使用Honeypots同计算机蠕虫病毒作斗争

　　文/yangshulei

　　 第1页:使用Honeypots同计算机蠕虫病毒作斗争 第2页:使用Honeypots同计算机蠕虫病毒作斗争(2) 第3页:使用Honeypots同计算机蠕虫病毒作斗争(3)

　　2003年夏天，对于运行着Microsoft Windows的成千上万台主机来说简直就是场噩梦！也给广大网民留下了悲伤的回忆，这一些都归结于冲击波蠕虫的全世界范围的传播。这种事件也以不是第一次了，以往的Slammer, Code Red，Nimda 蠕虫同样也有着类似的破坏效 果。

　　这种蠕虫会在被感染的机器上自己复制，以其达到通过蔓布因特网感染其他的机器的目的。导致了人们对网络安全问题的重视。

　　人们总是习惯于相同类型的系统与程序。这同达尔文的某个理论相似，单作的这使许多网络安全专家畏惧连到因特网，而遭到一种新的恶意的蠕虫的攻击，如果最近的冲击波能格式Windows 的机器的硬盘会是什么下场？虽然它没这种效果，但它可以轻易的达到那种效果，随着新的网络攻击的水平不断提高，提出一个新的解决方案必须的。

　　这篇文章是说用Honeypots 同Internet 蠕虫作斗争的方法，第一部分介绍讨论关于传播广泛的蠕虫的背景知识，然后，讨论Honeypots 的一些实用的功能。最后，我们将搭建一个Honeypots来同Internet 蠕虫作斗争和反击。最后，我们将展望一下未来的观点。

　　1、关于蠕虫

　　简单点说，蠕虫就是有着危害的代码来攻击网上的受害主机，并在受害主机上自我复制，再攻击其他的受害主机的令人畏惧的实体。

　　大多数时间， 蠕虫程序都是计算机黑客，网络安全研究人员和病毒作者写的。病毒传染基于迷惑人脆弱的部分，通过社会工程学来传播。比如，迷惑一个用户敲击一个电子邮件附件，以其达到目的。

　　蠕虫主要有三种主要特性：

　　感染： 通过利用脆弱感染一个目标。

　　潜伏：感染当地目标远程主机。

　　传播：影响的目标，再感染其他的主机。

　　2、关于 honeypots

　　Honeypots是一个哄骗进攻者的计算机。在一个网络上，恶意的攻击者将会攻击伪造的系统，他们使尽一些方法得到的只是一些无关的信息。

　　当一个honeypot作为伪造的主机，常常哄骗进攻者时，这就意味着所有的请求到honeypot都是可怀疑的，

　　honeypots 经常认为用于被动分析时，他们也能起交互式作用来处理蠕虫，两种honeypots 经常被使用。

　　高级应用：一种真正的主机通常几乎牺牲(叫做傀儡主机)，在一个网络在等待任何进攻者攻击。

　　低级应用：服务器和/或主机是模拟的(例如Honeyd by Niels Provos)

　　3、蜜罐同蠕虫的对抗

　　这章的目标将是证明交互式honeypots 同蠕虫作斗争的优势，我们将明白怎么使用新的蜜罐技术来防御不同的阶段期间的蠕虫，

　　3.1 蠕虫与蠕虫的感染

　　蠕虫感染的阶段就是它在受害主机上自我复制攻击其他的主机。

　　在这个阶段期间 ，作为防守者的蜜罐会检测非法入侵者的行为。比如，监视网络，这项技术通常被称为太公钓鱼，愿者上钩。防守者的蜜罐是一个建在网关上的，扮演着一个防火墙，或者入侵检测系统(IDS)，或者是入侵防御系统(IPS)。它过滤了通过网络的流量，分析数据包的内容。然后，如果网络的地址同那些知名的攻击的指纹是否相同，在检验之后，网关将标记一定时期内的危害的源地址。因此，危害的数据包将被重定向到蜜罐中，而不是主网络中。

　　对于最近的冲击波蠕虫，如果网关机器对来自外部的TCP数据包请求本地135端口，被IDS进行标记。他将被重定向到蜜罐中。我们将在第3.3章中讨论蜜罐未来的新功能。

　　我们也发现了这门技术的缺点：

　　1，标记总是晚于新的未知的攻击，

　　2，这一概念是可靠的吗？如果因为错误的配置而系统出错，将合法的数据包发到蜜罐中该怎么办？

　　3，网络速度因为网关的巨量的分析而被减慢。

  [1]  [2]  [3]  [下一页]