蜜罐技术在校园网内中的应用
为了观察入侵者使用加密的会话,就必须找到破解加密会话的方法,不过许多组织已经证明这是非常困难的。强攻不行就只能智取,加密的信息如果要使用就肯定会在某些地方不是被加密的,绕过加密进程就可以捕获未加密的数据。这是解密工作的基本机制,然后获得访问未保护的数据。
使用二进制木马程序是对付加密的一种办法。当入侵者攻破蜜罐,他可能会使用如ssh的加密工具来登陆被攻陷的主机,登陆的时候肯定要输入命令,这时木马shell程序会记录他们的动作。不过二进制木马程序隐蔽性不高,而且入侵者可能会安装他们自己的二进制程序。
从操作系统内核访问数据将是一个很好的捕获方法。不管入侵者使用什么二进制程序,都可以从内核捕获数据并且可以记录它们的行为。而且,由于用户空间和内核空间是分开的,所以在技术上还可以实现对所有包括root在内的用户隐藏自己的动作。

数据捕获是由内核模块来完成的,所以要使用这个模块获得蜜罐机操作系统内核空间的访问,从而捕获所有read()和write()的数据。捕获模块通过替换系统调用表的read()和write()函数来实现这个功能,这个替换的新函数只是简单的调用老read()和write()函数,并且把内容拷贝到一个数据包缓存。
3数据传输隐蔽通道的建立
当蜜罐捕获到数据后,那么它需要在入侵者没有察觉的情况下把数据发送到蜜网网关服务端。蜜罐通常都是布置在局域网内,如果捕获模块只是简单使用UDP流来给服务端发送数据,入侵者只需监听网络上的数据传输就可以判断是否有蜜罐系统的存在了。不过捕获模块还是可以使用UDP来给服务端发送数据,只不过它需要修改内核使用户无法看到这些数据包,包括其它主机发送的该类型使用相同配置的数据包。当捕获模块把这些数据发送到网络的时候,操作系统也无法阻止这些数据包的传输。
如果一个局域网上每个蜜罐安装了按照以上方法改进后的数据捕获模块,入侵者将不能发现任何捕获模块的数据,然而服务端能够完全访问这些由蜜罐客户端捕获的数据。每个read()或write()调用请求都会产生一个或多个日志数据包,每个数据包都包含了一点关于这个调用内容的信息和这个调用访问的数据。每个包还包含了一个记录,这个记录包含一些产生调用的进程描述、调用产生的时间和记录数据的大小。
这些包完全由捕获模块产生,而不是使用TCP/IP协议栈来产生或发送数据包,所以系统无法看到或阻断这些数据包。当数据包创建好的时候就直接发送给驱动设备,这就绕过了原始套接字代码和包过滤代码。由于嗅探器通常都是基于libpcap的,而libpcap使用原始套接字接口来收集数据包,所以嗅探器不能看到运行在蜜罐主机上由捕获模块产生的数据包。
同时还有一个要解决的问题,就是要阻止蜜罐A检测到蜜罐B的捕获到的数据包。使用以太交换不能解决这个问题,因为数据包不是通过ARP获取目标IP地址对应的目标MAC地址,所以它对ARP欺骗有自然免疫能力。但是在有些情况下,A可以看到B的数据包,这样入侵者就可以在蜜罐A运行嗅探器来看到局域网上来自蜜罐B的捕获到的数据包。
为了解决这个问题,捕获模块的包产生机制应该实现自己独特的原始套接字实现,从而实现安静地忽略来自局域网中的其他蜜罐发送出数据包。在发送的数据包头定义了预先设定的目标UDP端口和固有的特定数字,如果这两个值都匹配了,那么这个数据包就会被忽略。这样蜜罐A在收到蜜罐B的数据包时就会丢弃它们并且移到队列里的下一个数据包,这使得入侵者用嗅探器也无法捕获数据包。
校园网中蜜罐技术应用方案结论
针对传统的蜜罐的局限性和缺点,出现了蜜网技术,蜜网是由许多用来与攻击者进行交互的蜜罐组成的网络。本文针对蜜网中蜜罐所面临的问题:隐藏自身、加密会话数据捕获以及和蜜网网关建立隐蔽数据传输通道,给出了详细的解决方案。但同时也存在着一些不足,比如本文中所提到的隐藏蜜罐数据捕获模块和进程的方法,虽然达到了保护自身的目的,但也带来了一些负面问题:
捕获模块被加载就再也无法卸载,root用户再也无法找到它,一旦捕获模块中出现bug,由于无法管理,可能会引起内核的不稳定甚至系统崩溃等,这将会影响到蜜罐的正常工作,从而影响整个蜜网的性能。这些问题都有待进一步的。
【编辑推荐】
国家电网没有报名资格预审有没有什么补救措施?
国家电网没有报名资格预审的话,那你只能等下一次了
急求郑州设计学校哪家好?
别的地区的学校我不了解,不过郑州设计学校我还是了解很多的。 因为之前给我儿子找学校,差不多是把郑州的设计学校找了一遍。 最后,我们选择了郑州超凡设计学校。 因为,他们学校是和河南本土最大的装饰企业---超凡装饰公司联合办学的,我们信得过。 他们学校曾诺学生一入学就签订就业协议,不是瞎许诺的。 我儿子第一天入校,老师就和他签订了就业协议,白字黑字公章,还能有假吗??人家曾诺免费试学,试学结束看成绩才让入校的,这一点也做到了。 试学结束要是学校对你不满意,就是你拿着学费,人家学校也不接收;要是你对学校不满意,老师照样笑脸相送。 毕竟,人家是在为自己的公司培养人才,要把好人才质量关,这样,才是为公司负责,为学校负责,也是为学生自己负责。 我儿子在那里学了半年了,学的还不错。 你可以去郑州超凡设计学校看看。 你在网络上搜“郑州超凡学校董老师”,可以更详细的了解他们学校。
去常州恐龙园淹城玩三天有什么建议
三天的话就去恐龙园和淹城时间有点多。 不知道是不是一个人去,如果人多可以再网上或通过电话预定恐龙园门票,注意优惠活动。 晚上可以住在市区的快捷酒店,类似如家、假日酒店等,第二天去淹城,或淹城野生动物园,基本上也是一天就可以完成的。 晚上可以会市区,在商业街、红梅公园等第逛一下。 第三天回家。
发表评论