Honeypot技术

　　
近几年来，很少有人会否认信息安全已经成为网络管理员所面对的最严重问题。管理员必须花费大量的时间来确保他的网络已经安装了最新的安全补丁以及_blank">防火墙，同时入侵检测系统也能够记录所有的可疑活动。不幸的是，当前的_blank">防火墙和入侵检测系统已经不再像以前那样有效了，因为随着网络的不安全因素的增多，_blank">防火墙和入侵检测系统的日志内容也日益庞大，甚至有些系统每天的日志量就达1GB。在这个少花钱多办事的世界里，企业再也没有过多的人力用来每天处理如此大量的日志内容了。
并不是说_blank">防火墙日志和入侵检测系统的报告是毫无价值的。事实上它们确实认真地履行了各自的任务。不过当你看到如此大量的信息和报告，而其中大部分都是对系统没有威胁的无目的的扫描时，你肯定会感到很沮丧。难道真的没有一种更好的安全防范方法么？这里给大家介绍Honeypot技术。
Honeypot 是一个故意设计为有缺陷的系统，通常是用来对入侵者的行为进行警报或者诱骗。传统的 Honeypot 是一般情况下类比其他作业系统或者一些常见漏洞，而 Honeynet则有所不同，它是一个学习的工具，下面是它们之间两个最大的区别所在：
● 根据 Snort creator Marty Roesch. Marty   我们可以把 HoneyPot 广义的分成二类：这二类为产品及研究，所谓产品式 HoneyPot 即为帮助组织减少风险和增加组织里的安 全评量。而研究式则为要获得在骇客社群里的相关资讯所设置的。
● Honeynet 是一个网路系统，而并非某台单一主机，这一网路系统是隐藏在防火墙後面的，所有进出的资料都受到监控、捕获及控制。这些被捕获的资料可以对我们研究分析入侵者们使用的工具、方法及动机。在这个Honeynet中，我们可以使用各种不同的作业系统及设备，如 Solaris, Linux, Windows NT, Cisco Switch 等等。这样建立的网路环境看上去会更加真实可信，同时我们还有不同的系统平台上面运行着不同的服务，比如 Linux 的 DNS server，Windows NT 的webserver 或者一个 Solaris 的FTP server，我们可以学习不同的工具以及不同的策略--或许某些入侵者仅仅把目标定於几个特定的系统漏洞上，而我们这种多样化的系统，就可能更多了揭示出他们的一些特性。
● 在 Honeynet 中的所有系统都是标准的机器，上面运行的都是真实完整的作业系统及应 用程式--我们没有刻意地模彷某种环境或者故意使系统不安全。

Honeynet是一个用来学习的骇客如何入侵系统的工具，包含了设计好的网路系统。
   Honeynet 和 Honeypot 最为人所知的差异是 Honeypot 通常是指一台机器，在上面常见的软体有 The Deception Toolkig or Specter，而 honeynet 是一个电脑所组成的网路。最常见的 Honeynet 建置元素有：
● 防火墙，它记录了所有进出的连线且提供了 NAT 的服务和 DOS 的保护。
● 入侵侦侧系统(IDS)，IDS和防火墙有时会放置在同一个位置，它记录了网路上的流量且寻找攻击和入侵的线索。
● 远端日志电脑，稍微的修改成所有的入侵者的指令能够传送到系统日志。系统日志通常设定成远端的系统日志。
● HoneyPot，我们设定好的Honeypot可为任何作业系统，当设定 Honeypot 时，能做小小的改变，以免入侵者查觉到这是一个 Honeynet。
      Honeynet 是一个很有价值的研究，学习和教育的工具，藉着这个工具使我们能了解到入侵者的攻击方式，以便未来能侦测到入侵。从Honeynet 所收集来的资讯能被分析且能监视攻击的趋势。这些资讯也可被用教作教育训练。
一般而言，建置 HoneyPot 大多有两个原因：
1.学习入侵者如何侦测和企图获得系统的存取权限，当骇客的行为被记录下来之後，我们就可以藉此分析，来找出更好的方法来保护我们真实的系统。
2.对於逮补入侵者所需的证据，这类的资讯在法庭上都需要作为控告人侵者的证据。

Honeypot[/b]的真实技术vs[/b]虚拟技术：[/b]
对于真实或是虚拟honeypot的选择方面，你需要考虑的是风险和回报。虚拟honeypot比较廉价，但也有一定安全风险，它在抓住黑客方面做得没有真实的honeypot好。另一方面，虽然真实的honeypot在入侵检测方面比虚拟honeypot好很多，但最顶级的黑客有可能利用真实的honeypot接管你的网络。

虚拟honeypot [/b]的优势[/b]
?虚拟honeypot说白了是一个仿真程序。比如虚拟honeypot一般可以仿真FTP服务器，并监视所有的TCP和UDP端口并记录所有端口的活动情况。当黑客发现这个虚假的（他本人不知道）FTP时，就会试图开启一个FTP对话。这时虚拟FTP服务器（虚拟honeypot）就会记录下这个黑客的所有活动。比如honeypot会记录下哪个端口被使用、采用何种认证机制等。而虚拟FTP服务器会和真正的FTP服务器一样对黑客的行为作出响应。更好的是，由于这是个虚拟的FTP服务器，它没有真正的操作系统，因此就算黑客攻入了FTP，也不会进一步控制你网络中的其它电脑。
理论上说，这个方法相当好，它使用起来相当安全，并且可以捕获大量的有用信息。比如，如果获取了黑客登录时的凭证，你就可以查出到底是哪个帐户被攻击了，这样就可以作出相应的补救动作。不过它的全部优势也就是这些了。

虚拟honeypot[/b]的劣势 [/b]
     对于虚拟honeypot来说，有两点最主要的不足。首先，它只能愚弄那些初级黑客。你要记住，虚拟honeypot并没有一个真正的操作系统支撑（有的解决方案中内嵌了简单的Windows或Linux）。因此有经验的黑客会发现很多命令在这台主机中不起作用。这会使他立即知道自己进入的只是一台honeypot，而不是真正的服务器。
虚拟honeypot的另一个不足是它记录的信息种类有限。比如一个虚拟honeypot伪装成FTP服务器，那么它就只能获取和FTP相关的信息。当然，大部分虚拟honeypot还可以获取端口扫描和其它一些基本的攻击信息。然而，如果一个黑客利用IPv6端口发送加密的信息又会如何呢？由于虚拟honeypot功能有限，它无法记录这类的问题。简单说，虚拟honeypot可以检测并记录已知的攻击种类，但对于新型的攻击却没什么用处。

真实honeypot[/b]的优势 [/b]
     一个真正的honeypot，是一个或多个真实的系统组成的诱饵系统。由于它是带有操作系统的真实系统，因此它对于黑客的操作响应与网络上其它主机完全一样。这有好处也有坏处。好处是，黑客几乎不可能察觉到他们已经进入了一个陷阱，而不是真正的实用网络。实际上，唯一能让黑客起疑心的现象就是那些不太完善的honeypot网络没有采取任何正常的安全更新措施。
     真实的honeypot最大的优点就在于入侵检测能力。系统会假定任何发送到honeypot网络的数据都是带有恶意的，因此完全不用担心黑客会采用什么新方法而不被honeypot捕获。黑客的任何操作都会被真实的honeypot记录下来。
真实honeypot[/b]的劣势 [/b]
     真实的honeypot也有不足，它有可能被高级黑客征服而变为进攻你的正常网络的跳板。为了防止这种情况，你需要在honeypot网络与正常网络间架设_blank">防火墙，以阻挡二者间的任何数据通信。更复杂的Linux honeypot带有防止黑客入侵正常网络的功能，而对于Windows上的honeypot，目前还没有类似的功能。
真实明显优于虚拟 [/b]
     从多种环境考虑，真实的honeypot比虚拟honeypot更具优势。不过在你购买真实honeypot之前，你应该了解一下它的成本。除了购买机器外，你还需要购买操作系统以及其它安装在真实honeypot上的软件。最后你还要做好真实的honeypot会被最顶尖的黑客攻破的准备。
HoneyPot [/b]所面临法律相关问题[/b]
● 诱捕的问题：
  诱捕是一个法律术语，用於执法人员诱使一个罪犯从事一项非法行为，否则他们可能不会从事该非法行为。我们不是执法部门，我们不是在执法部门的控制下行动，而且我们甚至没有起诉的意图，所以，我们不认为安装一个 Honeynet 是诱捕行为。其他人将争论说我们正在提供一个"吸引人的目标"，意味着我们把不可靠的系统置於网上，以诱使人们攻击他们，从而把他们作为攻击别人的手段来使用。这也是错误的，因为我们并没有通过任何方式来宣传这些系统。如果有人发现了我们的一个系统，损害了它，并且使用它作他们不应当做的事情，那是因为他们在主动地和有意地从事这种非授权的行为。
● 保密的问题：
  而关於这些活动有一些道德上的和伦理上的问题，最近由美国司法局，刑事庭，受理上诉的法官裁定，反对对於在电脑入侵和欺骗的犯罪案件中，对侵犯隐私权进行辩护。包括下面一些问题：
  1. 入侵这些系统的人是未经授权的，如果他们把任何文件置於系统上（当他们没有合法的帐号或使用特权时），我们认为他们已经不能保有在我们系统上的隐私权。
  2. 通过使用我们的系统进行通讯，他们就已经在通讯中放弃了他们的隐私权。
  3. 我们不提供公用的帐号，所以我们不是一个服务供应商，不受为服务供应商所设计的保密要求的限制。
  4. 不管怎样，我们不是执法部门，我们也不是在执法部门的控制下行动，或甚至起诉入侵我们系统的入侵者，所以，我们不受证据收集规定的限制，而执法部门和他们的执法人员却要受到其限制。
  5. 即使我们真的目击了一起严重的电脑犯罪，并且决定告发它，我们收集日志和记录网路流量，将其作为一个"商业运营"的常规过程，如果我们决定告发的时候，我们可以自由地将其交给执法部门。
HoneyPot[/b]的优点与缺点[/b]
优点[/b]：
1. 资料收集
   Honeypots 收集少量的资料，但资料都是具有高价值的。它去除了大量的杂讯，使它能
   够简单的收集资料。在安全上中的最好的问题之一，就是如何在大量的资料当中，找到
   你所需要的资料，HoneyPot 能使你快速简单地去收集资料并且了解。比如
   HoneyNet Project，它是一个研究 honeypot 的团队，平垮每天收集 1-5MB 的资料，
   这些资讯一般都是很有价值的，不只能看到网路上的行动，并且能得知入侵者如何入侵
   这个系统。
2. 资源
   许多安全工具会被频宽所限制住。网路入侵侦测装置不能够去追踪所有的网路行为，而丢弃封包。集中化的日志伺服器并无法收集所有的系统日志，而潜在地流失日志记录。Honeypots 则没有这个问题，它仅仅去截取对於他有关系的动作。
缺点[/b]：
1. 单一资料收集点
   HoneyPots 放置一个很大的系统漏洞，如果没有攻击者来攻击，即变得一点价值都没有，也无法得知任何未授权的行为。
2. 风险
   HoneyPots 对於你的环境也能够招致风险，作为攻击者另外一次攻击的平台，风险是变
   动性的，全依靠如何建置及如何利用 Honeypots。