当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 真实和虚拟两种honeypot技术的比较

安全基础
十大高招教会你摆脱黑客的网络攻击
2007个人计算计安全配置手册---武装到牙齿
【安全防护】网络入侵检测初步探测方法
保护系统 从防范IP泄漏开始!
教你如何防止系统中IE被恶意修改
交换机路由器更加安全三种办法
网络的核心所在 交换机漏洞五宗罪
上网必看,8招让你安全高效上网
提醒 网络玩家成为黑客攻击主要对象
十一种常见流氓软件完全卸载方法
聊天的危险 即时通讯常见安全问题
保护系统从防范IP泄漏开始
动态嵌入式DLL木马简便发现与清除方法
更新换代Vista系统安全新特性全面阐述
不可不留神 病毒损坏硬件有七大损招
注册表探秘 跟踪病毒的映象劫持的危害
追根溯源DLL技术木马进程内幕大揭密
擦亮眼睛小心假冒卡巴斯基的陷阱
简单安全习惯减少电脑资料丢失损坏几率
避免自己的服务器被列入黑名单的小技巧

安全基础 中的 真实和虚拟两种honeypot技术的比较


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 47 ::
收藏到网摘: n/a

近几年来,很少有人会否认信息安全已经成为网络管理员所面对的最严重问题。管理员必须花费大量的时间来确保他的网络已经安装了最新的安全补丁以及防火墙,同时入侵检测系统也能够记录所有的可疑活动。不幸的是,当前的防火墙和入侵检测系统已经不再像以前那样有效了,因为随着网络的不安全因素的增多,防火墙和入侵检测系统的日志内容也日益庞大,甚至有些系统每天的日志量就达1GB。在这个少花钱多办事的世界里,企业再也没有过多的人力用来每天处理如此大量的日志内容了。  

      我并不是说防火墙日志和入侵检测系统的报告是毫无价值的。事实上它们确实认真地履行了各自的任务。不过当你看到如此大量的信息和报告,而其中大部分都是对系统没有威胁的无目的的扫描时,你肯定会感到很沮丧。难道真的没有一种更好的安全防范方法么?

     Honeypot解决信息过量问题

      从某些角度来说,honeypot也许是一个更好的方法。Honeypot主要分为两类,真实的和虚拟的,这两类都是入侵者的诱饵。Honeypot这个概念来自几年前,那时候网络管理员希望有一种方法来找出到底是谁在探测网络。有句至理名言说“要想人不知,除非己莫为”,如果有人在探测网络,只要他向外发送数据,就一定会被察觉。因此有人利用了这个道理,在网络中建立了一个诱饵系统,它可以不时地向外发送与Windows网络服务有关的数据包,而那些监听网络的黑客获取数据包后,肯定会通过DNS查询来确定这个诱饵系统的更多资料。一旦DNS查询完成,则发送查询的主机名和IP地址包括查询时间就都会被记录下来。

      由于这种技术提出的较早,因此诱饵系统或者说是honeypots发展的非常迅速。到目前,有不少公司都能提供多种honeypot解决方案。如果你关注网络安全,那么honeypot系统确实能让你获益匪浅。但在应用honeypot系统前,你需要在真实的honeypot或虚拟honeypot之间做个选择。

     真实vs虚拟

      对于真实或是虚拟honeypot的选择方面,你需要考虑的是风险和回报。虚拟honeypot比较廉价,但也有一定安全风险,它在抓住黑客方面做得没有真实的honeypot好。另一方面,虽然真实的honeypot在入侵检测方面比虚拟honeypot好很多,但最顶级的黑客有可能利用真实的honeypot接管你的网络。

     虚拟honeypot的优势

      虚拟honeypot说白了是一个仿真程序。比如虚拟honeypot一般可以仿真FTP服务器,并监视所有的TCP和UDP端口并记录所有端口的活动情况。当黑客发现这个虚假的(他本人不知道)FTP时,就会试图开启一个FTP对话。这时虚拟FTP服务器(虚拟honeypot)就会记录下这个黑客的所有活动。比如honeypot会记录下哪个端口被使用、采用何种认证机制等。而虚拟FTP服务器会和真正的FTP服务器一样对黑客的行为作出响应。更好的是,由于这是个虚拟的FTP服务器,它没有真正的操作系统,因此就算黑客攻入了FTP,也不会进一步控制你网络中的其它电脑。

      理论上说,这个方法相当好,它使用起来相当安全,并且可以捕获大量的有用信息。比如,如果获取了黑客登录时的凭证,你就可以查出到底是哪个帐户被攻击了,这样就可以作出相应的补救动作。不过它的全部优势也就是这些了。

     虚拟honeypot的劣势

      对于虚拟honeypot来说,有两点最主要的不足。首先,它只能愚弄那些初级黑客。你要记住,虚拟honeypot并没有一个真正的操作系统支撑(有的解决方案中内嵌了简单的Windows或Linux)。因此有经验的黑客会发现很多命令在这台主机中不起作用。这会使他立即知道自己进入的只是一台honeypot,而不是真正的服务器。

      虚拟honeypot的另一个不足是它记录的信息种类有限。比如一个虚拟honeypot伪装成FTP服务器,那么它就只能获取和FTP相关的信息。当然,大部分虚拟honeypot还可以获取端口扫描和其它一些基本的攻击信息。然而,如果一个黑客利用IPv6端口发送加密的信息又会如何呢?由于虚拟honeypot功能有限,它无法记录这类的问题。简单说,虚拟honeypot可以检测并记录已知的攻击种类,但对于新型的攻击却没什么用处。

     真实honeypot的优势

      一个真正的honeypot,是一个或多个真实的系统组成的诱饵系统。由于它是带有操作系统的真实系统,因此它对于黑客的操作响应与网络上其它主机完全一样。这有好处也有坏处。好处是,黑客几乎不可能察觉到他们已经进入了一个陷阱,而不是真正的实用网络。实际上,唯一能让黑客起疑心的现象就是那些不太完善的honeypot网络没有采取任何正常的安全更新措施。

      真实的honeypot最大的优