什么是網(wǎng)絡欺騙����?
, u& ?0 D h) _/ m! c A; s2 B" R, G$ E( `8 c, W7 M
計算機系統(tǒng)及網(wǎng)絡的信息安全將是新世紀中各國面臨的重大挑戰(zhàn)之一�。在我國,這一問題已引起各方面的高度重視����,一些典型技術及相關產(chǎn)品如密碼與加密、認證與訪問控制���、入侵檢測與響應�、安全分析與模擬和災難恢復都處于如火如荼的研究和開發(fā)之中。近年來�,在與入侵者周旋的過程中,另一種有效的信息安全技術正漸漸地進入了人們的視野����,那就是網(wǎng)絡欺騙。0 f: d5 t4 m0 P& o
/ r- E1 ]! u. M5 [網(wǎng)絡欺騙就是使入侵者相信信息系統(tǒng)存在有價值的��、可利用的安全弱點���,并具有一些可攻擊竊取的資源(當然這些資源是偽造的或不重要的)��,并將入侵者引向這些錯誤的資源�。它能夠顯著地增加入侵者的工作量����、入侵復雜度以及不確定性,從而使入侵者不知道其進攻是否奏效或成功�����。而且��,它允許防護者跟蹤入侵者的行為,在入侵者之前修補系統(tǒng)可能存在的安全漏洞�。! Q- m" Y$ F( N$ U. A- \& ^" Y5 I! e
5 N% p0 l- a; G3 K; B, T1 S! q
從原理上講,每個有價值的網(wǎng)絡系統(tǒng)都存在安全弱點�,而且這些弱點都可能被入侵者所利用。網(wǎng)絡欺騙主要有以下三個作用:5 }/ i* W% p7 {: j# h) {
; {2 u% G; O4 U3 G% W 影響入侵者使之按照你的意志進行選擇���;2 s3 i/ E4 i y. `. Z
- p5 ]/ P6 z' q V% J( O+ } 迅速地檢測到入侵者的進攻并獲知其進攻技術和意圖��;; q: ]1 b. E$ x3 ~* E
0 {: I& H/ E% m" i2 B0 I 消耗入侵者的資源��。# L* v: y4 l5 X( z0 r* J& e5 W: Z
9 C3 k9 W. E. \% R. i9 F" o
一個理想的網(wǎng)絡欺騙可以使入侵者感到他們不是很容易地達到了期望的目標(當然目標是假的)���,并使其相信入侵取得了成功。4 o, u. _, n! _8 q, I3 i5 D0 L
& e9 h$ Z, `3 A, F9 X網(wǎng)絡欺騙的主要技術
4 T; n( r- g2 j: d$ m0 L8 }& R" D3 y. @& P3 b
Honey Pot和分布式Honey Pot8 `1 L: p% Z! `' p0 }
, N! _5 T+ p9 J4 `* t網(wǎng)絡欺騙一般通過隱藏和安插錯誤信息等技術手段實現(xiàn)��,前者包括隱藏服務����、多路徑和維護安全狀態(tài)信息機密性�,后者包括重定向路由、偽造假信息和設置圈套等等�。綜合這些技術方法,最早采用的網(wǎng)絡欺騙是Honey Pot技術�,它將少量的有吸引力的目標(我們稱之為Honey Pot)放置在入侵者很容易發(fā)現(xiàn)的地方,以誘使入侵者上當。
) x, G$ Q6 {6 O% r# c; |5 b; E' E' s3 l0 t
這種技術的目標是尋找一種有效的方法來影響入侵者��,使得入侵者將技術����、精力集中到Honey Pot而不是其它真正有價值的正常系統(tǒng)和資源中。Honey Pot技術還可以做到一旦入侵企圖被檢測到時��,迅速地將其切換��。
4 F; f6 [) C# w7 X: I
* K9 U# |+ z* `5 Z但是����,對稍高級的網(wǎng)絡入侵,Honey Pot技術就作用甚微了����。因此,分布式Honey Pot技術便應運而生���,它將欺騙(Honey Pot)散布在網(wǎng)絡的正常系統(tǒng)和資源中���,利用閑置的服務端口來充當欺騙,從而增大了入侵者遭遇欺騙的可能性��。它具有兩個直接的效果,一是將欺騙分布到更廣范圍的IP地址和端口空間中�,二是增大了欺騙在整個網(wǎng)絡中的百分比,使得欺騙比安全弱點被入侵者掃描器發(fā)現(xiàn)的可能性增大��。* d- d9 x3 @! o1 ]
, W+ A0 `9 j2 S r& D* m
盡管如此�,分布式Honey Pot技術仍有局限性,這體現(xiàn)在三個方面:一是它對窮盡整個空間搜索的網(wǎng)絡掃描無效��;二是只提供了相對較低的欺騙質量��;三是只相對使整個搜索空間的安全弱點減少�����。而且�����,這種技術的一個更為嚴重的缺陷是它只對遠程掃描有效�。如果入侵已經(jīng)部分進入到網(wǎng)絡系統(tǒng)中,處于觀察(如嗅探)而非主動掃描階段時����,真正的網(wǎng)絡服務對入侵者已經(jīng)透明���,那么這種欺騙將失去作用���。( B5 q, e% N9 p/ A4 ^7 p/ D3 h+ q
" C5 {, i$ S7 }6 U, b/ @6 l
欺騙空間技術
3 w1 t$ L/ S o( j. n' C/ H K3 g* B7 [; r8 B4 @
欺騙空間技術就是通過增加搜索空間來顯著地增加入侵者的工作量�,從而達到安全防護的目的�。利用計算機系統(tǒng)的多宿主能力(multi-h(huán)omed capability),在只有一塊以太網(wǎng)卡的計算機上就能實現(xiàn)具有眾多IP地址的主機�,而且每個IP地址還具有它們自己的MAC地址。這項技術可用于建立填充一大段地址空間的欺騙�����,且花費極低�����。實際上��,現(xiàn)在已有研究機構能將超過4000個IP地址綁定在一臺運行Linux的PC上����。這意味著利用16臺計算機組成的網(wǎng)絡系統(tǒng),就可做到覆蓋整個B類地址空間的欺騙���。盡管看起來存在許許多多不同的欺騙����,但實際上在一臺計算機上就可實現(xiàn)。6 @/ @; D# h+ q) P3 m# }- P2 _/ ^
3 g9 T \# o* N, z4 m' _8 @, b) n0 C從效果上看�,將網(wǎng)絡服務放置在所有這些IP地址上將毫無疑問地增加了入侵者的工作量,因為他們需要決定哪些服務是真正的���,哪些服務是偽造的�,特別是這樣的4萬個以上IP地址都放置了偽造網(wǎng)絡服務的系統(tǒng)��。而且����,在這種情況下,欺騙服務相對更容易被掃描器發(fā)現(xiàn)��,通過誘使入侵者上當�����,增加了入侵時間�����,從而大量消耗入侵者的資源�,使真正的網(wǎng)絡服務被探測到的可能性大大減小�����。
4 q. m. R/ h' V7 `$ n5 Q0 ?2 b" ^( G) Y8 w
當入侵者的掃描器訪問到網(wǎng)絡系統(tǒng)的外部路由器并探測到一欺騙服務時,還可將掃描器所有的網(wǎng)絡流量重定向到欺騙上�����,使得接下來的遠程訪問變成這個欺騙的繼續(xù)����。6 x" L$ L+ E& Y( a5 Y; k
: {. ]' k7 }4 ~當然,采用這種欺騙時網(wǎng)絡流量和服務的切換(重定向)必須嚴格保密�,因為一旦暴露就將招致攻擊,從而導致入侵者很容易將任一已知有效的服務和這種用于測試入侵者的掃描探測及其響應的欺騙區(qū)分開來�。3 Z( p: w: e1 u* Z+ m
7 O- q/ b8 T; X增強欺騙質量
; ?, d& I9 Z" W) `; [# h
! t9 K( t3 Q4 r+ N6 X. C面對網(wǎng)絡攻擊技術的不斷提高,一種網(wǎng)絡欺騙技術肯定不能做到總是成功��,必須不斷地提高欺騙質量�����,才能使入侵者難以將合法服務和欺騙區(qū)分開來����。) L9 \2 i6 P+ R3 N# D( n
0 N# t |- a( U4 v/ @; K. H
網(wǎng)絡流量仿真�����、網(wǎng)絡動態(tài)配置�����、多重地址轉換和組織信息欺騙是有效增強網(wǎng)絡欺騙質量的幾種主要方法����,下面分別予以介紹��。 x6 S" k7 y7 _
3 S1 c6 y' U. m* i! ^$ C1 ~* {! D7 k網(wǎng)絡流量仿真
, X9 O" p+ O; p3 R% V d8 y# K# k& M1 F2 ^3 I: b9 z' X/ ?
產(chǎn)生仿真流量的目的是使流量分析不能檢測到欺騙�。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法。一種方法是采用實時方式或重現(xiàn)方式復制真正的網(wǎng)絡流量���,這使得欺騙系統(tǒng)與真實系統(tǒng)十分相似��,因為所有的訪問連接都被復制了�����。第二種方法是從遠程產(chǎn)生偽造流量��,使入侵者可以發(fā)現(xiàn)和利用���。
" ~/ q! R; e: V4 E% _4 V3 L! a6 j0 s7 g. _, T+ l
網(wǎng)絡動態(tài)配置
% l/ e( s0 p. S, y7 M: ]/ O, p
7 L n- W) J9 i7 E! w% M- @9 [真實網(wǎng)絡是隨時間而改變的����,如果欺騙是靜態(tài)的��,那么在入侵者長期監(jiān)視的情況下就會導致欺騙無效���。因此,需要動態(tài)配置欺騙網(wǎng)絡以模擬正常的網(wǎng)絡行為��,使欺騙網(wǎng)絡也象真實網(wǎng)絡那樣隨時間而改變��。為使之有效��,欺騙特性也應該能盡可能地反映出真實系統(tǒng)的特性���。例如�����,如果辦公室的計算機在下班之后關機����,那么欺騙計算機也應該在同一時刻關機。其它的如假期��、周末和特殊時刻也必須考慮����,否則入侵者將很可能發(fā)現(xiàn)欺騙。- d. L' K( c) f. d1 n6 L" K- b6 E
" \) {6 l0 r" h9 T1 V
多重地址轉換(multiple address translation)
7 `$ z4 A$ K, {) P0 g) g3 s! f4 x3 P; ]- @$ y( d8 @( N$ F7 U- c
地址的多次轉換能將欺騙網(wǎng)絡和真實網(wǎng)絡分離開來��,這樣就可利用真實的計算機替換低可信度的欺騙���,增加了間接性和隱蔽性��。其基本的概念就是重定向代理服務(通過改寫代理服務器程序實現(xiàn))���,由代理服務進行地址轉換,使相同的源和目的地址象真實系統(tǒng)那樣被維護在欺騙系統(tǒng)中�。右圖中,從m.n.o.p進入到a.b.c.g接口的訪問����,將經(jīng)過一系列的地址轉換——由a.f.c.g發(fā)送到10.n.o.p再到10.g.c.f,最后將數(shù)據(jù)包欺騙形式從m.n.o.p轉換到真實機器上的a.b.c.g����。并且還可將欺騙服務綁定在與提供真實服務主機相同類型和配置的主機上���,從而顯著地提高欺騙的真實性。還可以嘗試動態(tài)多重地址轉換�����。/ e2 H4 _1 i+ U
- a/ V& S: Q; P0 V
創(chuàng)建組織信息欺騙
5 U: U5 `1 @1 e% L0 A8 D9 G( u4 v9 w1 F
如果某個組織提供有關個人和系統(tǒng)信息的訪問���,那么欺騙也必須以某種方式反映出這些信息。例如����,如果組織的DNS服務器包含了個人系統(tǒng)擁有者及其位置的詳細信息,那么你就需要在欺騙的DNS列表中具有偽造的擁有者及其位置���,否則欺騙很容易被發(fā)現(xiàn)��。而且���,偽造的人和位置也需要有偽造的信息如薪水、預算和個人記錄等等���。- ~! \1 |6 ~ X
2 v3 q+ E5 y Y# a" }6 _8 z
結束語) `" Q% }5 g4 K t# g
7 v; ~5 K* E( H$ C7 V1 N本文闡述了網(wǎng)絡欺騙在信息系統(tǒng)安全中的作用及實現(xiàn)的主要技術�����,并介紹了增強欺騙質量的具體方法����。高質量的網(wǎng)絡欺騙,使可能存在的安全弱點有了很好的隱藏偽裝場所�����,真實服務與欺騙服務幾乎融為一體��,使入侵者難以區(qū)分����。因此,一個完善的網(wǎng)絡安全整體解決方案�,離不開網(wǎng)絡欺騙。在網(wǎng)絡攻擊和安全防護的相互促進發(fā)展過程中���,網(wǎng)絡欺騙技術將具有廣闊的發(fā)展前景��。
( f' {7 M. I) q' ~* W0 h4 { |
發(fā)表于 2011-1-12 21:02:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡