第三章: 駭客入侵流程解析 - 雲林科技大學計算機網路研究室

Download Report

Transcript 第三章: 駭客入侵流程解析 - 雲林科技大學計算機網路研究室

教育部資通訊人才培育先導型計畫
寬頻有線教學推動聯盟中心
第三章 駭客入侵流程解析
國立雲林科技大學
資訊工程系
第三章 駭客入侵流程解析





3.1
3.2
3.3
3.4
3.5
大綱
網路探勘與掃描
基本防範對策
網路鑑識與分析
入侵偵測與防護系統
網路誘捕系統
國立雲林科技大學 資訊工程系
2
第三章 駭客入侵流程解析

網路探勘 (Reconnaissance)


利用網路上所提供的服務或工具 (例如Whois、Nslookup等等),來取得目標
主機的位置。
分為主動式(Active)探勘與被動式(Passive)探勘



3.1 網路探勘與掃描
主動式探勘:傳送特定的封包(TCP、UDP、ICMP)到目標主機,並根據回應封包
得到目標主機的相關資訊,例如 Ping 。
被動式探勘:不傳送特定的封包,而是監測封包來取得目標主機的相關資訊,例
如 Whois 。
掃描 (Scanning)


利用常用的工具或是指令,來取得目標主機的作業系統、網路服務、帳號密
碼等資訊。
掃描的方法有非常多種,常見的有 TCP Connect Scan、TCP SYN Scan、UDP
Port Scan、Fingerprint、Null Sessions等。
國立雲林科技大學 資訊工程系
3
第三章 駭客入侵流程解析
3.1 網路探勘與掃描

網路探勘方法 ─ Whois



Whois簡單來說就是一個資料庫
可以用來查詢網域是否被註冊以
及註冊網域的詳細資訊
左圖為TWNIC所提供的Whois服
務



資料來源 http://whois.twnic.net.tw/


國立雲林科技大學 資訊工程系
這裡以 Pchome為例
Registrant
 網域所有者的詳細資料
Record expires
 網域到期日期
Record created
 網域註冊日期
Domain servers
 網域所使用的 DNS Servers
4
第三章 駭客入侵流程解析
3.1 網路探勘與掃描

網路探勘方法 ─ Nslookup


Nslookup 使用說明



利用Nslookup查詢Yahoo!的IP位置

主要是用來查詢網域名稱和 IP
之間的對應關係
首先按 開始 → 執行 → cmd
接著輸入 nslookup
最後輸入要查詢的網域名稱
左圖以查詢Yahoo!為例
國立雲林科技大學 資訊工程系
5
第三章 駭客入侵流程解析
3.1 網路探勘與掃描

網路探勘方法 ─ Ping


Ping使用說明


利用ping查詢Yahoo!的IP位置

測試與遠端電腦或網路設備的連
線狀況
首先按 開始 → 執行 → cmd
接著輸入 ping 主機位置(或網域
名稱)
左圖以ping Yahoo!為例
國立雲林科技大學 資訊工程系
6
第三章 駭客入侵流程解析
3.1 網路探勘與掃描

1. SYN
掃描的方法 ─ TCP Connect Scan

2. SYN + ACK
A
3. ACK
B

三向交握示意圖
三向交握
1.
2.
3.

使用Nmap 做TCP Connect Scan
主要是利用TCP三向交握(Threeway handshaking) 的連 線方 式來
達到掃描的目的
如左上圖所示,首先主機A會先
送一個SYN的封包給主機B,告
知想要跟主機B建立連線。
當主機B收到後,會回送一個
SYN+ACK的封包給主機A 。
最後當主機A收到主機B的回應
後,會再回送一個ACK封包給
主機B,這時主機A跟主機B之
間即建立連線了。
左 下 圖 為 使 用 Nmap 做 TCP
Connect Scan
國立雲林科技大學 資訊工程系
7
第三章 駭客入侵流程解析
3.1 網路探勘與掃描

1. SYN


2. SYN + ACK
A
掃描的方法 ─ TCP SYN Scan
3. ACK
B
沒有完成三向交握
如左上圖,當主機 A 收到主機 B
的回應後,並不會回傳 ACK 封
包給主機 B 。
三向交握示意圖

TCP SYN Scan的優缺點



使用Nmap 做TCP SYN Scan
優點:由於沒有完成 TCP 三向
交握,所以不會在目標主機上留
下記錄。
缺點:需有管理者的權限才可執
行TCP SYN Scan (以左上圖為例
,必須要有主機 A 的管理者權限
)。
左下圖為使用Nmap做 TCP SYN
Scan
國立雲林科技大學 資訊工程系
8
第三章 駭客入侵流程解析
3.1 網路探勘與掃描

掃描的方法 ─ Stealth Scan

現在很多防火牆或路由器會對指定的port進行監視,將對這些port的連接
請求全部進行記錄。這樣即使是使用TCP SYN掃瞄仍然會被防火牆或入
侵偵測系統記錄到Log中,所以偷取掃瞄因此而生。

雖然說偷取掃瞄可以躲過很多防火牆或路由器的監視,但這種掃瞄的缺
點是掃瞄結果的不可靠性會增加,而且掃瞄主機也需要自己構建IP封包
,常見的偷取掃瞄有TCP FIN掃瞄、TCP ACK掃瞄、NULL掃瞄、XMAS
掃瞄及SYN ACK掃瞄。

但現在的入侵偵測系統應該都可以發現偷取掃瞄。

使用NMAP的指令為

NMAP -sF(-sX, -sN) -PT -PI target
國立雲林科技大學 資訊工程系
9
第三章 駭客入侵流程解析
3.1 網路探勘與掃描

掃描的方法 ─ UDP Port Scan




UDP Port Scan的缺點


使用Nmap做UDP Port Scan

由掃描主機發出 UDP 封包給目
標主機的 UDP Port ,並等待目
標 主 機
Port 送 回 ICMP
Unreachable訊息。
若收到目標主機Port傳回的ICMP
Unreachable訊息,則表示該 Port
處於關閉的狀態。
若沒有收到目標主機Port傳回的
ICMP Unreachable訊息,則表示
該 Port 可能處於Listen狀態。
UDP 協議不可靠
可能被防火牆濾掉
左 圖 為 使 用 Nmap 做 UDP Port
Scan
國立雲林科技大學 資訊工程系
10
第三章 駭客入侵流程解析
3.1 網路探勘與掃描

掃描的方法 ─ Fingerprint



運行服務的 Fingerprint
利用掃描得到目標主機有哪些
port是開啟的,並發送符合該協
定的命令封包再比對回應結果。
作業系統的 Fingerprint
找 出 作 業 系 統 間 不 同 的 TCP
Protocol Stack 特性,就可以藉此
區分出作業系統的類型或版本。
左圖為使用Nmap對目標主機進
行作業系統辨識
使用Nmap對目標主機進行作業系統辨識
國立雲林科技大學 資訊工程系
11
第三章 駭客入侵流程解析
3.1 網路探勘與掃描

掃描的方法 ─ Null Sessions


可得到的資訊





使用 DumpSec 所得到的資訊
也稱匿名登入,是一種允許匿名
使用者透過網路得到系統的使用
者名稱等相關資訊。
使用者及群組清單
主機清單
分享文件清單
使用者及主機的 SIDs
Identifiers)
(Security
左圖為使用 DumpSec 所得到的
資訊
國立雲林科技大學 資訊工程系
12
第三章 駭客入侵流程解析

3.2 基本防範對策
如何防範駭客入侵呢?








安裝適當的防毒軟體、反間諜軟體等,並定期更新病毒碼。
隨時修補作業系統的漏洞,避免駭客利用作業系統的漏洞植入後門程式。
不要輕易從來路不明的網站上下載檔案或程式,以免被植入後門程式。
不要點擊來路不明的電子郵件,並將 E-mail 軟體的信件預覽關閉。
不要隨便開放分享目錄,避免被當作入侵或感染的管道。
不需要使用網路資源時,將網路連線關閉。
使用即時通訊軟體時,確認對方身份後再開啟對方所傳送之網址與檔案。
電腦沒有在使用時,應啟動密碼保護措施。
國立雲林科技大學 資訊工程系
13
第三章 駭客入侵流程解析

3.2 基本防範對策
如何簡單判斷是否被植入後門程式呢?

利用工作管理員檢視目前正在執行哪些程式,並檢查是否有你未曾安裝的軟
體或執行序。
利用工作管理員檢視目前正在執行的程式
國立雲林科技大學 資訊工程系
14
第三章 駭客入侵流程解析

網路鑑識與分析




已知型態的攻擊可用防毒軟體、防火牆等工具或設備來阻擋,但未知型態的
攻擊卻很難使用上述的工具或設備來阻擋。
使用網路鑑識工具可以分析使用者的行為或狀態。
常見的網路鑑識工具有 Sniffer、Wireshark (Ethereal)、Tcpdump 等。
流量監控與分析




3.3 網路鑑識與分析
目前有誰在使用
目前使用者正在做什麼
是否遭受攻擊或違反網路管理原則
調整流量使其符合網路管理原則


哪些人可以優先使用網路
哪些事情必須要優先使用網路
國立雲林科技大學 資訊工程系
15
第三章 駭客入侵流程解析

3.3 網路鑑識與分析
如何進行網路流量監控與分析

擷取網路流量



分層分析




監看各種網路活動
入侵偵測與防護系統


流量統計
各個協定的細節
網路監控


利用什麼通訊協定傳輸
傳送哪些資料
分析與呈現


Sniffer
Wireshark
檢查是否有惡意的攻擊行為
網路管理


頻寬管理
政策的制定
國立雲林科技大學 資訊工程系
16
第三章 駭客入侵流程解析

3.3 網路鑑識與分析
擷取網路封包工具 ─ Wireshark




網管人員用來檢查網路問題
開發者用來為新的通訊協定除錯
網路安全工程師用來檢查網路安全的相關問題
一般使用者可用來學習網路通訊協定的相關知識
國立雲林科技大學 資訊工程系
17
第三章 駭客入侵流程解析

3.3 網路鑑識與分析
下圖為使用 Wireshark 擷取 ICMP 的封包
國立雲林科技大學 資訊工程系
18
第三章 駭客入侵流程解析

流量統計工具 ─ Bandwidth Monoitor


3.3 網路鑑識與分析
用來統計目前所接收、傳送的流量
下圖為 Bandwidth Monoitor Pro 1.30 的介面
國立雲林科技大學 資訊工程系
19
第三章 駭客入侵流程解析

流量統計工具 ─ NTOP



3.3 網路鑑識與分析
可監測區域網路內的封包數量
http://www.ntop.org
下圖為 NTOP 的使用介面
國立雲林科技大學 資訊工程系
20
第三章 駭客入侵流程解析

3.4 入侵偵測與防護系統
駭客入侵網路的理由多樣而且複雜,以下為較常見的理由:



企業間諜活動
金融利益
報復或揭發隱私

鑑於駭客入侵及網路攻擊事件頻傳,因此我們需要一套可以有效防範駭
客入侵及網路攻擊的系統,而入侵偵測與防護系統也就應運而生了

入侵偵測系統(Intrusion Detect System, IDS)


藉由分析網路封包或系統記錄檔,即時偵測出對系統進行攻擊的行為,並回
報給網管人員知道
入侵防護系統(Intrusion Prevention System, IPS)

相對於入侵偵測系統,入侵防護系統除了偵測出攻擊外,還會對該攻擊進行
阻擋的動作,但缺點是誤報率會提高
國立雲林科技大學 資訊工程系
21
第三章 駭客入侵流程解析
3.4 入侵偵測與防護系統


Intrusion Detection(入侵偵測)的定義為
「偵測不適當、不正確或是異常活動的技
術」。一般防火牆只能對某個服務存取進
行限制,但是無法偵測通過的封包是否異
常。而IDS可以分析通過的封包或系統的
日誌檔,並根據所建立好的入侵特徵資料
庫作比對,以偵測出異常事件並發出警報
。
入侵偵測系統依照佈署的位置及檢查重點
的不同,分成以下二種:



網路型入侵偵測系統

上圖為入侵偵測系統佈署之範例

網 路 型 入 侵 偵 測 系 統 (Network-based
Intrusion Detect System, NIDS)
主機型入侵偵測系統 (Host-based Intrusion
Detect System, HIDS)
通常佈署在一個網段上,監看及分析流經
此網段的封包,藉此分析出可能帶有入侵
行為的封包
主機型入侵偵測系統

國立雲林科技大學 資訊工程系
通常佈署在主機或伺服器上,主要的功能
在於分析主機或伺服器上被呼叫或執行的
指令,藉此分析出可能帶有惡意的系統呼
叫(System Call)指令
22
第三章 駭客入侵流程解析
3.4 入侵偵測與防護系統

網路型入侵偵測系統(Network-based Intrusion Detection System ,簡稱NIDS)

網路型入侵偵測系統收集網路封包作為入侵偵測的資料來源,若NIDS安裝在主
機上,則需將主機的網路卡設定為“promiscuous mode”(混亂模式)來收集所有通
過的網路封包,以進行偵測及分析。一般的檢測方式都會檢查網路封包內的標頭
(headers)及部份資料內容,從中判定是否包含攻擊行為,若偵測到有攻擊行為,
NIDS就可進行反制動作或提早預警。

以下所列為NIDS的分析比對模組用來執行攻擊特徵比對的方法:

特殊的位元組、模式比對。
事件發生頻率,及頻率是否超過所設的門檻值。
可疑事件的關聯性。
統計結果上的異常例外數值。



國立雲林科技大學 資訊工程系
23
第三章 駭客入侵流程解析
3.4 入侵偵測與防護系統

主機型入侵偵測系統(Host-based Intrusion Detection System,簡稱HIDS)

主機型入侵偵測系統發展始於80年代早期,通常只觀察、稽核系統日誌檔是否有
惡意的行為,用以防止類似事件再度發生。在Windows NT/2000的環境下,通常
可以藉由監測系統、事件及安全日誌檢視器中所記載的內容來加以分析、比對,
從中發現出可疑的攻擊行為;在UNIX環境下,則監測系統日誌。當有事件發生
時,主機式入侵偵測系統即做入侵行為的比對,若有符合,則由回應模組通知系
統管理員,或自動對攻擊行為進行適當的反應。
國立雲林科技大學 資訊工程系
24
第三章 駭客入侵流程解析

3.4 入侵偵測與防護系統
NIDS的優缺點(與HIDS比較)





集中佈署於一網路節點
NIDS只需設置在一網路的必經節點上不須設置於網路上的每一台主機,在管理和成
本的考量上都是較理想的。但若只靠NIDS則需要冒較高的風險,例如:無法監看有加
密的點對點連線。
攻擊者進行攻擊後會留下封包證據
因為NIDS所採取的是即時收集封包,攻擊者若要抹滅曾進行的攻擊證據是有困難度的
;但是在HIDS上的紀錄檔或是稽核檔案,有可能會被攻擊者入侵後修改,造成HIDS
失效。 但是IP Spoofing的問題會造成NIDS難以找出真正的攻擊者。
即時反應
因為NIDS所採取的是即時收集封包,即時進行反制,可以在第一時間通知、反應,避
免給與攻擊者過多時間進行攻擊行動。而HIDS因為是採定時檢查的方式,較易遭受到
阻斷攻擊而導致主機當機、無法繼續運作。
較大的彈性空間
NIDS可以選擇佈署在防火牆外部,這點是HIDS無法做到的;NIDS佈署在防火牆外部
的好處是無論成功通過防火牆或被防火牆擋下的攻擊封包,都會被NIDS偵測、紀錄下
來,以獲得更多關於攻擊者的資訊。除此之外,NIDS也不需要像HIDS要考慮到主機
平台是否支援此 HIDS的因素。
匿蹤、隱形的能力
相對於HIDS,NIDS可以不設定網路介面的位址,也就是達到隱形於網路,同時又能
收集所有網路封包的資訊 。
國立雲林科技大學 資訊工程系
25
第三章 駭客入侵流程解析

3.4 入侵偵測與防護系統
HIDS的優缺點(與NIDS比較)



對於攻擊事件的影響有較詳盡的紀錄
因為HIDS是將攻擊者所造成的系統改變紀錄下來,因此可以得知更多關於攻擊者對特
定主機入侵事件造成的影響,及更準確的紀錄攻擊行動的成敗。HIDS通常有個別使用
者的上線紀錄,重要檔案的增刪、修改紀錄,使用者權限改變的紀錄,使用者連線到
哪裡的紀錄,系統對外開啟的 port 紀錄等等細項紀錄資訊,都是NIDS很難做到的。
點對點連線的防護
目前有許多的點對點連線因為採取加密處理,而無法在NIDS上做到完全的檢查,此時
就可以在HIDS上對連線資料做稽核檢察。
不需另外新增主機硬體
HIDS只需要在主機上另外安裝新的軟體,而不像NIDS需要另外新增主機硬體設備。
國立雲林科技大學 資訊工程系
26
第三章 駭客入侵流程解析

入侵偵測系統若依照技術的不同,則可分成以下二種:



錯誤偵測(Misuse-based Detection)
異常偵測(Anomaly-based Detection)
錯誤偵測(Misuse-based Detection)





3.4 入侵偵測與防護系統
最常用於IDS上的偵測方式,又稱特徵偵測(Signature-based Detection) 。
系統會先針對入侵特徵建立一個資料庫,只要偵測到的封包與資料庫的某個
特徵相符,系統就將它視為入侵。
優點:與異常偵測相比,誤報率較低。
缺點:無法偵測出未知型態的入侵行為。
異常偵測(Anomaly-based Detection)



先對正常的使用者或網路流量建立一個描述「正常」行為的行為資料庫,再
對通過的封包做比對,若超過正常行為的門檻值,那麼就可視為入侵行為。
優點:可偵測出未知型態的入侵行為。
缺點:與錯誤偵測相比,誤報率較高。
國立雲林科技大學 資訊工程系
27
第三章 駭客入侵流程解析

3.4 入侵偵測與防護系統
目前用來實現入侵偵測系統的技術,較為常見的有以下幾種:

專家系統 (Expert System)
雇請專家來分析攻擊行為,並將其轉換成系統可用之「攻擊特徵碼」,入侵偵測系統
便依照此攻擊特徵碼來判斷是否有攻擊發生。

統計分析 (Statistical Measure)
這種方式會蒐集網路的歷史封包記錄,建立屬於正常連線或行為的模組,往後只要當
網路封包或使用者流量超過模組所定義的範圍時,便會認為有攻擊行為或入侵行為發
生。

類神經網路 (Neural Network)
需先蒐集正常或攻擊的封包,並將這些封包丟給神經網路做訓練(training),讓神經網
路學習何為正常,何為攻擊,再將訓練完成的神經網路拿來當做偵測引擎,當神經網
路認為是入侵行為時,就會發出警報。

資料探勘 (Data Mining)
這種方式可在一群正常或是攻擊的封包中,找出最常出現的正常(或攻擊)特徵;若是
對攻擊封包做探勘,則可以得到此攻擊的攻擊特徵碼。在偵測階段,只要偵測引擎發
現封包與攻擊特徵碼相同時,就會發出警報。
國立雲林科技大學 資訊工程系
28
第三章 駭客入侵流程解析

3.4 入侵偵測與防護系統
在入侵偵測系統中,我們利用以下幾個項目來檢視入侵偵測系統的效能



偵測率 (Detection Rate)
說明此IDS可以承受多少封包流量,但這可以隨著硬體的提升,而增加偵測
能力,通常可以用完成判斷(入侵偵測系統有記錄並完成比對)的封包佔所有
流經封包的百分比(%)作為評估的標準。
誤報率 (False Positive Rate)
被判斷成攻擊行為的正常封包(或正常連線),占所有正常封包(正常連線)的
百分比(%)。一般來說若採用異常偵測(Anomaly Detection)時,此誤報率會比
較高,因為系統有時會將正常行為當做攻擊。
漏報率 (False Negative Rate)
被判斷成正常行為的攻擊封包(或攻擊連線),占所有攻擊封包(或攻擊連線)
的百分比(%) 。一般來說若採用錯誤偵測(Misuse Detection)時,漏報率會比
較高,因為系統無法偵測未知的攻擊。
國立雲林科技大學 資訊工程系
29
第三章 駭客入侵流程解析

3.4 入侵偵測與防護系統
入侵偵測系統所面臨的問題





使用監視的方式無法有效的阻擋攻擊。
雖偵測到異常,但因參雜許多其他的因素,使得網管人員難以發現。
即使網管人員發現異常,亦需要搭配其他記錄(如防火牆記錄檔等等)再做追
查。
因記錄數量的考量,通常只能對特定的網段或主機記錄,無法對所有的主機
記錄、偵測。
建置成本太高。
國立雲林科技大學 資訊工程系
30
第三章 駭客入侵流程解析
3.4 入侵偵測與防護系統

由於入侵偵測系統無法有效的阻擋網路攻擊,因而發展出入侵防護系統
。

入侵防護系統




所有封包都需經過入侵防護系統
採用即時分析(In-line)模式,能在第一時間阻擋攻擊封包
阻擋的是攻擊封包而不是攻擊來源
多種檢測方法,降低誤報率




特徵資料庫分析 (Signature Analysis)
異常通訊協定分析 (Protocol Anomaly Analysis)
異常行為模組分析 (Behavior Anomaly Analysis)
入侵防護系統所面臨的問題




難以使用在大型網路上
若是誤判,會影響到正常使用者
由於要檢查所有的封包,所以會影響到網路速度
隨著網路技術與產品的發展,可能會增加網路管理及建置的困難度
國立雲林科技大學 資訊工程系
31
第三章 駭客入侵流程解析
3.5 網路誘捕系統

隨著網路技術的發展,現在的資安科技無法提供絕對的安全防護,所以
“資訊偽裝”及“誘補與欺敵”是防衛重要資訊的重要手段。

網路誘補系統是經過精心規劃,以大量的陷阱吸引攻擊者,引誘攻擊者
發動攻擊,再利用資料擷取工具,加以記錄並分析。

首先出現的商用誘捕系統是DTK Deception ToolKit,其後引發一系列的
研究,其中成果最顯著的為 Honeynet Project 及 Honeypot。

Honeynet Project 是透過學習駭客群體的動機、攻擊工具及攻擊策略,分
析駭客的行為與威脅,並將結果發表於“Know Your Enemy”系列文章
。

Honeypot 是一個故意被設計成有缺陷的系統,讓攻擊者易於攻擊,誘使
攻擊者進行攻擊,藉此欺敵來保護重要的系統或是對攻擊者的行為進行
分析。
國立雲林科技大學 資訊工程系
32
第三章 駭客入侵流程解析

Honeypot 依其回應的方式可分為



低互動型 (low-interaction)
高互動型 (high-interaction)
低互動型



3.5 網路誘捕系統
藉由模擬服務與作業系統來達成
較容易部署與維護,風險也比較小
高互動型



使用真正的應用程式與作業系統
通常包括多台主機,這些主機是隱藏在防火牆後面的,所有進出的封包都受
到監控、補獲及控制
可經由補獲的封包,進一步分析入侵者使用的工具、方法及動機
國立雲林科技大學 資訊工程系
33
第三章 駭客入侵流程解析

Honeyd




3.5 網路誘捕系統
低互動型的 Honeypot
主要功能是監控沒有使用的 IP
當Honeyd發現有人企圖對一個不存在的系統進行連線時,便會偽裝成一個系
統做回應並記錄對方的行為
缺點

較容易被入侵者識破
國立雲林科技大學 資訊工程系
34
第三章 駭客入侵流程解析

Honeynet


高互動型的 Honeypot
分成三大部分




防止入侵者在取得 Honeynet 中的電腦權限後,利用 Honeynet 作為跳板對其
他主機進行攻擊,因此我們必須要對入侵者可能得到的權限作限制。
資料擷取



資料控制 (data control)
資料擷取 (data capture)
資料分析 (data analysis)
資料控制


3.5 網路誘捕系統
對在 Honeynet 中進行活動的入侵者做監測和記錄的工作。
在不被入侵者發現的情況下獲取最多的資訊。
資料分析

透過蒐集來的系統記錄,統計分析事件、資料關連分析與報表制作等等。
國立雲林科技大學 資訊工程系
35
第三章 駭客入侵流程解析

Virtual Honeynet



允許在同一時間,同一硬體平臺上運行多個作業系統的虛擬軟體。
虛擬Honeynet本質上不是一種新技術,它們只是採用了Honeynet技術的概念
,而把它們實現在一個系統上。
優點



3.5 網路誘捕系統
花費較小
虛擬的系統,不需要額外的設備。
易於管理
集中在一台管理。
缺點


配置限制多
例如無法在一個虛擬Honeynet中配置Alteon switch、Cray computer等。
風險高
破壞虛擬軟體,並且控制整個Honeynet,從而達到對整個系統的控制。
國立雲林科技大學 資訊工程系
36
第三章 駭客入侵流程解析

3.5 網路誘捕系統
Virtual Honeynet種類


獨立 Virtual Honeynet (Self-Contained Honeynet)
一個獨立虛擬Honeynet是被濃縮到一台電腦上的一個完整的Honeynet網路 。
混合 Virtual Honeynet(Hybrid Honeynet)
不局限於一台機器,而是把它的組成部分分開在多台機器上部署,是傳統
Honeynet和虛擬軟體的混合體 。
國立雲林科技大學 資訊工程系
37
第三章 駭客入侵流程解析

3.5 網路誘捕系統
獨立 Virtual Honeynet

優點



可攜性高
虛擬Honeynet能夠搭建於移動式電腦上,能被帶到任何地方。
資金和空間上的節省
只需要一台電腦,可減少硬體上的開支。
缺點




容錯性差
如果硬體出了問題,整個Honeynet將不能使用。
資源需求大
需擁有足夠的記憶體和處理能力很強的處理器。
安全性低
所有東西都共用硬體資源,所以存在攻擊者攻破系統其他部分的危險。
軟體限制高
因為所有東西都在一個系統中運行,能使用的軟體就會受到限制,如:在Intel晶
片上運行Cisco IOS是非常困難的。
國立雲林科技大學 資訊工程系
38
第三章 駭客入侵流程解析

3.5 網路誘捕系統
混合Virtual Honeynet

優點



安全性較高
混合虛擬Honeynet中,唯一的危險只可能是攻擊者進入其他的Honeypots。
軟體使用靈活性
可以使用多種軟體和硬體來實現混合網路的資料控制和資料擷取。
缺點


移動性低
網路由多台主機組成,移動相當困難。
成本較昂貴
網路中有多台電腦,將花費更多的空間和資金。
國立雲林科技大學 資訊工程系
39
第三章 駭客入侵流程解析

3.5 網路誘捕系統
下圖為在Linux上安裝Virtual Honeynet的安裝圖。
國立雲林科技大學 資訊工程系
40
第三章 駭客入侵流程解析















參考資料
「http://bro-ids.org/ 」, BRO。
「 http://www.ossec.net」,OSSEC 。
「 http://www.snort.org/vrt 」, Snort。
「 http://www.la-samhna.de/samhain/ 」,SAMHAIN Lab。
「http://sourceforge.net/projects/secureideas 」,BASE project。
「http://acidlab.sourceforge.net/ 」, Analysis Console for Intrusion Databases (ACID) 。
「 Http://www.securiteam.com/ tools/5HP072AFPK.html 」 , Open HIDS - Windows Host
Intrusion Detection System。
「 http://www.conft.com/en/US/docs/ios/12_3t /12_3t8/feature/guide/gt_fwids.html 」, Cisco
IOS Intrusion Prevention System, CISCO。
「入侵防禦系統 .ppt」。
「網路探測技術.ppt」。
「網路監控技術.ppt」。
「網路誘捕系統.ppt」。
「入侵偵測防禦系統.ppt」。
「入侵偵測與防護系統.ppt」。
「輕鬆對抗網路安全威脅.pdf」。
國立雲林科技大學 資訊工程系
41