什么是網(wǎng)絡(luò)欺騙���?
% m& C I9 s% D/ G. a7 Q9 a
N* G- `# R: b, n$ L& Q/ E計算機系統(tǒng)及網(wǎng)絡(luò)的信息安全將是新世紀中各國面臨的重大挑戰(zhàn)之一。在我國�����,這一問題已引起各方面的高度重視�,一些典型技術(shù)及相關(guān)產(chǎn)品如密碼與加密、認證與訪問控制�����、入侵檢測與響應(yīng)���、安全分析與模擬和災(zāi)難恢復都處于如火如荼的研究和開發(fā)之中�����。近年來����,在與入侵者周旋的過程中,另一種有效的信息安全技術(shù)正漸漸地進入了人們的視野�����,那就是網(wǎng)絡(luò)欺騙�����。$ T6 j1 @2 x; ~& G' r4 @
* g0 g6 \7 Y: E5 Z4 l網(wǎng)絡(luò)欺騙就是使入侵者相信信息系統(tǒng)存在有價值的�����、可利用的安全弱點����,并具有一些可攻擊竊取的資源(當然這些資源是偽造的或不重要的),并將入侵者引向這些錯誤的資源���。它能夠顯著地增加入侵者的工作量����、入侵復雜度以及不確定性����,從而使入侵者不知道其進攻是否奏效或成功。而且����,它允許防護者跟蹤入侵者的行為,在入侵者之前修補系統(tǒng)可能存在的安全漏洞��。
- b5 A, {0 l/ g5 C& Q# I1 S3 o. J7 Z1 W6 O3 Q; V! q q
從原理上講��,每個有價值的網(wǎng)絡(luò)系統(tǒng)都存在安全弱點��,而且這些弱點都可能被入侵者所利用���。網(wǎng)絡(luò)欺騙主要有以下三個作用:
% I0 L B/ ~) }2 V _- j5 q) d1 u/ ]
影響入侵者使之按照你的意志進行選擇����;: [$ ^. K- b" S# j5 d# l/ R: p- m
2 ~+ q( e& Z5 i
迅速地檢測到入侵者的進攻并獲知其進攻技術(shù)和意圖��;$ {/ K0 R1 A8 H
+ h2 X0 [& c8 _1 ^! m& z5 }3 X
消耗入侵者的資源�。
5 r+ e4 R, q' k4 j* B
8 e5 J7 m& i" o( ]5 T% P一個理想的網(wǎng)絡(luò)欺騙可以使入侵者感到他們不是很容易地達到了期望的目標(當然目標是假的),并使其相信入侵取得了成功����。* E! P1 s% I" s6 c. ?
5 [8 H; k5 s% k& J' R1 `網(wǎng)絡(luò)欺騙的主要技術(shù)
( V, U" O8 a! i7 S$ E* b4 z; I* B7 h6 W/ _
Honey Pot和分布式Honey Pot
; W7 `, L, y+ v: o* ?
1 h! ?2 S" S" y0 O6 m* l網(wǎng)絡(luò)欺騙一般通過隱藏和安插錯誤信息等技術(shù)手段實現(xiàn),前者包括隱藏服務(wù)、多路徑和維護安全狀態(tài)信息機密性���,后者包括重定向路由���、偽造假信息和設(shè)置圈套等等。綜合這些技術(shù)方法���,最早采用的網(wǎng)絡(luò)欺騙是Honey Pot技術(shù)�,它將少量的有吸引力的目標(我們稱之為Honey Pot)放置在入侵者很容易發(fā)現(xiàn)的地方����,以誘使入侵者上當。5 Q2 O9 C6 L' e) V& o2 x& E
7 \9 ?) d4 f* n* u7 l. C- u; b
這種技術(shù)的目標是尋找一種有效的方法來影響入侵者����,使得入侵者將技術(shù)、精力集中到Honey Pot而不是其它真正有價值的正常系統(tǒng)和資源中�。Honey Pot技術(shù)還可以做到一旦入侵企圖被檢測到時,迅速地將其切換��。
% Q. t/ l7 b7 V* S0 C
& p2 v1 [$ \+ U! I8 p但是�����,對稍高級的網(wǎng)絡(luò)入侵�����,Honey Pot技術(shù)就作用甚微了�。因此,分布式Honey Pot技術(shù)便應(yīng)運而生����,它將欺騙(Honey Pot)散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中,利用閑置的服務(wù)端口來充當欺騙���,從而增大了入侵者遭遇欺騙的可能性���。它具有兩個直接的效果,一是將欺騙分布到更廣范圍的IP地址和端口空間中���,二是增大了欺騙在整個網(wǎng)絡(luò)中的百分比����,使得欺騙比安全弱點被入侵者掃描器發(fā)現(xiàn)的可能性增大�����。
& I* B/ b/ i3 ~& m9 X, Y4 ^
! c, D. i& ]+ Y L: w盡管如此,分布式Honey Pot技術(shù)仍有局限性�,這體現(xiàn)在三個方面:一是它對窮盡整個空間搜索的網(wǎng)絡(luò)掃描無效;二是只提供了相對較低的欺騙質(zhì)量�;三是只相對使整個搜索空間的安全弱點減少。而且�����,這種技術(shù)的一個更為嚴重的缺陷是它只對遠程掃描有效�����。如果入侵已經(jīng)部分進入到網(wǎng)絡(luò)系統(tǒng)中�,處于觀察(如嗅探)而非主動掃描階段時,真正的網(wǎng)絡(luò)服務(wù)對入侵者已經(jīng)透明��,那么這種欺騙將失去作用���。9 C; p$ y% Z& h0 c$ u6 w' b
; _8 _' A4 F) ]2 e3 A' t V
欺騙空間技術(shù)
( l6 b4 j$ }+ {0 e1 V" k& f7 @
& F4 |5 a. k) P欺騙空間技術(shù)就是通過增加搜索空間來顯著地增加入侵者的工作量�����,從而達到安全防護的目的��。利用計算機系統(tǒng)的多宿主能力(multi-h(huán)omed capability)��,在只有一塊以太網(wǎng)卡的計算機上就能實現(xiàn)具有眾多IP地址的主機��,而且每個IP地址還具有它們自己的MAC地址�����。這項技術(shù)可用于建立填充一大段地址空間的欺騙���,且花費極低。實際上����,現(xiàn)在已有研究機構(gòu)能將超過4000個IP地址綁定在一臺運行Linux的PC上。這意味著利用16臺計算機組成的網(wǎng)絡(luò)系統(tǒng)���,就可做到覆蓋整個B類地址空間的欺騙���。盡管看起來存在許許多多不同的欺騙,但實際上在一臺計算機上就可實現(xiàn)���。
1 n, I k2 F2 e! L! B5 ~* w) i" g4 f' v7 T* d
從效果上看�����,將網(wǎng)絡(luò)服務(wù)放置在所有這些IP地址上將毫無疑問地增加了入侵者的工作量���,因為他們需要決定哪些服務(wù)是真正的�����,哪些服務(wù)是偽造的�,特別是這樣的4萬個以上IP地址都放置了偽造網(wǎng)絡(luò)服務(wù)的系統(tǒng)���。而且�����,在這種情況下�����,欺騙服務(wù)相對更容易被掃描器發(fā)現(xiàn)����,通過誘使入侵者上當���,增加了入侵時間���,從而大量消耗入侵者的資源�����,使真正的網(wǎng)絡(luò)服務(wù)被探測到的可能性大大減小����。
/ e' }0 X9 L; H9 l' z; L: g$ w
% O2 z K) M6 M當入侵者的掃描器訪問到網(wǎng)絡(luò)系統(tǒng)的外部路由器并探測到一欺騙服務(wù)時�����,還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上���,使得接下來的遠程訪問變成這個欺騙的繼續(xù)。2 P5 J$ |2 L- K3 {5 v- B
/ S# c2 O1 A- Y; s7 j# n
當然�,采用這種欺騙時網(wǎng)絡(luò)流量和服務(wù)的切換(重定向)必須嚴格保密,因為一旦暴露就將招致攻擊��,從而導致入侵者很容易將任一已知有效的服務(wù)和這種用于測試入侵者的掃描探測及其響應(yīng)的欺騙區(qū)分開來���。
[& Q' Z: v* X1 `+ p5 i
/ E5 ]9 P) v: |0 l' M增強欺騙質(zhì)量
4 k/ d: L6 m9 q, `5 `$ i) j( j3 h/ A' a: @
面對網(wǎng)絡(luò)攻擊技術(shù)的不斷提高���,一種網(wǎng)絡(luò)欺騙技術(shù)肯定不能做到總是成功���,必須不斷地提高欺騙質(zhì)量,才能使入侵者難以將合法服務(wù)和欺騙區(qū)分開來�。- Y/ `0 I$ I6 A* U' h7 r9 p
* o H1 a' w5 F0 G% _5 f
網(wǎng)絡(luò)流量仿真、網(wǎng)絡(luò)動態(tài)配置�����、多重地址轉(zhuǎn)換和組織信息欺騙是有效增強網(wǎng)絡(luò)欺騙質(zhì)量的幾種主要方法����,下面分別予以介紹。
* M$ e. X. Z8 n+ o0 ? K- {
; |1 D' X$ q J. [, B網(wǎng)絡(luò)流量仿真
8 K2 P" D0 ?. Z1 ~" c: u3 s7 E0 q1 Q( c u; a
產(chǎn)生仿真流量的目的是使流量分析不能檢測到欺騙��。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法��。一種方法是采用實時方式或重現(xiàn)方式復制真正的網(wǎng)絡(luò)流量����,這使得欺騙系統(tǒng)與真實系統(tǒng)十分相似,因為所有的訪問連接都被復制了�。第二種方法是從遠程產(chǎn)生偽造流量,使入侵者可以發(fā)現(xiàn)和利用�����。* E1 p: p8 j0 t/ z5 R: v
. b2 j% k! N+ @% K網(wǎng)絡(luò)動態(tài)配置
! I8 Y; v, f- x, q- e
& ]7 _* h+ _" M0 |* {) w& M5 U5 [3 m真實網(wǎng)絡(luò)是隨時間而改變的,如果欺騙是靜態(tài)的�����,那么在入侵者長期監(jiān)視的情況下就會導致欺騙無效�。因此,需要動態(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)行為����,使欺騙網(wǎng)絡(luò)也象真實網(wǎng)絡(luò)那樣隨時間而改變。為使之有效����,欺騙特性也應(yīng)該能盡可能地反映出真實系統(tǒng)的特性�����。例如�����,如果辦公室的計算機在下班之后關(guān)機�����,那么欺騙計算機也應(yīng)該在同一時刻關(guān)機。其它的如假期�����、周末和特殊時刻也必須考慮�,否則入侵者將很可能發(fā)現(xiàn)欺騙。
8 D- B; ~2 f4 T$ b, q) u
' w& O, C9 t# {! P- x$ m多重地址轉(zhuǎn)換(multiple address translation)
( R: Q z2 Z* o: b
, {7 {# {/ X; R3 A- _6 k% B地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡(luò)和真實網(wǎng)絡(luò)分離開來���,這樣就可利用真實的計算機替換低可信度的欺騙���,增加了間接性和隱蔽性。其基本的概念就是重定向代理服務(wù)(通過改寫代理服務(wù)器程序?qū)崿F(xiàn))���,由代理服務(wù)進行地址轉(zhuǎn)換�,使相同的源和目的地址象真實系統(tǒng)那樣被維護在欺騙系統(tǒng)中�����。右圖中���,從m.n.o.p進入到a.b.c.g接口的訪問�����,將經(jīng)過一系列的地址轉(zhuǎn)換——由a.f.c.g發(fā)送到10.n.o.p再到10.g.c.f����,最后將數(shù)據(jù)包欺騙形式從m.n.o.p轉(zhuǎn)換到真實機器上的a.b.c.g。并且還可將欺騙服務(wù)綁定在與提供真實服務(wù)主機相同類型和配置的主機上���,從而顯著地提高欺騙的真實性��。還可以嘗試動態(tài)多重地址轉(zhuǎn)換�。# A1 u# B9 } b6 Z: Q6 ]
. \2 q! v3 U1 N9 C1 j
創(chuàng)建組織信息欺騙, {; l8 t$ T9 T+ e6 w
/ T: v" q( G$ b+ K) t) C0 ^如果某個組織提供有關(guān)個人和系統(tǒng)信息的訪問�,那么欺騙也必須以某種方式反映出這些信息。例如��,如果組織的DNS服務(wù)器包含了個人系統(tǒng)擁有者及其位置的詳細信息�����,那么你就需要在欺騙的DNS列表中具有偽造的擁有者及其位置��,否則欺騙很容易被發(fā)現(xiàn)�。而且��,偽造的人和位置也需要有偽造的信息如薪水、預算和個人記錄等等����。6 s0 O" J5 @3 {& k& \
" v$ f9 H$ J0 |; ~) d0 @+ q結(jié)束語
" n" K N9 g5 y$ w2 L. B/ x9 T# _; T) V6 z0 \: ?1 e) L: n% M
本文闡述了網(wǎng)絡(luò)欺騙在信息系統(tǒng)安全中的作用及實現(xiàn)的主要技術(shù),并介紹了增強欺騙質(zhì)量的具體方法�。高質(zhì)量的網(wǎng)絡(luò)欺騙,使可能存在的安全弱點有了很好的隱藏偽裝場所���,真實服務(wù)與欺騙服務(wù)幾乎融為一體��,使入侵者難以區(qū)分����。因此�����,一個完善的網(wǎng)絡(luò)安全整體解決方案����,離不開網(wǎng)絡(luò)欺騙。在網(wǎng)絡(luò)攻擊和安全防護的相互促進發(fā)展過程中���,網(wǎng)絡(luò)欺騙技術(shù)將具有廣闊的發(fā)展前景�。# A7 v; v# u9 G6 U
|
發(fā)表于 2011-1-12 21:02:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡