什么是網(wǎng)絡(luò)欺騙����?6 E/ g" i T4 D, \' h& O& H
9 i4 {2 D7 {/ Z0 y
計算機系統(tǒng)及網(wǎng)絡(luò)的信息安全將是新世紀中各國面臨的重大挑戰(zhàn)之一���。在我國�����,這一問題已引起各方面的高度重視���,一些典型技術(shù)及相關(guān)產(chǎn)品如密碼與加密、認證與訪問控制�����、入侵檢測與響應(yīng)、安全分析與模擬和災(zāi)難恢復(fù)都處于如火如荼的研究和開發(fā)之中��。近年來�����,在與入侵者周旋的過程中��,另一種有效的信息安全技術(shù)正漸漸地進入了人們的視野�,那就是網(wǎng)絡(luò)欺騙。
3 }# t4 S: A- _% \4 m
8 M+ a' x$ V+ E* G+ }0 V: B8 m網(wǎng)絡(luò)欺騙就是使入侵者相信信息系統(tǒng)存在有價值的��、可利用的安全弱點��,并具有一些可攻擊竊取的資源(當(dāng)然這些資源是偽造的或不重要的)����,并將入侵者引向這些錯誤的資源。它能夠顯著地增加入侵者的工作量���、入侵復(fù)雜度以及不確定性����,從而使入侵者不知道其進攻是否奏效或成功����。而且�����,它允許防護者跟蹤入侵者的行為����,在入侵者之前修補系統(tǒng)可能存在的安全漏洞��。
" ^" z4 y. [$ r7 H; c; N& p1 ?* g3 G# t; d
從原理上講��,每個有價值的網(wǎng)絡(luò)系統(tǒng)都存在安全弱點�,而且這些弱點都可能被入侵者所利用。網(wǎng)絡(luò)欺騙主要有以下三個作用:
6 S0 H3 }/ T, @- Q- m5 N
1 s |% N/ K! q, Q 影響入侵者使之按照你的意志進行選擇�;
! R5 Q7 I! `! c% x! p
* `" ~6 N4 {7 _; y. o 迅速地檢測到入侵者的進攻并獲知其進攻技術(shù)和意圖���;# Q& e1 a3 P+ Y9 @* u4 ?
! B: ?& q: R5 r( M$ z) B 消耗入侵者的資源���。
4 Z/ z) ^: Q* L; S1 u5 N# a( ~5 ^# W, v4 |- `+ y! S6 i+ b9 \6 A
一個理想的網(wǎng)絡(luò)欺騙可以使入侵者感到他們不是很容易地達到了期望的目標(biāo)(當(dāng)然目標(biāo)是假的),并使其相信入侵取得了成功��。
) s: R' G) j' h% o3 ]
$ N: [, q4 P0 i. A7 j, P1 v( m) ^, U網(wǎng)絡(luò)欺騙的主要技術(shù)
2 d {1 c6 k4 Z( d* w7 y4 `+ B9 V- F: _9 X- |5 X0 }* h) t+ P
Honey Pot和分布式Honey Pot
2 `) R: i. K+ a& A3 i7 ~; z, P7 x2 p# q
網(wǎng)絡(luò)欺騙一般通過隱藏和安插錯誤信息等技術(shù)手段實現(xiàn)����,前者包括隱藏服務(wù)��、多路徑和維護安全狀態(tài)信息機密性�����,后者包括重定向路由�����、偽造假信息和設(shè)置圈套等等�。綜合這些技術(shù)方法�����,最早采用的網(wǎng)絡(luò)欺騙是Honey Pot技術(shù)�,它將少量的有吸引力的目標(biāo)(我們稱之為Honey Pot)放置在入侵者很容易發(fā)現(xiàn)的地方,以誘使入侵者上當(dāng)����。* x! M, t& q( R& W& [. J% p
3 g9 w+ f% \. P這種技術(shù)的目標(biāo)是尋找一種有效的方法來影響入侵者,使得入侵者將技術(shù)����、精力集中到Honey Pot而不是其它真正有價值的正常系統(tǒng)和資源中�。Honey Pot技術(shù)還可以做到一旦入侵企圖被檢測到時�,迅速地將其切換。
) s, U/ I- s! t: O: A
! L8 H# T, V( N6 M$ R& }( i但是�����,對稍高級的網(wǎng)絡(luò)入侵�,Honey Pot技術(shù)就作用甚微了。因此����,分布式Honey Pot技術(shù)便應(yīng)運而生,它將欺騙(Honey Pot)散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中���,利用閑置的服務(wù)端口來充當(dāng)欺騙�����,從而增大了入侵者遭遇欺騙的可能性。它具有兩個直接的效果��,一是將欺騙分布到更廣范圍的IP地址和端口空間中���,二是增大了欺騙在整個網(wǎng)絡(luò)中的百分比��,使得欺騙比安全弱點被入侵者掃描器發(fā)現(xiàn)的可能性增大�����。
% g' _% ?! L% W: c6 h0 i0 d
4 q8 K4 V; y+ j. h: c, U1 _盡管如此����,分布式Honey Pot技術(shù)仍有局限性,這體現(xiàn)在三個方面:一是它對窮盡整個空間搜索的網(wǎng)絡(luò)掃描無效�;二是只提供了相對較低的欺騙質(zhì)量;三是只相對使整個搜索空間的安全弱點減少��。而且��,這種技術(shù)的一個更為嚴重的缺陷是它只對遠程掃描有效���。如果入侵已經(jīng)部分進入到網(wǎng)絡(luò)系統(tǒng)中�����,處于觀察(如嗅探)而非主動掃描階段時�����,真正的網(wǎng)絡(luò)服務(wù)對入侵者已經(jīng)透明��,那么這種欺騙將失去作用�����。3 w7 N, d, r! n2 O2 {
5 l4 @6 x: {6 _5 U# L欺騙空間技術(shù)
& v/ c% V$ _& Y# J4 \; l/ p8 x; H D l
欺騙空間技術(shù)就是通過增加搜索空間來顯著地增加入侵者的工作量��,從而達到安全防護的目的�����。利用計算機系統(tǒng)的多宿主能力(multi-h(huán)omed capability)�,在只有一塊以太網(wǎng)卡的計算機上就能實現(xiàn)具有眾多IP地址的主機,而且每個IP地址還具有它們自己的MAC地址��。這項技術(shù)可用于建立填充一大段地址空間的欺騙����,且花費極低。實際上���,現(xiàn)在已有研究機構(gòu)能將超過4000個IP地址綁定在一臺運行Linux的PC上�����。這意味著利用16臺計算機組成的網(wǎng)絡(luò)系統(tǒng)�,就可做到覆蓋整個B類地址空間的欺騙�。盡管看起來存在許許多多不同的欺騙,但實際上在一臺計算機上就可實現(xiàn)��。& Z1 \: \3 o u5 q& a3 J" S
) I$ R- u6 ~* H% Q從效果上看���,將網(wǎng)絡(luò)服務(wù)放置在所有這些IP地址上將毫無疑問地增加了入侵者的工作量�����,因為他們需要決定哪些服務(wù)是真正的���,哪些服務(wù)是偽造的,特別是這樣的4萬個以上IP地址都放置了偽造網(wǎng)絡(luò)服務(wù)的系統(tǒng)��。而且���,在這種情況下���,欺騙服務(wù)相對更容易被掃描器發(fā)現(xiàn),通過誘使入侵者上當(dāng)��,增加了入侵時間,從而大量消耗入侵者的資源����,使真正的網(wǎng)絡(luò)服務(wù)被探測到的可能性大大減小。6 t& b! X0 q3 }6 G: e
: I7 `1 G8 v" y" A4 Y, N當(dāng)入侵者的掃描器訪問到網(wǎng)絡(luò)系統(tǒng)的外部路由器并探測到一欺騙服務(wù)時��,還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上��,使得接下來的遠程訪問變成這個欺騙的繼續(xù)��。
* |0 | N9 x, H d; ]8 O# M! F* n# a$ i( x5 O
當(dāng)然���,采用這種欺騙時網(wǎng)絡(luò)流量和服務(wù)的切換(重定向)必須嚴格保密�����,因為一旦暴露就將招致攻擊���,從而導(dǎo)致入侵者很容易將任一已知有效的服務(wù)和這種用于測試入侵者的掃描探測及其響應(yīng)的欺騙區(qū)分開來。( u$ {" F9 l( u+ W2 s" n
1 a3 f4 q3 R5 D- x! w增強欺騙質(zhì)量& e- X9 P: Y; ~( u, r; D1 S1 Z
$ k, \* S; P1 {3 s
面對網(wǎng)絡(luò)攻擊技術(shù)的不斷提高�,一種網(wǎng)絡(luò)欺騙技術(shù)肯定不能做到總是成功,必須不斷地提高欺騙質(zhì)量��,才能使入侵者難以將合法服務(wù)和欺騙區(qū)分開來���。
# S2 J4 p9 v* X* C7 A
" }4 K8 k3 X" u" l網(wǎng)絡(luò)流量仿真�����、網(wǎng)絡(luò)動態(tài)配置����、多重地址轉(zhuǎn)換和組織信息欺騙是有效增強網(wǎng)絡(luò)欺騙質(zhì)量的幾種主要方法����,下面分別予以介紹。( }0 J/ w1 {9 X- U
1 [2 a% `; \6 ^. i# u網(wǎng)絡(luò)流量仿真
1 i1 |" E2 I% t! s* o/ U' Z. L) ?9 ?# k0 N- U$ A f
產(chǎn)生仿真流量的目的是使流量分析不能檢測到欺騙��。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法�。一種方法是采用實時方式或重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量,這使得欺騙系統(tǒng)與真實系統(tǒng)十分相似����,因為所有的訪問連接都被復(fù)制了。第二種方法是從遠程產(chǎn)生偽造流量���,使入侵者可以發(fā)現(xiàn)和利用��。
. S0 ^0 x$ d' j6 A# y- Z* r1 X" I# s' }
網(wǎng)絡(luò)動態(tài)配置" O7 I) O' d# z- w4 e
7 j$ s1 f1 u% R# P2 G! l X真實網(wǎng)絡(luò)是隨時間而改變的���,如果欺騙是靜態(tài)的�,那么在入侵者長期監(jiān)視的情況下就會導(dǎo)致欺騙無效����。因此,需要動態(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)行為��,使欺騙網(wǎng)絡(luò)也象真實網(wǎng)絡(luò)那樣隨時間而改變�。為使之有效,欺騙特性也應(yīng)該能盡可能地反映出真實系統(tǒng)的特性����。例如,如果辦公室的計算機在下班之后關(guān)機��,那么欺騙計算機也應(yīng)該在同一時刻關(guān)機�����。其它的如假期��、周末和特殊時刻也必須考慮��,否則入侵者將很可能發(fā)現(xiàn)欺騙。6 D" a% U* P; k# O: D
6 h& y3 s* \. J: T! G) W( N多重地址轉(zhuǎn)換(multiple address translation)
& \ u& X6 y1 i) ~% G% I# f( A" q) o5 g* w
地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡(luò)和真實網(wǎng)絡(luò)分離開來����,這樣就可利用真實的計算機替換低可信度的欺騙,增加了間接性和隱蔽性����。其基本的概念就是重定向代理服務(wù)(通過改寫代理服務(wù)器程序?qū)崿F(xiàn)),由代理服務(wù)進行地址轉(zhuǎn)換�,使相同的源和目的地址象真實系統(tǒng)那樣被維護在欺騙系統(tǒng)中���。右圖中�����,從m.n.o.p進入到a.b.c.g接口的訪問�,將經(jīng)過一系列的地址轉(zhuǎn)換——由a.f.c.g發(fā)送到10.n.o.p再到10.g.c.f���,最后將數(shù)據(jù)包欺騙形式從m.n.o.p轉(zhuǎn)換到真實機器上的a.b.c.g���。并且還可將欺騙服務(wù)綁定在與提供真實服務(wù)主機相同類型和配置的主機上,從而顯著地提高欺騙的真實性�。還可以嘗試動態(tài)多重地址轉(zhuǎn)換。) J0 g# T' b: V( s1 H# m
4 M3 ~! p1 S& t% p7 o
創(chuàng)建組織信息欺騙# ?1 V% K% R- _) k' t+ {2 |& u+ ?( W
7 T% y( f0 ?& q7 C
如果某個組織提供有關(guān)個人和系統(tǒng)信息的訪問���,那么欺騙也必須以某種方式反映出這些信息�。例如,如果組織的DNS服務(wù)器包含了個人系統(tǒng)擁有者及其位置的詳細信息��,那么你就需要在欺騙的DNS列表中具有偽造的擁有者及其位置�,否則欺騙很容易被發(fā)現(xiàn)。而且���,偽造的人和位置也需要有偽造的信息如薪水�、預(yù)算和個人記錄等等�����。, o+ |8 c- W: X# t0 u1 p. _6 Q
0 @# H5 {4 ~9 B. a9 m" p結(jié)束語1 w: _( I' _0 K* z, c" {* s
7 `' ?& r7 V0 M! k7 s
本文闡述了網(wǎng)絡(luò)欺騙在信息系統(tǒng)安全中的作用及實現(xiàn)的主要技術(shù)���,并介紹了增強欺騙質(zhì)量的具體方法�。高質(zhì)量的網(wǎng)絡(luò)欺騙���,使可能存在的安全弱點有了很好的隱藏偽裝場所����,真實服務(wù)與欺騙服務(wù)幾乎融為一體,使入侵者難以區(qū)分��。因此�����,一個完善的網(wǎng)絡(luò)安全整體解決方案���,離不開網(wǎng)絡(luò)欺騙�����。在網(wǎng)絡(luò)攻擊和安全防護的相互促進發(fā)展過程中,網(wǎng)絡(luò)欺騙技術(shù)將具有廣闊的發(fā)展前景�����。# n) _0 h) M: w! Z( t
|
發(fā)表于 2011-1-12 21:02:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡