2捕获加密会话数据
为了观察入侵者使用加密的会话,就必须找到破解加密会话的方法,不过许多组织已经证明这是非常困难的。强攻不行就只能智取,加密的信息如果要使用就肯定会在某些地方不是被加密的,绕过加密进程就可以捕获未加密的数据。这是解密工作的基本机制,然后获得访问未保护的数据。
使用二进制木马程序是对付加密的一种办法。当入侵者攻破蜜罐,他可能会使用如SSH的加密工具来登陆被攻陷的主机,登陆的时候肯定要输入命令,这时木马shell程序会记录他们的动作。不过二进制木马程序隐蔽性不高,而且入侵者可能会安装他们自己的二进制程序。
从操作系统内核访问数据将是一个很好的捕获方法。不管入侵者使用什么二进制程序,都可以从内核捕获数据并且可以记录它们的行为。而且,由于用户空间和内核空间是分开的,所以在技术上还可以实现对所有包括root在内的用户隐藏自己的动作。
数据捕获是由内核模块来完成的,所以要使用这个模块获得蜜罐机操作系统内核空间的访问,从而捕获所有read()和write()的数据。捕获模块通过替换系统调用表的read()和write()函数来实现这个功能,这个替换的新函数只是简单的调用老read()和write()函数,并且把内容拷贝到一个数据包缓存。
3数据传输隐蔽通道的建立
当蜜罐捕获到数据后,那么它需要在入侵者没有察觉的情况下把数据发送到蜜网网关服务端。蜜罐通常都是布置在局域网内,如果捕获模块只是简单使用UDP流来给服务端发送数据,入侵者只需监听网络上的数据传输就可以判断是否有蜜罐系统的存在了。不过捕获模块还是可以使用UDP来给服务端发送数据,只不过它需要修改内核使用户无法看到这些数据包,包括其它主机发送的该类型使用相同配置的数据包。当捕获模块把这些数据发送到网络的时候,操作系统也无法阻止这些数据包的传输。
如果一个局域网上每个蜜罐安装了按照以上方法改进后的数据捕获模块,入侵者将不能发现任何捕获模块的数据,然而服务端能够完全访问这些由蜜罐客户端捕获的数据。每个read()或write()调用请求都会产生一个或多个日志数据包,每个数据包都包含了一点关于这个调用内容的信息和这个调用访问的数据。每个包还包含了一个记录,这个记录包含一些产生调用的进程描述、调用产生的时间和记录数据的大小。
这些包完全由捕获模块产生,而不是使用TCP/IP协议栈来产生或发送数据包,所以系统无法看到或阻断这些数据包。当数据包创建好的时候就直接发送给驱动设备,这就绕过了原始套接字代码和包过滤代码。由于嗅探器通常都是基于libpcap的,而libpcap使用原始套接字接口来收集数据包,所以嗅探器不能看到运行在蜜罐主机上由捕获模块产生的数据包。
同时还有一个要解决的问题,就是要阻止蜜罐A检测到蜜罐B的捕获到的数据包。使用以太交换不能解决这个问题,因为数据包不是通过ARP获取目标IP地址对应的目标MAC地址,所以它对ARP欺骗有自然免疫能力。但是在有些情况下,A可以看到B的数据包,这样入侵者就可以在蜜罐A运行嗅探器来看到局域网上来自蜜罐B的捕获到的数据包。
为了解决这个问题,捕获模块的包产生机制应该实现自己独特的原始套接字实现,从而实现安静地忽略来自局域网中的其他蜜罐发送出数据包。在发送的数据包头定义了预先设定的目标UDP端口和固有的特定数字,如果这两个值都匹配了,那么这个数据包就会被忽略。这样蜜罐A在收到蜜罐B的数据包时就会丢弃它们并且移到队列里的下一个数据包,这使得入侵者用嗅探器也无法捕获数据包。
校园网中蜜罐技术应用方案结论
针对传统的蜜罐的局限性和缺点,出现了蜜网技术,蜜网是由许多用来与攻击者进行交互的蜜罐组成的网络。本文针对蜜网中蜜罐所面临的问题:隐藏自身、加密会话数据捕获以及和蜜网网关建立隐蔽数据传输通道,给出了详细的解决方案。但同时也存在着一些不足,比如本文中所提到的隐藏蜜罐数据捕获模块和进程的方法,虽然达到了保护自身的目的,但也带来了一些负面问题:
捕获模块被加载就再也无法卸载,root用户再也无法找到它,一旦捕获模块中出现bug,由于无法管理,可能会引起内核的不稳定甚至系统崩溃等,这将会影响到蜜罐的正常工作,从而影响整个蜜网的性能。这些问题都有待进一步的。
【编辑推荐】
