网络安全开源蜜罐

① 蜜罐程序有什么作用

简单的说就是误导黑客攻击的一个程序

② 如何搭建蜜罐

搭建一个基于Unix系统的蜜罐网络相对说来需要比较多系统维护和网络安全知识的基础，但是做一个windows系统的蜜罐的门槛就比较低，今天我们就一起尝试搭建一个windows下的蜜罐系统。由于win和Unix系统不一样，我们很难使用有效的工具来完整的追踪入侵者的行为，因为win下有各式各样的远程管理软件(VNC,remote-anything)，而对于这些软件，大部分杀毒软件是不查杀他们的，而我们也没有象LIDS那样强大的工具来控制Administrator的权限，相对而言，蜜罐的风险稍微大了点，而且需要花更加多的时间和精力。先介绍一下我们需要的软件vpc Virtual pc，他是一个虚拟操作系统的软件，当然你也可以选择vmware. ActivePerl-5.8.0.805-MSWin32-x86.msi windows下的perl解析器 evtsys_exe.zip 一个把系统日志发送到log服务器的程序 comlog101.zip 一个用perl写的偷偷记录cmd.exe的程序，不会在进程列表中显示，因为入侵者运行的的确是cmd.exe :) Kiwi_Syslog_Daemon_7 一个很专业的日志服务器软件 norton antivirus enterprise client 我最喜欢的杀毒软件，支持win2k server。当然，如果你觉得其他的更加适合你，你有权选择 ethereal-setup-0.9.8.exe Ethereal的windows版本，Ethereal是*nix下一个很出名的sniffer，当然，如果你已经在你的honeynet中布置好了 sniffer,这个大可不必了，但是本文主要还是针对Dvldr 蠕虫的，而且ethereal的decode功能很强，用他来获取irc MSG很不错的 WinPcap_3_0_beta.exe ethereal需要他的支持。 md5sum.exe windows下用来进行md5sum校验的工具 windows 2000 professional的ISO镜象 用vpc虚拟操作系统的时候需要用到他 Dvldr蠕虫简介他是一个利用windows 2000/NT弱口令的蠕虫。该蠕虫用所带的字典暴力破解随机生成的ip的机器，如果成功，则感染机器，并植入VNC修改版本，并向一个irc列表汇报已经感染主机的信息，同时继续向其他机器感染。可以访问郑州大学网络安全园或者关于他更详细的信息。一：安装一个win2k pro，具体的安装方法本文就省略了，打上所有的补丁，只留一个漏洞，就是dvldr蠕虫需要的administrator的空密码。二：安装norton antivirus enterprise client，升级到最新的病毒库，并启动实时监控三：用cmdlog替换cmd.exe程序,把comlog101.zip解压缩后有五个文件cmd.exe,cmd101.pl,COMLOG.txt,MD5.txt,README.txt,其中cmdlog.txt和readme.txt都是说明文件，md5.txt包含这五个文件的md5校验和的值，我们可以使用md5sum.exe工具来检测一下他们是否遭受修改：D:comlog101>md5sum.exe * md5sum.exe: .: Permission denied md5sum.exe: ..: Permission denied *cmd.exe *com101.pl *comlog.txt *md5.txt *md5sum.exe *README.TXT 把这些数字和md5.txt的数字对比，如果出现不一致，就证明程序遭受修改，请勿使用。

③ 关于网络中所说的密罐是什么意思

1．蜜罐的定义。关于蜜罐，到目前为止还没有一个完整的定义。“蜜网项目组”的创始人Lance Spitzner对蜜罐给出了一个比较权威的定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并没有其他的实际作用，所有流人和流出蜜罐的网络流量都可能预示着扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。实际上，蜜罐中只有一些虚假的敏感数据，不用于对外的正常服务。所以，它可以是一个网络、一台主机、一项服务，也可以是数据库中的某些无用的数据或者伪装的用户名及其弱口令等，因此任何与它交互的行为都可以被认为是攻击行为，这样就简化了检测过程，它可以部署在各个内部子网或关键主机上，检测来自网络系统外部和内部的各种攻击，用一种以检测、监视和捕获攻击行为和保护真实主机为目标的诱骗技术。
2．蜜罐的基本原理。蜜罐系统是一个陷阱系统，它通过设置一个具有很多漏洞的系统吸引黑客入侵，收集入侵者信息，为其他安全技术提供更多的知识。蜜罐采用监视器和事件日志两个工具对访问蜜罐系统的行为进行监控。由于蜜罐是一个很具有诱惑力的系统，能够分散黑客的注意力和精力，所以对真正的网络资源起到保护作用。
3．蜜罐的主要技术。蜜罐系统主要涉及网络欺骗技术、数据捕获技术、数据控制技术p湍1：3重定向)、攻击分析与特征提取等主要技术。(1)网络欺骗技术：是蜜罐的核心技术，利用各种欺骗手段和安全弱点和系统漏洞，引诱黑客的攻击。(2)数据捕获技术：主要目的是尽可能多的捕获攻击信息，而不被黑客发现，包括输入、输出及键盘和屏幕的捕获。(3)数据控制技术：主要目的是防止黑客将蜜罐作为跳板去攻击其他系统或危害别的主机，因此必须控制进出系统的数据流量而不被黑客怀疑。(4)攻击分析与特征提取：蜜罐系统设置一个数据分析模块，在同一控制台对收集到的所有信息进行分析、综合和关联，完成对蜜罐攻击信息的分析。

④ 什么是“蜜罐技术”

说白了就是安排一台电脑当作肉弹，顶在最危险的地方。黑客往往会攻击这个肉弹，而放弃攻击其他电脑。这样就可以保护其他电脑了，同时利用黑客在肉弹上的一些记录可以反跟踪黑客。

⑤ 蜜罐的意思什么

在网络安全中，蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

⑥ 蜜罐技术的简介

首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值;而后者，根本就是送给入侵者的礼物，即使被入侵也不一定查得到痕迹……因此，蜜罐的定义是:“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。”
设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 蜜罐是用来给黑客入侵的，它必须提供一定的漏洞，但是我们也知道，很多漏洞都属于“高危”级别，稍有不慎就会导致系统被渗透，一旦蜜罐被破坏，入侵者要做的事情是管理员无法预料的，例如，一个入侵者成功进入了一台蜜罐，并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人，那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。
设陷技术关系到设置这台蜜罐的管理员的技术，一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏，由此导致的后果将十分严重。
由于蜜罐属于记录设备，所以它有可能会牵涉到隐私权问题，如果一个企业的管理员恶意设计一台蜜罐用于收集公司员工的活动数据，或者偷偷拦截记录公司网络通讯信息，这样的蜜罐就已经涉及法律问题了。
对于管理员而言，最倒霉的事情就是蜜罐被入侵者成功破坏了。有人也许会认为，既然蜜罐是故意设计来“牺牲”的，那么它被破坏当然合情合理，用不着小题大做吧。对，蜜罐的确是用来“受虐”的，但是它同时也是一台连接网络的计算机，如果你做的一台蜜罐被入侵者攻破并“借”来对某大学服务器进行攻击，因此引发的损失恐怕只能由你来承担了。还有一些责任是谁也说不清的，例如，你做的一台蜜罐不幸引来了Slammer、Sasser、Blaster等大名鼎鼎的“爬虫类”病毒而成了传播源之一，那么这个责任谁来负担? 世界上不会有非常全面的事物，蜜罐也一样。根据管理员的需要，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，而不是盲目设置来无聊的，因此，就产生了多种多样的蜜罐……
3.1.实系统蜜罐
实系统蜜罐是最真实的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是最初的，没有任何SP补丁，或者打了低版本SP补丁，根据管理员需要，也可能补上了一些漏洞，只要值得研究的漏洞还存在即可。然后把蜜罐连接上网络，根据目前的网络扫描频繁度来看，这样的蜜罐很快就能吸引到目标并接受攻击，系统运行着的记录程序会记下入侵者的一举一动，但同时它也是最危险的，因为入侵者每一个入侵都会引起系统真实的反应，例如被溢出、渗透、夺取权限等。
3.2.伪系统蜜罐
什么叫伪系统呢?不要误解成“假的系统”，它也是建立在真实系统基础上的，但是它最大的特点就是“平台与漏洞非对称性”。
大家应该都知道，世界上操作系统不是只有Windows一家而已，在这个领域，还有Linux、Unix、OS2、BeOS等，它们的核心不同，因此会产生的漏洞缺陷也就不尽相同，简单的说，就是很少有能同时攻击几种系统的漏洞代码，也许你用LSASS溢出漏洞能拿到Windows的权限，但是用同样的手法去溢出Linux只能徒劳。根据这种特性，就产生了“伪系统蜜罐”，它利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”，入侵这样的“漏洞”，只能是在一个程序框架里打转，即使成功“渗透”，也仍然是程序制造的梦境——系统本来就没有让这种漏洞成立的条件，谈何“渗透”?实现一个“伪系统”并不困难，Windows平台下的一些虚拟机程序、Linux自身的脚本功能加上第三方工具就能轻松实现，甚至在Linux/Unix下还能实时由管理员产生一些根本不存在的“漏洞”，让入侵者自以为得逞的在里面瞎忙。实现跟踪记录也很容易，只要在后台开着相应的记录程序即可。
这种蜜罐的好处在于，它可以最大程度防止被入侵者破坏，也能模拟不存在的漏洞，甚至可以让一些Windows蠕虫攻击Linux——只要你模拟出符合条件的Windows特征!但是它也存在坏处，因为一个聪明的入侵者只要经过几个回合就会识破伪装，另者，编写脚本不是很简便的事情，除非那个管理员很有耐心或者十分悠闲。 既然蜜罐不是随随便便做来玩的，管理员自然就不会做个蜜罐然后让它赋闲在家，那么蜜罐做来到底怎么用呢?
4.1.迷惑入侵者，保护服务器
一般的客户/服务器模式里，浏览者是直接与网站服务器连接的，换句话说，整个网站服务器都暴露在入侵者面前，如果服务器安全措施不够，那么整个网站数据都有可能被入侵者轻易毁灭。但是如果在客户/服务器模式里嵌入蜜罐，让蜜罐作为服务器角色，真正的网站服务器作为一个内部网络在蜜罐上做网络端口映射，这样可以把网站的安全系数提高，入侵者即使渗透了位于外部的“服务器”，他也得不到任何有价值的资料，因为他入侵的是蜜罐而已。虽然入侵者可以在蜜罐的基础上跳进内部网络，但那要比直接攻下一台外部服务器复杂得多，许多水平不足的入侵者只能望而却步。蜜罐也许会被破坏，可是不要忘记了，蜜罐本来就是被破坏的角色。
在这种用途上，蜜罐不能再设计得漏洞百出了。蜜罐既然成了内部服务器的保护层，就必须要求它自身足够坚固，否则，整个网站都要拱手送人了。
4.2.抵御入侵者，加固服务器
入侵与防范一直都是热点问题，而在其间插入一个蜜罐环节将会使防范变得有趣，这台蜜罐被设置得与内部网络服务器一样，当一个入侵者费尽力气入侵了这台蜜罐的时候，管理员已经收集到足够的攻击数据来加固真实的服务器。
采用这个策略去布置蜜罐，需要管理员配合监视，否则入侵者攻破了第一台，就有第二台接着承受攻击了……
4.3.诱捕网络罪犯
这是一个相当有趣的应用，当管理员发现一个普通的客户/服务器模式网站服务器已经牺牲成肉鸡的时候，如果技术能力允许，管理员会迅速修复服务器。那么下次呢?既然入侵者已经确信自己把该服务器做成了肉鸡，他下次必然还会来查看战果，难道就这样任由他放肆?一些企业的管理员不会罢休，他们会设置一个蜜罐模拟出已经被入侵的状态，做起了姜太公。同样，一些企业为了查找恶意入侵者，也会故意设置一些有不明显漏洞的蜜罐，让入侵者在不起疑心的情况下乖乖被记录下一切行动证据，有些人把此戏称为“监狱机”，通过与电信局的配合，可以轻易揪出IP源头的那双黑手。

⑦ 蜜罐技术的工作原理

来源

最初出现在1990 年出版的一本小说《The Cuckoo’s Egg》
中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起
商业间谍案的故事。“蜜网项目组”（The Honeynet Project）的创始人Lance Spitzner
给出了对蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和
攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网络流
量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进
行监视、检测和分析。
[编辑本段]蜜罐技术的发展历程

蜜罐技术的发展历程分为以下三个阶段。
从九十年代初蜜罐概念的提出直到1998 年左右，“蜜罐”还仅仅限于一种思
想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一阶段的蜜罐
实质上是一些真正被黑客所攻击的主机和系统。
从1998 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出
一些专门用于欺骗黑客的开源工具，如Fred Cohen 所开发的DTK（欺骗工具包）、
Niels Provos 开发的Honeyd 等，同时也出现了像KFSensor、Specter 等一些商业
蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模
拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。
虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。
但是由于虚拟蜜罐工具存在着交互程度低，较容易被黑客识别等问题，从
2000 年之后，安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭
建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的
工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追
踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。
[编辑本段]按照其部署目的分

蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类，产品型蜜罐的
目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及
帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署，而
且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd
等开源工具和KFSensor、ManTraq 等一系列的商业产品。研究型蜜罐则是专门
用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行追踪和分
析，能够捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法，甚至
能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。研究型蜜罐需要
研究人员投入大量的时间和精力进行攻击监视和分析工作，具有代表性的工具是
“蜜网项目组”所推出的第二代蜜网技术。
[编辑本段]按照其交互度的等级划分

蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐，交互度反
应了黑客在蜜罐上进行攻击活动的自由度。低交互蜜罐一般仅仅模拟操作系统和
网络服务，较容易部署且风险较小，但黑客在低交互蜜罐中能够进行的攻击活动
较为有限，因此通过低交互蜜罐能够收集的信息也比较有限，同时由于低交互蜜
罐通常是模拟的虚拟蜜罐，或多或少存在着一些容易被黑客所识别的指纹
（Fingerprinting）信息。产品型蜜罐一般属于低交互蜜罐。高交互蜜罐则完全提
供真实的操作系统和网络服务，没有任何的模拟，从黑客角度上看，高交互蜜罐
完全是其垂涎已久的“活靶子”，因此在高交互蜜罐中，我们能够获得许多黑客
攻击的信息。高交互蜜罐在提升黑客活动自由度的同时，自然地加大了部署和维
护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐，也有部分蜜罐产
品，如ManTrap，属于高交互蜜罐。
[编辑本段]蜜罐技术的优点

?? 收集数据的保真度，由于蜜罐不提供任何实际的作用，因此其收集到的
数据很少，同时收集到的数据很大可能就是由于黑客攻击造成的，蜜罐
不依赖于任何复杂的检测技术等，因此减少了漏报率和误报率。
?? 使用蜜罐技术能够收集到新的攻击工具和攻击方法，而不像目前的大部
分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。
?? 蜜罐技术不需要强大的资源支持，可以使用一些低成本的设备构建蜜罐，
不需要大量的资金投入。
?? 相对入侵检测等其他技术，蜜罐技术比较简单，使得网络管理人员能够
比较容易地掌握黑客攻击的一些知识。
[编辑本段]蜜罐技术的缺点

?? 需要较多的时间和精力投入。
?? 蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限，
不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。
?? 蜜罐技术不能直接防护有漏洞的信息系统。
?? 部署蜜罐会带来一定的安全风险。
部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为
跳板从而对第三方发起攻击。一旦黑客识别出蜜罐后，他将可能通知黑客社团，
从而避开蜜罐，甚至他会向蜜罐提供错误和虚假的数据，从而误导安全防护和研
究人员。防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹，并使得蜜罐与真实
的漏洞主机毫无差异。蜜罐隐藏技术和黑客对蜜罐的识别技术（Anti-Honeypot）
之间相当于一个博弈问题，总是在相互竞争中共同发展。另外，蜜罐技术的初衷
即是让黑客攻破蜜罐并获得蜜罐的控制权限，并跟踪其攻破蜜罐、在蜜罐潜伏等
攻击行为，但我们必须防止黑客利用蜜罐作为跳板对第三方网络发起攻击。为了
确保黑客活动不对外构成威胁，必须引入多个层次的数据控制措施，必要的时候
需要研究人员的人工干预。

7.蜜罐的实际例子

下面我们以Redhat linux 9.0为平台，做一个简单的蜜罐陷阱的配置。

我们知道，黑客一旦获得root口令，就会以root身份登录，这一登录过程就是黑客入侵的必经之路。其二，黑客也可能先以普通用户身份登录，然后用su命令转换成root身份，这又是一条必经之路。

我们讨论如何在以下情况下设置陷阱：

(1)当黑客以root身份登录时；

(2)当黑客用su命令转换成root身份时；

(3)当黑客以root身份成功登录后一段时间内；

第一种情况的陷阱设置

一般情况下，只要用户输入的用户名和口令正确，就能顺利进入系统。如果我们在进入系统时设置了陷阱，并使黑客对此防不胜防，就会大大提高入侵的难度系数。例如，当黑客已获取正确的root口令，并以root身份登录时，我们在此设置一个迷魂阵，提示它，你输入的口令错误，并让它重输用户名和口令。而其实，这些提示都是虚假的，只要在某处输入一个密码就可通过。黑客因此就掉入这个陷阱，不断地输入root用户名和口令，却不断地得到口令错误的提示，从而使它怀疑所获口令的正确性，放弃入侵的企图。

给超级用户也就是root用户设置陷阱，并不会给系统带来太多的麻烦，因为，拥有root口令的人数不会太多，为了系统的安全，稍微增加一点复杂性也是值得的。这种陷阱的设置时很方便的，我们只要在root用户的.profile中加一段程序就可以了。我们完全可以在这段程序中触发其他入侵检测与预警控制程序。陷阱程序如下：

# root .profile
Clear
Echo “You had input an error password , please input again !”
Echo
Echo –n “Login:”
Read p
If ( “$p” = “123456”) then
Clear
Else
Exit

第二种情况的陷阱设置

在很多情况下，黑客会通过su命令转换成root身份，因此，必须在此设置陷阱。当黑客使用su命令，并输入正确的root口令时，也应该报错，以此来迷惑它，使它误认为口令错误，从而放弃入侵企图。这种陷阱的设置也很简单，你可以在系统的/etc/profile文件中设置一个alias，把su命令重新定义成转到普通用户的情况就可以了，例如alias su=”su user1”。这样，当使用su时，系统判断的是user1的口令，而不是root的口令，当然不能匹配。即使输入su root也是错误的，也就是说，从此屏蔽了转向root用户的可能性。

第三种情况的陷阱设置

如果前两种设置都失效了，黑客已经成功登录，就必须启用登录成功的陷阱。一旦root用户登录，就可以启动一个计时器，正常的root登录就能停止计时，而非法入侵者因不知道何处有计时器，就无法停止计时，等到一个规定的时间到，就意味着有黑客入侵，需要触发必要的控制程序，如关机处理等，以免造成损害，等待系统管理员进行善后处理。陷阱程序如下：

# .testfile
times=0
while [ $times –le 30 ] do
sleep 1
times=$[times + 1]
done
halt /* 30秒时间到，触发入侵检测与预警控制 */

将该程序放入root .bashrc中后台执行：

# root . bashrc
….
Sh .testfile&

该程序不能用Ctrl-C终止，系统管理员可用jobs命令检查到，然后用kill %n将它停止。

从上述三种陷阱的设置，我们可以看到一个一般的规律：改变正常的运行状态，设置虚假信息，使入侵者落入陷阱，从而触发入侵检测与预警控制程序。

你看是不是，不是就算了