虚拟蜜罐Honeyd的分析和研究(1)

[日期：2008-09-12]

来源：作者：

[字体：大中小]

摘要：该文介绍一个新的主动型的网络安全系统－蜜罐。首先给出了蜜罐的定义和分类，然后详细描述了一个网络层次上的模拟计算机系统的虚拟蜜罐框架Honeyd，讨论了Honeyd的原理、结构、特点、设计和实现，并对它的功能作了全面的测试评估。

　　关键字：蜜罐，交互性，个性，路由拓扑，模板

1 蜜罐（Honeypot）的介绍

今天网络安全问题正日益严重。***利用自动化的大规模的漏洞扫描工具，可以在发现漏洞后不久就使全球的计算机系统遭受破坏。可是经过数十年的研究和探索，我们仍然不能确保计算机系统的安全，甚至无法准确评估它们的安全性。现在我们介绍一种新的网络安全预警系统：蜜罐（Honeypot）。蜜罐是指受到严密监控的网络诱骗系统，它可以迷惑敌人，将***从网络中比较重要的机器上转移开，对新***发出预警，更重要的是可以引诱******而并对其***的行为和过程进行深入的分析研究。将蜜罐和***检测系统、防火墙等结合使用，可以有效提高系统安全性。

Honeypot分为两种类型：一种是低交互性蜜罐（Low-Interaction Honeypot），另一种是高交互性蜜罐（High-Interaction Honeypot）。

低交互性蜜罐通常是运行于现有操作系统上的仿真服务，只允许少量的交互动作,***只能在仿真服务预设的范围内动作，它的优点是结构简单，部署容易，风险很低。

高交互性蜜罐通常由真实的操作系统来构建，提供给***的是真实的系统和服务。采用这种方式可以获得大量的有用信息，包括我们完全不了解的新的网络***方式。同时，它也带来了更多的风险--***可能通过这个完全开放的真实系统去***和***网络中的其他机器。

配置高交互性的物理的蜜罐成本很高，因为每个蜜罐是具有自已IP地址的真实机器，要有它自已的操作系统和相应硬件。而虚拟蜜罐是由一台机器去模拟构造一个拥有的多个虚拟主机和虚拟服务的网络。相对而言，虚拟蜜罐需要较少的计算机资源和维护费用。

本文描述的Honeyd，就是一个在网络层次上模拟计算机系统的虚拟蜜罐框架。

2 Honeyd的设计和实施

Honeyd是一个轻型的开放源代码的虚拟蜜罐的框架，可以模拟多个操作系统和网络服务，支持IP协议族，创建任意拓扑结构的虚拟网络。同时，为了模拟拓扑分散的网络地址空间和共享负荷，该结构也支持网络通道。

图1 Honeyd的数据接收　图2 Honeyd的结构

2.1网络数据的接收

要使Honeyd可以对目的IP地址属于虚拟蜜罐之一的网络数据包正常的接受和回应，有如下方法：对指向Honeyd主机的虚拟IP地址创建特定路由、使用ARP代理及使用网络通道。

如图1所示，假设10.0.0.1为我们路由器的IP地址，10.0.0.2为Honeyd主机的IP地址。10.0.0.11-14是Honeyd虚拟的蜜罐的IP地址。最简单的情况是虚拟蜜罐的IP位于我们局域网内。当从互联网向蜜罐Windows NT 4.0 发送一个包时，路由器首先查询它的路由表由找到10.0.0.13的转送地址，如果没有配置专用的路由，路由器通过ARP请求确定虚拟蜜罐的MAC地址，因为没有相应的物理机器ARP请求会不被响应，因此我们配置Honeyd主机用自己的MAC地址的对10.0.0.13的ARP请求做出反应，这样通过ARP代理路由器就把发送蜜罐Windows NT 4.0的包转到Honeyd主机的MAC地址。

在复杂的情况下，我们也可以应用通用路由封装（GRE）通道协议在网络地址空间和hondyd主机间建立通道。

2.2 Honeyd结构

Honeyd结构由几部分构成：一个配置数据库，一个中央包分配器，协议处理器，个性化引擎和随机的路由组件，见图2。

Honeyd支持三种主要的互联网协议：ICMP，TCP和UDP。输入的包由中央包分配器处理，它首先检测IP包的长度并验证校验，然后查询配置数据库找到与目的IP地址相对应的蜜罐配置，如果不存在专用的配置，则应用缺省模板。确定了配置后，数据包被传送给相应的协议处理器。

ICMP协议处理器支持大多数ICMP请求。缺省时，对ECHO请求做出反应并给出目的地址不可达的信息。对TCP和UDP来说，该结构能为任意的服务建立连接，服务是在STDIN上接受数据并把输出发送到STDOUT的外部应用。Honeyd包含一个简化的TCP状态机，完全支持三次握手（Three-way Handshake）的建立连接和通过FIN或RST撤消连接，但是接受器和拥塞窗口管理没有完全实现。UDP数据报直接传到应用，当收到一个发往封闭端口的UDP包的时候，默认发出一个ICMP端口不可达的信息。

Honeyd结构也支持连接的重定向，重定向可以是静态的或依赖于连接四元组（源地址，源端口，目的地址，目的端口）。重定向允许我们把虚拟蜜罐上的一个服务连接请求转递给一个在真正的服务器上运行的服务，例如，我们可以把DNS请求重指向一个域名服务器甚至可以把连接反传给敌人。

虚拟蜜罐Honeyd的分析和研究(1)

[日期：2008-09-12]

来源：作者：

[字体：大中小]

　　关键字：蜜罐，交互性，个性，路由拓扑，模板

1 蜜罐（Honeypot）的介绍

Honeypot分为两种类型：一种是低交互性蜜罐（Low-Interaction Honeypot），另一种是高交互性蜜罐（High-Interaction Honeypot）。

本文描述的Honeyd，就是一个在网络层次上模拟计算机系统的虚拟蜜罐框架。

2 Honeyd的设计和实施

图1 Honeyd的数据接收　图2 Honeyd的结构

2.1网络数据的接收

在复杂的情况下，我们也可以应用通用路由封装（GRE）通道协议在网络地址空间和hondyd主机间建立通道。

2.2 Honeyd结构

Honeyd结构由几部分构成：一个配置数据库，一个中央包分配器，协议处理器，个性化引擎和随机的路由组件，见图2。

虚拟蜜罐Honeyd的分析和研究(1)

[日期：2008-09-12]

来源：作者：

[字体：大中小]

　　关键字：蜜罐，交互性，个性，路由拓扑，模板

1 蜜罐（Honeypot）的介绍

Honeypot分为两种类型：一种是低交互性蜜罐（Low-Interaction Honeypot），另一种是高交互性蜜罐（High-Interaction Honeypot）。

本文描述的Honeyd，就是一个在网络层次上模拟计算机系统的虚拟蜜罐框架。

2 Honeyd的设计和实施

图1 Honeyd的数据接收　图2 Honeyd的结构

2.1网络数据的接收

在复杂的情况下，我们也可以应用通用路由封装（GRE）通道协议在网络地址空间和hondyd主机间建立通道。

2.2 Honeyd结构

Honeyd结构由几部分构成：一个配置数据库，一个中央包分配器，协议处理器，个性化引擎和随机的路由组件，见图2。

.3 个性化引擎（Personality Engine）

***通常会运用象Xprobe或Nmap的指纹识别工具来收集目标系统的信息，为了迷惑敌人，Honeyd可以模拟给定操作系统的网络堆栈行为，我们把这称为虚拟蜜罐的个性(Personality)。个性化引擎使蜜罐的网络堆栈按照个性设置来改变每个外出包的协议头，以便与被配置的操作系统的特征相符。

Honeyd结构应用Nmap指纹库作为个性的TCP和UCP行为的参照，用Xprobe的指纹据库作为个性的ICMP行为的参照。下面介绍怎样应用Nmap提供的指纹信息来改变蜜罐的网络堆栈特性。

Fingerprint Windows NT 4.0 SP 6a + hotfixes

TSeq(Class=RI%gcd=<6%SI=<40132&>290%IPID=BI|RPI%TS=U)

T1(DF=Y%W=2017%ACK=S++%Flags=AS%Ops=M)

T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)

T3(Resp=Y%DF=Y%W=2017%ACK=S++%Flags=AS%Ops=M)

T4(DF=N%W=0%ACK=O%Flags=R%Ops=)

T5(DF=N%W=C00|800%ACK=S++%Flags=AR%Ops=WNMETL)

T6(DF=N%W=0%ACK=O%Flags=R%Ops=WNMETL)

T7(DF=N%W=0%ACK=O%Flags=R%Ops=WNMETL)

PU(Resp=N|Y)

图3 Nmap指纹的例子

每个Nmap指纹有一个类似于图3中所示的格式，Fingerprint符号后的字符串为个性化名字，后面的九行描述九个不同测试的结果。第一个测试是最重要的，它决定着远程操作系统的网络堆栈怎样为TCP SYN字段产生初始序列号（ISN），在Class字段指明预测ISN的难度，在gcd和SI字段提供ISN分布的更多详细信息，同时它也决定IP报文标识和TCP时间戳。

下七个测试确定到达开放和关闭的TCP端口的包的堆栈行为，最后的测试PU分析了对关闭的UDP端口的ICMP反应包。

2.4路由拓扑（Ｒouting Topology）

Honeyd能够模拟随机的网络路由拓扑。通常虚拟的路由拓扑是一株树，根节点是数据包进入虚拟网络的入口。树的每个内部节点代表着一个路由器。每个边代表着一个包含着时间等待和包损失等特性的连接。树的终端节点与网络相对应。

当Honeyd接到包时，它找到正确的入口路由树并穿过它，从根开始直到发现包含包的目的IP地址的一个节点为止，沿途的包损失和所有边的时间等待积累起来，确定是否抛弃该包和它的传送应该延迟多长时间。数据包每通过一个虚拟路由器，就相应减少的生存期TTL的值，当TTL为零时，Honeyd发出包含导致TTL为零的路由器IP的一个ICMP超时信息。

Honeyd也可以把真正的系统与虚拟的路由拓扑结合起来，当结构收一个真实系统的包时，包沿着网络拓扑行走直到它发现直接对真正的机器所属的网络空间负责的一个虚拟路由器。当真正的系统发出ARP请求时，结构以相应的虚拟路由器的ARP回复来响应。

2.5配置

在Honeyd框架中，通过配置模板(Template)来配置虚拟的蜜罐。配置语言是一种上下文无关文法，可以设置虚拟网络，操作系统和服务。下面是一个完整的Windows模板配置范例：

### Windows computers

create windows #创建一windows操作系统模板

set windows personality "Windows NT 4.0 Server SP5-SP6"

#设置该模板的Nmap 指纹

set windows default tcp action reset #设置缺省的TCP 动作

set windows default udp action reset #设置缺省的UDP 动作

add windows tcp port 80 "perl scripts/iis-0.95/iisemul8.pl"

#设置系统监听到80 端口，并且调用脚本scripts/iis-0.95/iisemul8.pl

#处理对该端口的访问

add windows tcp port 139 open 　 #打开TCP 139 端口

add windows tcp port 138 open 　 #打开TCP 137 端口

add windows udp port 137 open 　 #打开UDP 137 端口

add windows udp port 135 open 　 #打开UDP 135 端口

set windows uptime 3284460 　　 #设置Windows 系统启动时间

bind 192.168.0.11 windows 　　 #设置该虚拟系统绑定的地址

3 Honeyd的测试评估

我们利用Honeyd模拟了的一个包括五个路由器，10个虚拟蜜罐，两个入口点和一个融入虚拟网络的真实蜜罐机器复杂网络，然后用traceroute来测试去任意虚拟主机的路径，结果显示Honeyd成功地模拟了一个根本不存在的网络拓扑。

为了更充分地测试Honeyd结构迷惑了Nmap的能力,我们建立了一个B类网络，每个虚拟蜜罐配置有Nmap指纹库中一个指纹，剔除重复，我们使用了600个特殊的指纹。蜜罐被配置只有开放一个端口，运行一个web服务。然后对所有配置的IP地址，启动Nmap来辨认操作系统。结果是，对555个指纹Nmap准确的确认了模拟的操作系统，对37个指纹Nmap列出包括模拟的个性在内的多个可能选择，Nmap只有对8个指纹没有辨认出正确的操作系统。这可能是Honeyd的问题也可能是由于指纹数据库组织问题。

4 结语

Honeyd通过虚拟主机，网络和人为配置的服务，可以应用在网络安全的许多领域。例如：病毒探测、反蠕虫、阻止垃圾邮件和转移***目标等。当然，无论是Honeyd还是其他的蜜罐系统都是正在发展中的技术，还需要不断地扩充和完善功能，提高迷惑性和自身的安全性。只有把蜜罐技术和现有的安全机制有机地结合在一起，才能应对更为复杂和水平更高的网络***。

参考文献：

[1] CERT. www.cert.org/advisories/CA-2003-20.html, August 2003.

[2] Reto Baumann.Honeyd–A low involvementHoneypot in Action http://security.rbaumann.net.2004

[3] Michal Zalewski，William Stearns. Passive OS Fingerprinting Tool.January 2003.

[4] Lance Spitzner. Honeypots: Tracking Hackers. Addison Wesley Professional. September 2002.

[5] Laurent Oudot. Fighting Internet Worms With Honeypots.http://www.honeypots.net/

[6].Roshen Chandran, Sangita Pakala.Simulating Networks with Honeyd.Dec 14, 2003

转载于:https://blog.51cto.com/liong/250486

虚拟蜜罐Honeyd的分析和研究相关推荐

虚拟蜜罐：从信息模拟到实现虚拟蜜罐技术
前言:虚拟蜜罐是由一台计算机模拟的系统,但是可以响应发送给虚拟蜜罐的网络流量,今天我们来浅析一下虚拟蜜罐. 蜜罐可以运行任何操作系统和任意数量的服务.蜜罐根据交互程度(Level ofInvolvem ...
matlab同步发电机外特性仿真,基于Matlab-Simulink的虚拟同步发电机控制方法的仿真研究...
分类号: TM341 单位代码:10183 研究生学号: 201255E025 密级:公开吉林大学硕士学位论文 (专业学位) 基于 Matlab-Simulink 的虚拟同步发电机控制方 ...
信息分析——共享经济服务模式的分析与研究
1.引言信息科技和互联网的迅猛发展,尤其是互联网+时代的到来,使得人们的消费模式发生了变化,不论是打车租房.接收资讯.培训学习.寻找工作,还是项目外包.众筹资金等等,这些原本单向的消费体验已经演变成 ...
5G融合行业专网解决方案分析与研究
首发:<广东通信技术>2021年第10期来源:5G行业智库作者:陈波 [摘要]5G的到来为企业客户使用运营商网络服务开启了新纪元,通过公网专用的方式可以为不同行业应用场景提供更高速 ...
SGX技术的分析与研究学习笔记
SGX技术的分析与研究学习笔记 SGX技术的分析与研究学习笔记 1 SGX架构概述 2 SGX关键技术 2.1 Enclave安全容器 2.2 Enclave保护机制 2.2.1 内存访问语义 2 ...
通过蛋白结构分析、同源建模、分子对接、虚拟筛选、构效关系分析、药效团靶点抑制剂筛选预测、全新药物设计，先导化合物发现等方法对靶点药物进行全方位设计及分析
[一]专题目录专题一:CADD药物分子相互作用.分子对接.靶点预测 2022年03月26日-03月27日在线直播 2022年04月03日-04月04日在线直播专题二:薛定谔靶点抑制剂虚拟筛选. ...
计算机成绩统计优秀率,基于决策树算法的成绩优秀率分析与研究.pdf
基于决策树算法的成绩优秀率分析与研究.pdf · · EraNo．122015 70 Computer DOI:10．166448．cnki．cn33-1094/tp,2015．12,019 基于决策 ...
2021中青杯数学建模C题在线教学的分析与研究
在线教学的分析与研究随着教育信息化的发展,在线教学与传统教学深度融合已成为必然趋势.多媒体课件的展示,或 MOOC 教学在高校中已经是非常常见的一种教学模式.在线教学智能教室的建设,正在不断颠覆传统 ...
linux 无线网桥,基于Linux无线网桥及无线网络设备驱动分析与研究
摘要: 综合了局域网,无线通信等相关技术的无线局域网(WLAN)是非常方便的数据传输系统,它利用射频技术遵循IEEE 802.11协议,具有传输速率高,成本低廉,兼容和扩展能力强等优点,是近些年来通信 ...

虚拟蜜罐Honeyd的分析和研究

虚拟蜜罐Honeyd的分析和研究(1)

虚拟蜜罐Honeyd的分析和研究(1)

虚拟蜜罐Honeyd的分析和研究(1)

虚拟蜜罐Honeyd的分析和研究相关推荐

最新文章

热门文章