快压

当前位置:首页 > 电脑技巧 > 正文

使用Honeypots同计算机蠕虫病毒作斗争

浏览次数:|更新日期:2014年08月14日

文/yangshulei
  2003年夏天,对于运行着Microsoft Windows的成千上万台主机来说简(计算机爱好者,学习计算机基础,电脑入门,请到本站,我站同时提供计算机基础知识教程,计算机基础知识试题供大家学习和使用),直就是场噩梦!也给广大网民留下了悲伤的回忆,这一些都归结于冲击波蠕虫的全世界范围的传播。这种事件也以不是第一次了,以往的Slammer, Code Red,Nimda 蠕虫同样也有着类似的破坏效果。
  这种蠕虫会在被感染的机器上自己复制,以其达到通过蔓布因特网感染其他的机器的目的。导致了人们对网络安全问题的重视。
  人们总是习惯于相同类型的系统与程序。这同达尔文的某个理论相似,单作的这使许多网络安全专家畏惧连到因特网,而遭到一种新的恶意的蠕虫的攻击,如果最近的冲击波能格式Windows 的机器的硬盘会是什么下场?虽然它没这种效果,但它可以轻易的达到那种效果,随着新的网络攻击的水平不断提高,提出一个新的解决方案必须的。
  这篇文章是说用Honeypots 同Internet 蠕虫作斗争的方法,第一部分介绍讨论关于传播广泛的蠕虫的背景知识,然后,讨论Honeypots 的一些实用的功能。最后,我们将搭建一个Honeypots来同Internet 蠕虫作斗争和反击。最后,我们将展望一下未来的观点。
  1、关于蠕虫
  简单点说,蠕虫就是有着危害的代码来攻击网上的受害主机,并在受害主机上自我复制,再攻击其他的受害主机的令人畏惧的实体。
  大多数时间, 蠕虫程序都是计算机黑客,网络安全研究人员和病毒作者写的。病毒传染基于迷惑人脆弱的部分,通过社会工程学来传播。比如,迷惑一个用户敲击一个电子邮件附件,以其达到目的。
  蠕虫主要有三种主要特性:
  感染: 通过利用脆弱感染一个目标。
  潜伏:感染当地目标远程主机。
  传播:影响的目标,再感染其他的主机。
  2、关于 honeypots
  Honeypots是一个哄骗进攻者的计算机。在一个网络上,恶意的攻击者将会攻击伪造的系统,他们使尽一些方法得到的只是一些无关的信息。
  当一个honeypot作为伪造的主机,常常哄骗进攻者时,这就意味着所有的请求到honeypot都是可怀疑的,
  honeypots 经常认为用于被动分析时,他们也能起交互式作用来处理蠕虫,两种honeypots 经常被使用。
  高级应用:一种真正的主机通常几乎牺牲(叫做傀儡主机),在一个网络在等待任何进攻者攻击。
  低级应用:服务器和/或主机是模拟的(例如Honeyd by Niels Provos)
  3、蜜罐同蠕虫的对抗
  这章的目标将是证明交互式honeypots 同蠕虫作斗争的优势,我们将明白怎么使用新的蜜罐技术来防御不同的阶段期间的蠕虫,
  3.1 蠕虫与蠕虫的感染
  蠕虫感染的阶段就是它在受害主机上自我复制攻击其他的主机。
  在这个阶段期间 ,作为防守者的蜜罐会检测非法入侵者的行为。比如,监视网络,这项技术通常被称为太公钓鱼,愿者上钩。防守者的蜜罐是一个建在网关上的,扮演着一个防火墙,或者入侵检测系统(IDS),或者是入侵防御系统(IPS)。它过滤了通过网络的流量,分析数据包的内容。然后,如果网络的地址同那些知名的攻击的指纹是否相同,在检验之后,网关将标记一定时期内的危害的源地址。因此,危害的数据包将被重定向到蜜罐中,而不是主网络中。
  对于最近的冲击波蠕虫,如果网关机器对来自外部的TCP数据包请求本地135端口,被IDS进行标记。他将被重定向到蜜罐中。我们将在第3.3章中讨论蜜罐未来的新功能。
  我们也发现了这门技术的缺点:
  1,标记总是晚于新的未知的攻击,
  2,这一概念是可靠的吗?如果因为错误的配置而系统出错,将合法的数据包发到蜜罐中该怎么办?
  3,网络速度因为网关的巨量的分析而被减慢。
  3.2 蜜罐与蠕虫的潜伏
  蜜罐技术对于对付是非常有用的,特别是扑获和分析它们。为了扑获到一个蠕虫,你可以让一台主机感染上,至少让蠕虫认为已感染上了,在前一章了,我们看到我们能用蜜罐来转向这些攻击的流量。
  蜜罐也被称为“傀儡主机”(一个正常的没有打最新补丁的漏洞主机,有被入侵的可能性)。或者模拟一个服务,注意要让她们在你的控制下不能在反弹感染其他的主机。如想获得更多的信息,请参考Honeynet Project.的建议。
  3.2.1 受害主机
  使用一个受害主机,安装着原始的操作系统和一些适当的服务,也可以通过VMWare来安装许多个操作系统,来迷惑蠕虫的攻击.
  为了扑获蠕虫,受害主机等待被感染,以至于监视网络上的流量并发现蠕虫.
  3.2.2 虚拟的主机和服务
  模拟这个虚拟的主机和服务,honeypot 通过伪造的服务能让远程的蠕虫进行接触。完成这种的程序叫做蜜罐
  为了描述这个方法,这里有一种方法来欺骗冲击波蠕虫的,它会欺骗冲击波蠕虫认为对方的Windows 主机开放着135端口,并运行着RPC DCOM 服务。
  这个简单的配置通常能成功地发现在因特网上的冲击波蠕虫。
  create default set default personality “Windows XP Pro””
  add default tcp port 135 open
  add default tcp port 4444 “”/bin/sh s cripts/WormCatcher.sh $ipsrc $ipdst””
  set default tcp action block
  set default udp action block
  这里有一个在Honeyd 发布的对每一个请求4444端口脚本程序。
  !#/bin/sh
  # Creation of a directory for every contaminated host
  # attacking the honeypot