蜜罐的实际例子
下面我们以Redhat linux 9.0为平台,做一个简单的蜜罐陷阱的配置。
我们知道,黑客一旦获得root口令,就会以root身份登录,这一登录过程就是黑客入侵的必经之路。其二,黑客也可能先以普通用户身份登录,然后用su命令转换成root身份,这又是一条必经之路。
我们讨论如何在以下情况下设置陷阱:
(1)当黑客以root身份登录时;
(2)当黑客用su命令转换成root身份时;
(3)当黑客以root身份成功登录后一段时间内;
第一种情况的陷阱设置
一般情况下,只要用户输入的用户名和口令正确,就能顺利进入系统。如果我们在进入系统时设置了陷阱,并使黑客对此防不胜防,就会大大提高入侵的难度系数。例如,当黑客已获取正确的root口令,并以root身份登录时,我们在此设置一个迷魂阵,提示它,你输入的口令错误,并让它重输用户名和口令。而其实,这些提示都是虚假的,只要在某处输入一个密码就可通过。黑客因此就掉入这个陷阱,不断地输入root用户名和口令,却不断地得到口令错误的提示,从而使它怀疑所获口令的正确性,放弃入侵的企图。
给超级用户也就是root用户设置陷阱,并不会给系统带来太多的麻烦,因为,拥有root口令的人数不会太多,为了系统的安全,稍微增加一点复杂性也是值得的。这种陷阱的设置时很方便的,我们只要在root用户的.profile中加一段程序就可以了。我们完全可以在这段程序中触发其他入侵检测与预警控制程序。陷阱程序如下:
- # root .profile
- Clear
- Echo “You had input an error password , please input again !”
- Echo
- Echo –n “Login:”
- Read p
- If ( “$p” = “123456”) then
- Clear
- Else
- Exit
第二种情况的陷阱设置
在很多情况下,黑客会通过su命令转换成root身份,因此,必须在此设置陷阱。当黑客使用su命令,并输入正确的root口令时,也应该报错,以此来迷惑它,使它误认为口令错误,从而放弃入侵企图。这种陷阱的设置也很简单,你可以在系统的/etc/profile文件中设置一个alias,把su命令重新定义成转到普通用户的情况就可以了,例如alias su=”su user1”。这样,当使用su时,系统判断的是user1的口令,而不是root的口令,当然不能匹配。即使输入su root也是错误的,也就是说,从此屏蔽了转向root用户的可能性。
第三种情况的陷阱设置
如果前两种设置都失效了,黑客已经成功登录,就必须启用登录成功的陷阱。一旦root用户登录,就可以启动一个计时器,正常的root登录就能停止计时,而非法入侵者因不知道何处有计时器,就无法停止计时,等到一个规定的时间到,就意味着有黑客入侵,需要触发必要的控制程序,如关机处理等,以免造成损害,等待系统管理员进行善后处理。陷阱程序如下:
- # .testfile
- times=0
- while [ $times –le 30 ] do
- sleep 1
- times=$[times + 1]
- done
- halt /* 30秒时间到,触发入侵检测与预警控制 */
将该程序放入root .bashrc中后台执行:
- # root . bashrc
- ….
- Sh .testfile&
该程序不能用Ctrl-C终止,系统管理员可用jobs命令检查到,然后用kill %n将它停止。
从上述三种陷阱的设置,我们可以看到一个一般的规律:改变正常的运行状态,设置虚假信息,使入侵者落入陷阱,从而触发入侵检测与预警控制程序。
关键技术设计
自蜜罐概念诞生之日起,相关技术一直在长足的发展。到今天为止,蜜罐技术应用的最高度应该说是Honeynet技术的实现。
蜜罐技术总结
蜜罐技术的发展也是伴随着各种不同的观点而不断的成长的。蜜罐技术是通过诱导让黑客们误入歧途,消耗他们的精力,为我们加强防范赢得时间。通过蜜网让我们在受攻击的同时知道谁在使坏,目标是什么。同时也检验我们的安全策略是否正确,防线是否牢固,蜜罐的引入使我们与黑客之间同处于相互斗智的平台counter-intelligence,而不是处处遭到黑枪的被动地位。我们的网络并不安全,IDS,FIREWALL,Encryption技术都有其缺陷性,我们期待它们与蜜罐的完美结合,那将是对网络安全的最好礼物。我们完全相信,蜜罐技术必将在网络安全中发挥出极其重要的作用,一场世界上声势浩大的蜜罐技术行动必将到来。
上一篇:实例解析蜜罐技术
【编辑推荐】
