你可以利用伪装服务器或者伪装网络引诱(有些情况下甚至是捕获)入侵者,本文介绍如何在您的入侵检测和入侵防护策略中加入蜜罐或蜜网,以及它们如何成为网络中“真实”的一部分。
蜜网的扩展对于小型企业来说,单一的蜜罐服务器已经足够。随着企业的成长,企业会更熟练的掌握使用蜜罐诱捕入侵者的方法,就可以创建蜜罐组成的网络,也就是蜜网。为了构建蜜网而 购买多台设备成本颇高,但你可以使用VMWare或者微软公司的Virtual PC/Virtual Server等虚拟化软件建立几十台易受攻击的服务器等候被袭。每台虚拟设备都有自己的IP地址,并可以在不同的虚拟设备上运行不同的操作系统。例如你可以创建虚拟的电子邮件 服务器来引诱垃圾邮件发送者等等(不过请记住,根据操作系统的不同,你可能需要为虚拟服务器购买使用许可)。
你甚至可以在蜜网上增加假的802.11无线接入点。由于无线网络是入侵者最喜欢的攻击目标,因此“蜜WAP”能够吸引和迷惑那些查找开放无线网络的人。Black Alchemy公司的FakeAP就是一款可以在Linux上运行,并能创建53000个假登录点的开源程序。你可以在http://www.blackalchemy.to/project/fakeap/下载。
蜜罐软件
其他能够用来设立陷阱的蜜罐/蜜网软件还有:
Honeyd是能够创建多个可以配置不同操作系统和服务的虚拟主机的Linux后台程序。单独一台设备能够模拟出超过65,000台网络设备,还可以对虚拟设备进行ping和traceroute 操作。你可以在http://www.citi.umich.edu/u/provos/honeyd/下载并找到更多讯息:这里甚至还有Windows版本的Honeyd。
HoneyBOT是一款能够在网络上模仿超过1000个易受攻击的服务的Windows蜜罐程序,可以捕获和记录入侵和袭击企图。它运行于Windows 2000及以上版本,是AtomicSfotwareSolutions公司的产品。你可以在以下地址免费下载使用http://www.atomicsoftwaresolutions.com/honeybot.php
NetBait能够建立假网,将入侵者的注意力从实际网络转向假网。这个软件可扩展性强,既有针对中小企业的版本,也有企业级版本。其前身是一个基于网络的客户现场服务, 后来则作为内部解决方案使用。你可以在http://www2.netbaitinc.com:5080/products/了解到更多信息。
Honeywall是一张可以用来实施蜜网的CD-ROM,可以在蜜网项目网站http://www.honeynet.org/tools/cdrom/上下载。
随着您越来越深入的了解蜜网项目,您就可以使用专用的模拟特殊类型服务或服务器的软件产品。例如:
Spampot是能够模拟开放转发的虚拟SMTP服务器 ,可在http://woozle.org/~neale/src/python/spampot.py 下载。
ProxyPot模拟开放proxy,专为截获垃圾邮件发送者而设计。
Sandtrap是wardialer侦测器,能够模拟开放的调制解调器,然后记录呼叫者ID和登录企图信息。
(责任编辑:张竺)
查看本文的国际来源
京公网安备 11010802021500号