| |
笔者试用了Capture HPC 2.0,此工具准许使用不同的客户端,如Firefox、RealPlayer、Microsoft Word等软件。它还拥有一个选项,即可以收集恶意软件,并记录客户端和Web服务器之间的tcpdump捕获。
客户端蜜罐需要与服务器交互,目的是为了决定这个服务器是否是恶意的。采用高交互性的客户端蜜罐,要实现这个目标,花费的成本是很高的。因此选择与哪个服务器交互可以极大地增加找到网络上恶意服务器的比率。我们可以使用几种资源,但“搜索”也许是访问大量Web 服务器的最传统的方法。
交互水平的区别还适用于客户端蜜罐。驱动一个客户端与服务器交互,并且根据状态的改变将服务器归为恶意服务器的客户端蜜罐是一种高交互性的蜜罐。另外一方面,一种低交互性的客户端蜜罐使用了模拟的客户端,如用wget代替IE浏览器,通过静态分析(如签名)来评估服务器的恶意属性。恶意传播的危险在高交互性的客户端蜜罐上是很现实的,安全人员可以通过低交互性的客户端蜜罐来减少这种危险。SpyBye 和 HoneyC属于低交互性的客户端蜜罐,它们可以执行简单的基于规则的匹配和签名匹配,用以检测客户端的攻击。
速度上的增加和较低的资源消耗是这些低交互性的客户端蜜罐的最大好处。不过,因为这种蜜罐通常都是基于规则和签名的,所以它们并不能检测自己以前未见过的攻击(零日漏洞攻击)。高交互性的蜜罐更容易检测这种攻击,因为这种蜜罐并不需要预先知道这种攻击的知识便可以检测它。
特定应用蜜罐
现在既有通用的蜜罐可以提供或模仿有漏洞的系统,又有应用或特定协议的蜜罐。有许多蜜罐设计目的是通过伪装成开放的邮件传送服务器或开放代理来捕获垃圾邮件。如Jackpot这个小程序,它由Java语言编写,它可以假装成一个可以转发邮件的配置错误的SMTP服务器。实际上,它将所有的消息发送给用户,然后绕过垃圾制造者的测试消息,并避免受垃圾邮件侵扰。(通常情况下,垃圾制造者会试图发送一个测试邮件,其目的是为了确认主机是否是一个真实的开放服务器) 。另外,Proxypot也有不俗的表现。
另外HTTP,特别是Web应用蜜罐受到了特别的关注。而谷歌的 Hack Honeypot则提供了不同的种类的模块,其中之一看似是一个配置错误的PHPShell。PHPShell准许管理员通过Web界面来执行外壳命令,但对它的访问却至少受到口令的限制。谷歌这个工具拥有一个中央接口,它准许操作人员监视用户正试图执行的命令。
一种常见的漏洞利用技术是使用远程文件包含。一些PHP配置准许执行程序,以便于包含可以驻留在其它Web或FTP服务器上的文件。在某种特定的程序在进行包含之前,它并不仔细检查其输入。攻击者能够经常在Web服务器上执行他选择的代码。另外一种方法是,部分PHPHoP脚本会试图分析下载有效负载,作为对恶意请求的一种直接响应。前一种方法可能更有用,因为其设计目的是为了在服务器上运行,同时又不会干扰实际服务器。但在Web应用程序中还有其它的漏洞,如SQL注入、直接命令注入等。
与其它蜜罐相比,有一些蜜罐能更好地捕获特定类型的攻击,而且理想情况下,几种蜜罐的混合能够提供对当前攻击的最佳洞察方式。例如,用于PHPHoP的 ErrorDocument处理程序不能正确地捕获POST数据,因为Apache并没有将这种信息交给ErrorDocument处理程序。为此,你可能需要定制编写Web服务器,或者用你希望模拟的文件名来创建PHP脚本。
蜜罐的潜在问题
在部署一个蜜罐或蜜网时,保密是极为重要的。如果每个人都知道这是一个陷阱,除了一些自动化的攻击工具(如一些蠕虫),不会有人尝试攻击它。还有一些蜜罐,特别是一些低交互性的蜜罐,由于其模拟的服务,会很容易就被攻击者识别出蜜罐的身份。对于一个复杂系统的任何模仿总与真实的系统有不同点。例如,可以有多种方法让一个程序决定它是否运行在一个虚拟机内部,并且恶意软件正日益增多地使用这些技术来与蜜罐技术对抗。可以这样说,攻击者正在想方设法找到检测蜜罐的手段和技术,而蜜罐制造者也在努力改善蜜罐,使得攻击者难于发现其“指纹特征”。 |
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
