了解病毒之浅谈蜜罐诱骗的基础知识（下）

③ 强化系统（hardened system）

强化系统同弱化系统一样，提供一个真实的环境。不过此时的系统已经武装成看似足够安全的。当攻击者闯入时，蜜罐就开始收集信息，它能在最短的时间内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。如果攻击者具有更高的技术，那么，他很可能取代管理员对系统的控制，从而对其它系统进行攻击。

④用户模式服务器（user mode server）

用户模式服务器实际上是一个用户进程，它运行在主机上，并且模拟成一个真实的服务器。在真实主机中，每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定是实例。而用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中，当INTERNET用户向用户模式服务器的IP地址发送请求，主机将接受请求并且转发到用户模式服务器上。（我们用这样一个图形来表示一下他们之间的关系）：这种模式的成功与否取决于攻击者的进入程度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被攻陷，由于用户模式服务器是一个用户进程，那么Administrator只要关闭该进程就可以了。另外就是可以将FIREWALL,IDS集中于同一台服务器上。当然，其局限性是不适用于所有的操作系统。

6.蜜罐的信息收集

当我们察觉到攻击者已经进入蜜罐的时候，接下来的任务就是数据的收集了。数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包，就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很容易被攻击者删除，所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。（务必同时监控日志服务器。如果攻击者用新手法闯入了服务器，那么蜜罐无疑会证明其价值。）

近年来，由于黑帽子群体越来越多地使用加密技术，数据收集任务的难度大大增强。如今，他们接受了众多计算机安全专业人士的建议，改而采用SSH等密码协议，确保网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修改目标计算机的操作系统，以便所有敲入的字符、传输的文件及其它信息都记录到另一个监控系统的日志里面。因为攻击者可能会发现这类日志，蜜网计划采用了一种隐蔽技术。譬如说，把敲入字符隐藏到NetBIOS广播数据包里面。

7.蜜罐的实际例子

下面我们以Redhat linux 9.0为平台，做一个简单的蜜罐陷阱的配置。

我们知道，黑客一旦获得root口令，就会以root身份登录，这一登录过程就是黑客入侵的必经之路。其二，黑客也可能先以普通用户身份登录，然后用su命令转换成root身份，这又是一条必经之路。

我们讨论如何在以下情况下设置陷阱：

(1)当黑客以root身份登录时；

(2)当黑客用su命令转换成root身份时；

(3)当黑客以root身份成功登录后一段时间内；

第一种情况的陷阱设置

一般情况下，只要用户输入的用户名和口令正确，就能顺利进入系统。如果我们在进入系统时设置了陷阱，并使黑客对此防不胜防，就会大大提高入侵的难度系数。例如，当黑客已获取正确的root口令，并以root身份登录时，我们在此设置一个迷魂阵，提示它，你输入的口令错误，并让它重输用户名和口令。而其实，这些提示都是虚假的，只要在某处输入一个密码就可通过。黑客因此就掉入这个陷阱，不断地输入root用户名和口令，却不断地得到口令错误的提示，从而使它怀疑所获口令的正确性，放弃入侵的企图。

给超级用户也就是root用户设置陷阱，并不会给系统带来太多的麻烦，因为，拥有root口令的人数不会太多，为了系统的安全，稍微增加一点复杂性也是值得的。这种陷阱的设置时很方便的，我们只要在root用户的.profile中加一段程序就可以了。我们完全可以在这段程序中触发其他入侵检测与预警控制程序。陷阱程序如下：

# root .profile
Clear
Echo “You had input an error password , please input again !”
Echo
Echo –n “Login:”
Read p
If ( “$p” = “123456”) then
Clear
Else
Exit

第二种情况的陷阱设置

在很多情况下，黑客会通过su命令转换成root身份，因此，必须在此设置陷阱。当黑客使用su命令，并输入正确的root口令时，也应该报错，以此来迷惑它，使它误认为口令错误，从而放弃入侵企图。这种陷阱的设置也很简单，你可以在系统的/etc/profile文件中设置一个alias，把su命令重新定义成转到普通用户的情况就可以了，例如alias su=”su user1”。这样，当使用su时，系统判断的是user1的口令，而不是root的口令，当然不能匹配。即使输入su root也是错误的，也就是说，从此屏蔽了转向root用户的可能性。

第三种情况的陷阱设置

如果前两种设置都失效了，黑客已经成功登录，就必须启用登录成功的陷阱。一旦root用户登录，就可以启动一个计时器，正常的root登录就能停止计时，而非法入侵者因不知道何处有计时器，就无法停止计时，等到一个规定的时间到，就意味着有黑客入侵，需要触发必要的控制程序，如关机处理等，以免造成损害，等待系统管理员进行善后处理。陷阱程序如下：

# .testfile
times=0
while [ $times –le 30 ] do
sleep 1
times=$[times + 1]
done
halt /* 30秒时间到，触发入侵检测与预警控制 */

将该程序放入root .bashrc中后台执行：

# root . bashrc
….
Sh .testfile&

该程序不能用Ctrl-C终止，系统管理员可用jobs命令检查到，然后用kill %n将它停止。

从上述三种陷阱的设置，我们可以看到一个一般的规律：改变正常的运行状态，设置虚假信息，使入侵者落入陷阱，从而触发入侵检测与预警控制程序。

8.关键技术设计

自蜜罐概念诞生之日起，相关技术一直在长足的发展。到今天为止，蜜罐技术应用的最高度应该说是Honeynet技术的实现。

9.总结

任何事物的存在都会有利弊，蜜罐技术的发展也是伴随着各种不同的观点而不断的成长的。蜜罐技术是通过诱导让黑客们误入歧途，消耗他们的精力，为我们加强防范赢得时间。通过蜜网让我们在受攻击的同时知道谁在使坏，目标是什么。同时也检验我们的安全策略是否正确，防线是否牢固，蜜罐的引入使我们与黑客之间同处于相互斗智的平台counter-intelligence,而不是处处遭到黑枪的被动地位。我们的网络并不安全，IDS，FIREWALL，Encryption技术都有其缺陷性，我们期待它们与蜜罐的完美结合，那将是对网络安全的最好礼物。我们完全相信，蜜罐技术必将在网络安全中发挥出极其重要的作用，一场世界上声势浩大的蜜罐技术行动必将到来。