淺談網路蜜罐技術

引言

自從網路技術大規模發展以來，各種硬體裝置都開始大規模接入網際網路，從個人PC到攝像頭、印表機等裝置。這一方面方便了人們的正常使用，但是在另一方面又暴露了攻擊路徑。攻擊者透過各種介面即可成功的進行攻擊。而之前已被大規模使用的網路防火牆、IDS以及IPS等網路阻斷技術在面對這種情況時無法進行有效應對。

現在的很多攻擊都可以殺傷鏈模型進行闡述解釋，透過偵查跟蹤、武器構建、載荷投遞、漏洞利用、安裝植入、命令&控制、目標達成的攻擊方式對目標進行攻擊。而傳統的入侵檢測、防火牆等被動防禦技術主要針對其中的單個階段進行控制，無法對全部攻擊路徑進行處理。相對於傳統防護手段，蜜罐技術可以針對全路徑進行監測。

蜜罐技術介紹

蜜罐是一種安全威脅的主動防禦技術，它透過模擬一個或多個易受攻擊的主機或服務來吸引攻擊者，捕獲攻擊流量與樣本，發現網路威脅、提取威脅特徵，蜜罐的價值在於被探測、攻陷。其在本質上來說，是一個與攻擊者進行攻防博弈的過程。蜜罐提供服務，攻擊者提供訪問，透過蜜罐對攻擊者的吸引，攻擊者對蜜罐進行攻擊，在攻擊的過程中，有經驗的攻擊者也可能識別出目標是一個蜜罐。為此，為更好的吸引攻擊者，蜜罐也需要提供強悍的攻擊誘騙能力。

依據蜜罐誘騙能力或互動能力的高低，蜜罐可分為低互動蜜罐與高互動蜜罐（在國內研究中也有低、中、高三類互動能力的分法）。低互動蜜罐主要透過模擬一些服務，為攻擊者提供簡單的互動，而高互動蜜罐模擬了整個系統與服務，它們大多是真實的系統或裝置，存在配置難，難以部署的問題。相反低互動蜜罐配置簡單，可以較容易的完成部署，但是受限於互動能力，無法捕獲高價值的攻擊。在何種場景使用何種蜜罐，就需要部署人員進行認真思考。

蜜罐系統

蜜罐系統主要包括資料捕獲、互動模擬以及安全防護三部分，結構如下圖

互動模擬面向攻擊者，主要負責與攻擊者進行互動，其透過模擬服務的方式暴露攻擊面，誘導攻擊者進行攻擊；

資料捕獲面向管理者對攻擊者不可見，透過監測網路流量、系統操作行為等，捕獲記錄攻擊者的連線資料、攻擊資料包以及惡意程式碼等高威脅高價值資料，便於後續的安全分析；

安全防護面向管理者對攻擊者不可見，透過採用操作許可權分級、阻斷、隔離等方式，防止攻擊者攻陷蜜罐系統，引起惡意利用。

反蜜罐技術對蜜罐的影響

透過部署蜜罐，可以捕捉到網際網路上大量的攻擊，但攻擊者在攻擊時，往往希望隱藏自己的攻擊行為。比如，他掌握了一種新型攻擊，但是整體攻擊的過程被安全人員偷窺，那這樣的攻擊會在較短的時間內丟失其存在的價值。因為其存在的價值是新穎的攻擊方式，防守方沒有足夠的反制措施。所以，為了避免這樣的情況，攻擊者會利用一些反蜜罐手段對將要攻擊的資源進行探測、識別，也可透過shodan搜尋的方式調查取證。

現有的反蜜罐措施主要針對低互動蜜罐，它本身具備一些指紋資訊比如軟體硬編碼或網路層指紋資訊。硬編碼特徵是低互動蜜罐在開發的過程中，引入了一些固定欄位即硬編碼特徵，導致在響應資料包中會暴露蜜罐系統，而蜜罐模擬系統對協議分片的處理不正確或協議模擬不完全都會導致出現網路層指紋資訊。攻擊者亦可利用時間延遲也可識別蜜罐，因為低互動蜜罐作為軟體執行在作業系統上層，會對資源造成消耗，增大響應時延。

也有一些反蜜罐措施是在進入蜜罐系統後，採用系統呼叫的方式，呼叫內部某些功能，依據執行的結果判斷是否是蜜罐。總之，已有的反蜜罐技術種類繁多，透過識別蜜罐網路層面、硬體層面或者軟體層面的各種指紋特徵，實現蜜罐的檢測。該類技術原理簡單但在識別低互動蜜罐方面卻常常簡單高效，網路上部署的很多蜜罐都無法透過嚴格的蜜罐識別措施。

總結

蜜罐作為一種主動防禦技術主要用來對攻擊者進行欺騙，一方面可以用來捕獲攻擊、分析攻擊，另一方面也可以用來誘捕攻擊者，從而保護真實的裝置。

本文主要對網路蜜罐技術進行了初步介紹，從網路蜜罐的作用到構成，再到反蜜罐技術對蜜罐的影響，分析了當前蜜罐技術的特性以及所面臨的問題。

同時，我也認為在一段時間內，蜜罐的設計都將圍繞著互動性的提高以及蜜罐的可部署性展開。