在网络攻防中,蜜罐是一种检测威胁的重要产品。防卫人经常使用蜜罐来分析攻击行为,捕
捉漏洞,甚至对抗攻击者。利用蜜罐识别技术,攻击方可以发现并规避蜜罐。所以有必要站在
红色攻击者的立场,深入研究蜜罐识别的方法和手段。
蜜罐简介
作为一种安全威胁检测技术,蜜罐的本质就是对攻击者进行诱骗和欺骗,它通过记录攻击者的
攻击日志而产生价值。通过分析被攻击的蜜罐记录,安全研究者可以推测攻击者的用意和手段
等信息。按其交互性特点,可分为低交互性和高交互性两种类型。后一种方式提供了一种真正
易受攻击的系统,其目的是使攻击者觉得自己在攻击一个真正的系统,在某些真正的甲方蜜罐
建设中也提出了用真正的服务组件来构建蜜罐系统的想法。低交互式蜜罐则没有那么复杂,它
提供了一种不完美的交互系统,有的甚至只是模拟一个响应。因特网上交互式蜜罐大多是开源
的。因为它独特的开放性,使得人们能够识别和规避它的特征。
攻击日志而产生价值。通过分析被攻击的蜜罐记录,安全研究者可以推测攻击者的用意和手段
等信息。按其交互性特点,可分为低交互性和高交互性两种类型。后一种方式提供了一种真正
易受攻击的系统,其目的是使攻击者觉得自己在攻击一个真正的系统,在某些真正的甲方蜜罐
建设中也提出了用真正的服务组件来构建蜜罐系统的想法。低交互式蜜罐则没有那么复杂,它
提供了一种不完美的交互系统,有的甚至只是模拟一个响应。因特网上交互式蜜罐大多是开源
的。因为它独特的开放性,使得人们能够识别和规避它的特征。
这一分析过程中,探测的目标是使用默认配置的开放源码蜜罐。这篇文章分析了21种开放源码
和Fuzztesting特色蜜罐。这篇文章的目的在于从攻击者的角度来寻找开源蜜罐的特点,同时完
成了多个开源蜜罐的全网分发。这个蜜罐的分析结果见表2-1。有些开放源码的蜜罐在模拟各
种协议时,响应中会有一些明显的特征,可以根据这些特征进行蜜罐检测。
和Fuzztesting特色蜜罐。这篇文章的目的在于从攻击者的角度来寻找开源蜜罐的特点,同时完
成了多个开源蜜罐的全网分发。这个蜜罐的分析结果见表2-1。有些开放源码的蜜罐在模拟各
种协议时,响应中会有一些明显的特征,可以根据这些特征进行蜜罐检测。
举个事例,Dureaecs4a的Memiached协议在实现Memiached协议时,会动态随机许多参数,
但其中一些参数如:versure、libevent和rusblue_system等是固定不动的。模拟实现部分协议
在部分开放源码的蜜罐中并不完美,我们可以通过发送某些特定请求包所得到的响应来判断是
否是蜜罐。
但其中一些参数如:versure、libevent和rusblue_system等是固定不动的。模拟实现部分协议
在部分开放源码的蜜罐中并不完美,我们可以通过发送某些特定请求包所得到的响应来判断是
否是蜜罐。
SSH协议(SeTasteShella)是一种用以网络传输的加密方式,具体用以远程登录。当SSH服务端
与客户端建立连接时,需要执行以下五步:咨询版本号阶段,磋商具体算法阶段,鉴定阶段,
对话要求阶段,交互式会话阶段。在模拟该协议时,SSH蜜罐也要执行这五个步骤。Kippo是
一个经典的SSH蜜罐,已经停止了更新,使用twisted模拟SSH协议。最新版的kippo使用了非
常悠久的twistd15.1.0。这个版本有一个显著的特点。交互阶段要求客户机的SSH版本是类似
于SSH-主-次版本的软件版本号,如果版本号是一个不受支持的版本,例如SSH-1.9-OpenSS
H_5.9p1,则将报错'badversure1.9',并断开连接。从Kippo的配置来看,只有SSH-2.0-X和S
SH-1.99-X两个主版本是受支持的,而其他主版本则会出现报错。
与客户端建立连接时,需要执行以下五步:咨询版本号阶段,磋商具体算法阶段,鉴定阶段,
对话要求阶段,交互式会话阶段。在模拟该协议时,SSH蜜罐也要执行这五个步骤。Kippo是
一个经典的SSH蜜罐,已经停止了更新,使用twisted模拟SSH协议。最新版的kippo使用了非
常悠久的twistd15.1.0。这个版本有一个显著的特点。交互阶段要求客户机的SSH版本是类似
于SSH-主-次版本的软件版本号,如果版本号是一个不受支持的版本,例如SSH-1.9-OpenSS
H_5.9p1,则将报错'badversure1.9',并断开连接。从Kippo的配置来看,只有SSH-2.0-X和S
SH-1.99-X两个主版本是受支持的,而其他主版本则会出现报错。