網(wǎng) 絡(luò) 欺 騙 技 術(shù)

什么是網(wǎng)絡(luò)欺騙？

計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)的信息安全將是新世紀(jì)中各國(guó)面臨的重大挑戰(zhàn)之一。在我國(guó)，這一問(wèn)題已引起各方面的高度重視，一些典型技術(shù)及相關(guān)產(chǎn)品如密碼與加密、認(rèn)證與訪問(wèn)控制、入侵檢測(cè)與響應(yīng)、安全分析與模擬和災(zāi)難恢復(fù)都處于如火如荼的研究和開發(fā)之中。近年來(lái)，在與入侵者周旋的過(guò)程中，另一種有效的信息安全技術(shù)正漸漸地進(jìn)入了人們的視野，那就是網(wǎng)絡(luò)欺騙。
3 ^. z$ N3 n5 N$ [% `8 C; \
網(wǎng)絡(luò)欺騙就是使入侵者相信信息系統(tǒng)存在有價(jià)值的、可利用的安全弱點(diǎn)，并具有一些可攻擊竊取的資源（當(dāng)然這些資源是偽造的或不重要的），并將入侵者引向這些錯(cuò)誤的資源。它能夠顯著地增加入侵者的工作量、入侵復(fù)雜度以及不確定性，從而使入侵者不知道其進(jìn)攻是否奏效或成功。而且，它允許防護(hù)者跟蹤入侵者的行為，在入侵者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。
& F0 t+ H9 g5 G: [
: v) s8 v. e5 z2 T- Q% e& C3 N從原理上講，每個(gè)有價(jià)值的網(wǎng)絡(luò)系統(tǒng)都存在安全弱點(diǎn)，而且這些弱點(diǎn)都可能被入侵者所利用。網(wǎng)絡(luò)欺騙主要有以下三個(gè)作用：

　　影響入侵者使之按照你的意志進(jìn)行選擇；
/ u! r7 a2 ^9 W/ R( s
　　迅速地檢測(cè)到入侵者的進(jìn)攻并獲知其進(jìn)攻技術(shù)和意圖；
; a& t2 w. I: G# ]; T2 }: z
# a5 ^! v3 {7 Z4 F+ s  D6 j! h: F　　消耗入侵者的資源。
( y( n% \0 Z& z8 f
7 ]% M% e% R5 p: X2 y) J+ Z一個(gè)理想的網(wǎng)絡(luò)欺騙可以使入侵者感到他們不是很容易地達(dá)到了期望的目標(biāo)（當(dāng)然目標(biāo)是假的），并使其相信入侵取得了成功。

) |% I& s2 }  j8 C2 s2 |8 Q8 R# A網(wǎng)絡(luò)欺騙的主要技術(shù)
! O& T4 r$ E; r0 _: O2 r
/ k6 v6 i9 v- v3 M. y6 A% \$ b; yHoney Pot和分布式Honey Pot
, R9 N" f" `3 {+ Z! P2 G: ^; a
網(wǎng)絡(luò)欺騙一般通過(guò)隱藏和安插錯(cuò)誤信息等技術(shù)手段實(shí)現(xiàn)，前者包括隱藏服務(wù)、多路徑和維護(hù)安全狀態(tài)信息機(jī)密性，后者包括重定向路由、偽造假信息和設(shè)置圈套等等。綜合這些技術(shù)方法，最早采用的網(wǎng)絡(luò)欺騙是Honey Pot技術(shù)，它將少量的有吸引力的目標(biāo)（我們稱之為Honey Pot）放置在入侵者很容易發(fā)現(xiàn)的地方，以誘使入侵者上當(dāng)。
# ~6 h" p0 F/ O% J
這種技術(shù)的目標(biāo)是尋找一種有效的方法來(lái)影響入侵者，使得入侵者將技術(shù)、精力集中到Honey Pot而不是其它真正有價(jià)值的正常系統(tǒng)和資源中。Honey Pot技術(shù)還可以做到一旦入侵企圖被檢測(cè)到時(shí)，迅速地將其切換。
  D: g1 Q" d6 h0 I. A
* E1 h) w7 d$ H: B1 l但是，對(duì)稍高級(jí)的網(wǎng)絡(luò)入侵，Honey Pot技術(shù)就作用甚微了。因此，分布式Honey Pot技術(shù)便應(yīng)運(yùn)而生，它將欺騙（Honey Pot）散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中，利用閑置的服務(wù)端口來(lái)充當(dāng)欺騙，從而增大了入侵者遭遇欺騙的可能性。它具有兩個(gè)直接的效果，一是將欺騙分布到更廣范圍的IP地址和端口空間中，二是增大了欺騙在整個(gè)網(wǎng)絡(luò)中的百分比，使得欺騙比安全弱點(diǎn)被入侵者掃描器發(fā)現(xiàn)的可能性增大。
3 ]$ {8 W3 z. i- Y1 T
" P$ g+ j2 y3 N+ ]+ P盡管如此，分布式Honey Pot技術(shù)仍有局限性，這體現(xiàn)在三個(gè)方面：一是它對(duì)窮盡整個(gè)空間搜索的網(wǎng)絡(luò)掃描無(wú)效；二是只提供了相對(duì)較低的欺騙質(zhì)量；三是只相對(duì)使整個(gè)搜索空間的安全弱點(diǎn)減少。而且，這種技術(shù)的一個(gè)更為嚴(yán)重的缺陷是它只對(duì)遠(yuǎn)程掃描有效。如果入侵已經(jīng)部分進(jìn)入到網(wǎng)絡(luò)系統(tǒng)中，處于觀察（如嗅探）而非主動(dòng)掃描階段時(shí)，真正的網(wǎng)絡(luò)服務(wù)對(duì)入侵者已經(jīng)透明，那么這種欺騙將失去作用。

欺騙空間技術(shù)

  ~9 J. U, a+ b6 A欺騙空間技術(shù)就是通過(guò)增加搜索空間來(lái)顯著地增加入侵者的工作量，從而達(dá)到安全防護(hù)的目的。利用計(jì)算機(jī)系統(tǒng)的多宿主能力（multi－h(huán)omed capability），在只有一塊以太網(wǎng)卡的計(jì)算機(jī)上就能實(shí)現(xiàn)具有眾多IP地址的主機(jī)，而且每個(gè)IP地址還具有它們自己的MAC地址。這項(xiàng)技術(shù)可用于建立填充一大段地址空間的欺騙，且花費(fèi)極低。實(shí)際上，現(xiàn)在已有研究機(jī)構(gòu)能將超過(guò)4000個(gè)IP地址綁定在一臺(tái)運(yùn)行Linux的PC上。這意味著利用16臺(tái)計(jì)算機(jī)組成的網(wǎng)絡(luò)系統(tǒng)，就可做到覆蓋整個(gè)B類地址空間的欺騙。盡管看起來(lái)存在許許多多不同的欺騙，但實(shí)際上在一臺(tái)計(jì)算機(jī)上就可實(shí)現(xiàn)。
5 T/ N7 f3 v+ I6 ^
8 O( r* a- J5 i0 J4 b: x+ u% G從效果上看，將網(wǎng)絡(luò)服務(wù)放置在所有這些IP地址上將毫無(wú)疑問(wèn)地增加了入侵者的工作量，因?yàn)樗麄冃枰獩Q定哪些服務(wù)是真正的，哪些服務(wù)是偽造的，特別是這樣的4萬(wàn)個(gè)以上IP地址都放置了偽造網(wǎng)絡(luò)服務(wù)的系統(tǒng)。而且，在這種情況下，欺騙服務(wù)相對(duì)更容易被掃描器發(fā)現(xiàn)，通過(guò)誘使入侵者上當(dāng)，增加了入侵時(shí)間，從而大量消耗入侵者的資源，使真正的網(wǎng)絡(luò)服務(wù)被探測(cè)到的可能性大大減小。
$ G4 ~1 u) ~/ I: o/ ]% Q
7 f/ x! V& M$ |8 Z1 k3 c& X: f6 k當(dāng)入侵者的掃描器訪問(wèn)到網(wǎng)絡(luò)系統(tǒng)的外部路由器并探測(cè)到一欺騙服務(wù)時(shí)，還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上，使得接下來(lái)的遠(yuǎn)程訪問(wèn)變成這個(gè)欺騙的繼續(xù)。
( e4 k* c) Y  I" t
當(dāng)然，采用這種欺騙時(shí)網(wǎng)絡(luò)流量和服務(wù)的切換（重定向）必須嚴(yán)格保密，因?yàn)橐坏┍┞毒蛯⒄兄鹿?，從而?dǎo)致入侵者很容易將任一已知有效的服務(wù)和這種用于測(cè)試入侵者的掃描探測(cè)及其響應(yīng)的欺騙區(qū)分開來(lái)。

) J2 G1 H1 l5 E# K& D8 o, y增強(qiáng)欺騙質(zhì)量
: A% L+ R, Z& [
5 v# i+ g: S6 G面對(duì)網(wǎng)絡(luò)攻擊技術(shù)的不斷提高，一種網(wǎng)絡(luò)欺騙技術(shù)肯定不能做到總是成功，必須不斷地提高欺騙質(zhì)量，才能使入侵者難以將合法服務(wù)和欺騙區(qū)分開來(lái)。
, p: p  m& s5 H+ Z( p* q
- H4 J. A* W: m' i  `! S7 |網(wǎng)絡(luò)流量仿真、網(wǎng)絡(luò)動(dòng)態(tài)配置、多重地址轉(zhuǎn)換和組織信息欺騙是有效增強(qiáng)網(wǎng)絡(luò)欺騙質(zhì)量的幾種主要方法，下面分別予以介紹。
3 f/ n: }, g6 z2 ]; s
網(wǎng)絡(luò)流量仿真

+ L6 q6 F1 R7 f& Q! T) \產(chǎn)生仿真流量的目的是使流量分析不能檢測(cè)到欺騙。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法。一種方法是采用實(shí)時(shí)方式或重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量，這使得欺騙系統(tǒng)與真實(shí)系統(tǒng)十分相似，因?yàn)樗械脑L問(wèn)連接都被復(fù)制了。第二種方法是從遠(yuǎn)程產(chǎn)生偽造流量，使入侵者可以發(fā)現(xiàn)和利用。

網(wǎng)絡(luò)動(dòng)態(tài)配置

真實(shí)網(wǎng)絡(luò)是隨時(shí)間而改變的，如果欺騙是靜態(tài)的，那么在入侵者長(zhǎng)期監(jiān)視的情況下就會(huì)導(dǎo)致欺騙無(wú)效。因此，需要?jiǎng)討B(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)行為，使欺騙網(wǎng)絡(luò)也象真實(shí)網(wǎng)絡(luò)那樣隨時(shí)間而改變。為使之有效，欺騙特性也應(yīng)該能盡可能地反映出真實(shí)系統(tǒng)的特性。例如，如果辦公室的計(jì)算機(jī)在下班之后關(guān)機(jī)，那么欺騙計(jì)算機(jī)也應(yīng)該在同一時(shí)刻關(guān)機(jī)。其它的如假期、周末和特殊時(shí)刻也必須考慮，否則入侵者將很可能發(fā)現(xiàn)欺騙。

多重地址轉(zhuǎn)換（multiple address translation）
* d2 Z- O4 g# l. K( l+ B3 n
! h5 @8 m1 u; i9 m6 H地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡(luò)和真實(shí)網(wǎng)絡(luò)分離開來(lái)，這樣就可利用真實(shí)的計(jì)算機(jī)替換低可信度的欺騙，增加了間接性和隱蔽性。其基本的概念就是重定向代理服務(wù)（通過(guò)改寫代理服務(wù)器程序?qū)崿F(xiàn)），由代理服務(wù)進(jìn)行地址轉(zhuǎn)換，使相同的源和目的地址象真實(shí)系統(tǒng)那樣被維護(hù)在欺騙系統(tǒng)中。右圖中，從m.n.o.p進(jìn)入到a.b.c.g接口的訪問(wèn)，將經(jīng)過(guò)一系列的地址轉(zhuǎn)換——由a.f.c.g發(fā)送到10.n.o.p再到10.g.c.f，最后將數(shù)據(jù)包欺騙形式從m.n.o.p轉(zhuǎn)換到真實(shí)機(jī)器上的a.b.c.g。并且還可將欺騙服務(wù)綁定在與提供真實(shí)服務(wù)主機(jī)相同類型和配置的主機(jī)上，從而顯著地提高欺騙的真實(shí)性。還可以嘗試動(dòng)態(tài)多重地址轉(zhuǎn)換。
+ C, l# `/ K! S+ }: w3 J' P7 M
創(chuàng)建組織信息欺騙
2 D0 R/ T, ^# I4 Z' {9 K6 Y0 ^! s
: c5 p' H3 S$ x; n+ E如果某個(gè)組織提供有關(guān)個(gè)人和系統(tǒng)信息的訪問(wèn)，那么欺騙也必須以某種方式反映出這些信息。例如，如果組織的DNS服務(wù)器包含了個(gè)人系統(tǒng)擁有者及其位置的詳細(xì)信息，那么你就需要在欺騙的DNS列表中具有偽造的擁有者及其位置，否則欺騙很容易被發(fā)現(xiàn)。而且，偽造的人和位置也需要有偽造的信息如薪水、預(yù)算和個(gè)人記錄等等。
2 R3 u8 }2 R* t3 s, `) h
7 f. ?/ l' f! x/ F* L7 u結(jié)束語(yǔ)

+ `/ [9 i' `- i8 z. R本文闡述了網(wǎng)絡(luò)欺騙在信息系統(tǒng)安全中的作用及實(shí)現(xiàn)的主要技術(shù)，并介紹了增強(qiáng)欺騙質(zhì)量的具體方法。高質(zhì)量的網(wǎng)絡(luò)欺騙，使可能存在的安全弱點(diǎn)有了很好的隱藏偽裝場(chǎng)所，真實(shí)服務(wù)與欺騙服務(wù)幾乎融為一體，使入侵者難以區(qū)分。因此，一個(gè)完善的網(wǎng)絡(luò)安全整體解決方案，離不開網(wǎng)絡(luò)欺騙。在網(wǎng)絡(luò)攻擊和安全防護(hù)的相互促進(jìn)發(fā)展過(guò)程中，網(wǎng)絡(luò)欺騙技術(shù)將具有廣闊的發(fā)展前景。
: {! ?: K8 ]6 n' \! I