需要动态地配置我们的系统以使其状态象真实的网络系统那样随时间而改变,从而更接近真实的系统,增加蜜罐的欺骗性。
模拟网络服务技术:网络服务往往与特定的系统漏洞联系在一起,网络服务往往是攻击者侵入系统的入口,网络服务可以吸引黑客的注意,同时也使蜜罐更接近一个真实的系统。