什么是網(wǎng)絡(luò)欺騙���?
8 p6 b+ B- T% T* v5 n. b2 C; J/ L- P; Z4 j& d1 G' v
計算機系統(tǒng)及網(wǎng)絡(luò)的信息安全將是新世紀(jì)中各國面臨的重大挑戰(zhàn)之一。在我國���,這一問題已引起各方面的高度重視�,一些典型技術(shù)及相關(guān)產(chǎn)品如密碼與加密��、認(rèn)證與訪問控制���、入侵檢測與響應(yīng)���、安全分析與模擬和災(zāi)難恢復(fù)都處于如火如荼的研究和開發(fā)之中。近年來����,在與入侵者周旋的過程中,另一種有效的信息安全技術(shù)正漸漸地進入了人們的視野��,那就是網(wǎng)絡(luò)欺騙��。9 k" ~8 B% Y; \! y% f0 [8 E9 f
$ J' @3 W* d% T1 G, N5 ?& b* |
網(wǎng)絡(luò)欺騙就是使入侵者相信信息系統(tǒng)存在有價值的�、可利用的安全弱點,并具有一些可攻擊竊取的資源(當(dāng)然這些資源是偽造的或不重要的)�,并將入侵者引向這些錯誤的資源�����。它能夠顯著地增加入侵者的工作量���、入侵復(fù)雜度以及不確定性,從而使入侵者不知道其進攻是否奏效或成功���。而且�,它允許防護者跟蹤入侵者的行為����,在入侵者之前修補系統(tǒng)可能存在的安全漏洞�����。2 j9 c9 d3 `; o5 i. j
: M4 l8 X; p# m
從原理上講��,每個有價值的網(wǎng)絡(luò)系統(tǒng)都存在安全弱點����,而且這些弱點都可能被入侵者所利用。網(wǎng)絡(luò)欺騙主要有以下三個作用:
8 ]$ M; e! Z" \# Y
1 e! z$ A$ l, \2 S0 d) K 影響入侵者使之按照你的意志進行選擇����;
R- H! v3 J8 ^& D3 w0 Y
3 h4 A/ j7 N; b3 @0 q 迅速地檢測到入侵者的進攻并獲知其進攻技術(shù)和意圖�;8 F2 b3 q% w# ^* ?
- ]( I; [8 H* f& S- U2 N- i 消耗入侵者的資源���。
" S( ` K7 A" `; c. g" T, n) j G n) [0 V4 \
一個理想的網(wǎng)絡(luò)欺騙可以使入侵者感到他們不是很容易地達到了期望的目標(biāo)(當(dāng)然目標(biāo)是假的)���,并使其相信入侵取得了成功。! W% c$ p4 y" R8 v4 H- @/ |
! ?- q; \5 x. P' F
網(wǎng)絡(luò)欺騙的主要技術(shù)
5 e. x8 m4 s# x' d! I6 @7 X9 {8 ]6 T# N0 `/ N4 Y) A% ]. a
Honey Pot和分布式Honey Pot
" @9 Z# M3 Z6 x( l) j) ^7 X
& | l! w5 }1 b網(wǎng)絡(luò)欺騙一般通過隱藏和安插錯誤信息等技術(shù)手段實現(xiàn)�����,前者包括隱藏服務(wù)���、多路徑和維護安全狀態(tài)信息機密性����,后者包括重定向路由�、偽造假信息和設(shè)置圈套等等。綜合這些技術(shù)方法���,最早采用的網(wǎng)絡(luò)欺騙是Honey Pot技術(shù)����,它將少量的有吸引力的目標(biāo)(我們稱之為Honey Pot)放置在入侵者很容易發(fā)現(xiàn)的地方,以誘使入侵者上當(dāng)�。% m: M; b' q! C+ `. ]& C9 R
/ W3 r/ ?7 J! _5 f9 e# H @這種技術(shù)的目標(biāo)是尋找一種有效的方法來影響入侵者,使得入侵者將技術(shù)�、精力集中到Honey Pot而不是其它真正有價值的正常系統(tǒng)和資源中。Honey Pot技術(shù)還可以做到一旦入侵企圖被檢測到時�����,迅速地將其切換��。. g* f7 V1 X6 b
% b, n9 d4 \1 U1 L% e6 }' J, y但是�����,對稍高級的網(wǎng)絡(luò)入侵�,Honey Pot技術(shù)就作用甚微了。因此�,分布式Honey Pot技術(shù)便應(yīng)運而生�,它將欺騙(Honey Pot)散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中,利用閑置的服務(wù)端口來充當(dāng)欺騙�,從而增大了入侵者遭遇欺騙的可能性。它具有兩個直接的效果���,一是將欺騙分布到更廣范圍的IP地址和端口空間中��,二是增大了欺騙在整個網(wǎng)絡(luò)中的百分比�����,使得欺騙比安全弱點被入侵者掃描器發(fā)現(xiàn)的可能性增大�����。 R5 d+ }0 _% `2 r# `
+ C3 u8 c! l1 o
盡管如此�����,分布式Honey Pot技術(shù)仍有局限性�����,這體現(xiàn)在三個方面:一是它對窮盡整個空間搜索的網(wǎng)絡(luò)掃描無效����;二是只提供了相對較低的欺騙質(zhì)量;三是只相對使整個搜索空間的安全弱點減少�。而且,這種技術(shù)的一個更為嚴(yán)重的缺陷是它只對遠程掃描有效����。如果入侵已經(jīng)部分進入到網(wǎng)絡(luò)系統(tǒng)中�,處于觀察(如嗅探)而非主動掃描階段時��,真正的網(wǎng)絡(luò)服務(wù)對入侵者已經(jīng)透明��,那么這種欺騙將失去作用�����。& ]' ~/ z7 s) m7 O/ L2 V% T
/ t/ }( D0 Z3 a9 B' M: i. B欺騙空間技術(shù)
! t6 M' s4 A) Y: K4 q0 \# `; Y3 _* J& O8 ?$ _
欺騙空間技術(shù)就是通過增加搜索空間來顯著地增加入侵者的工作量����,從而達到安全防護的目的。利用計算機系統(tǒng)的多宿主能力(multi-h(huán)omed capability)����,在只有一塊以太網(wǎng)卡的計算機上就能實現(xiàn)具有眾多IP地址的主機,而且每個IP地址還具有它們自己的MAC地址�����。這項技術(shù)可用于建立填充一大段地址空間的欺騙�,且花費極低�。實際上,現(xiàn)在已有研究機構(gòu)能將超過4000個IP地址綁定在一臺運行Linux的PC上。這意味著利用16臺計算機組成的網(wǎng)絡(luò)系統(tǒng)�����,就可做到覆蓋整個B類地址空間的欺騙����。盡管看起來存在許許多多不同的欺騙,但實際上在一臺計算機上就可實現(xiàn)���。
4 k1 U( C. }- F5 K* d$ c' s
; G" E0 ~# c$ S& I' ~從效果上看���,將網(wǎng)絡(luò)服務(wù)放置在所有這些IP地址上將毫無疑問地增加了入侵者的工作量,因為他們需要決定哪些服務(wù)是真正的�,哪些服務(wù)是偽造的,特別是這樣的4萬個以上IP地址都放置了偽造網(wǎng)絡(luò)服務(wù)的系統(tǒng)�。而且,在這種情況下��,欺騙服務(wù)相對更容易被掃描器發(fā)現(xiàn)���,通過誘使入侵者上當(dāng)�����,增加了入侵時間��,從而大量消耗入侵者的資源��,使真正的網(wǎng)絡(luò)服務(wù)被探測到的可能性大大減小����。7 k8 q! G d+ u( o3 S
5 }: E/ r6 v$ |3 z
當(dāng)入侵者的掃描器訪問到網(wǎng)絡(luò)系統(tǒng)的外部路由器并探測到一欺騙服務(wù)時,還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上�,使得接下來的遠程訪問變成這個欺騙的繼續(xù)。
. M; Q7 l$ c) s) P! h' z6 U; R* ^6 q
當(dāng)然�����,采用這種欺騙時網(wǎng)絡(luò)流量和服務(wù)的切換(重定向)必須嚴(yán)格保密�,因為一旦暴露就將招致攻擊,從而導(dǎo)致入侵者很容易將任一已知有效的服務(wù)和這種用于測試入侵者的掃描探測及其響應(yīng)的欺騙區(qū)分開來�。5 e: d4 x2 a/ O- T% E3 z
5 C, M. z2 e* `6 z" q- Y' Y
增強欺騙質(zhì)量/ k3 ?( D( S0 ?3 I# e
& }7 n7 s7 N, M6 g& @面對網(wǎng)絡(luò)攻擊技術(shù)的不斷提高,一種網(wǎng)絡(luò)欺騙技術(shù)肯定不能做到總是成功����,必須不斷地提高欺騙質(zhì)量,才能使入侵者難以將合法服務(wù)和欺騙區(qū)分開來���。
- R) a+ ]) C8 V2 V5 o+ z4 W' V! Y& B+ n; x% A% P" Q! G$ \
網(wǎng)絡(luò)流量仿真��、網(wǎng)絡(luò)動態(tài)配置���、多重地址轉(zhuǎn)換和組織信息欺騙是有效增強網(wǎng)絡(luò)欺騙質(zhì)量的幾種主要方法,下面分別予以介紹��。
3 M$ V4 @; K8 U+ v: w% E. y2 ^6 s1 n8 |
網(wǎng)絡(luò)流量仿真
/ _' p) M7 u, c: s" }! @1 S; P. v) U* ^, ^, ^5 V/ c
產(chǎn)生仿真流量的目的是使流量分析不能檢測到欺騙�。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法。一種方法是采用實時方式或重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量�����,這使得欺騙系統(tǒng)與真實系統(tǒng)十分相似����,因為所有的訪問連接都被復(fù)制了。第二種方法是從遠程產(chǎn)生偽造流量��,使入侵者可以發(fā)現(xiàn)和利用�����。
2 b. @* B) O% v$ i6 {/ ]+ v& f$ L' [1 B5 d% \3 k7 k4 K
網(wǎng)絡(luò)動態(tài)配置+ V9 _! t! g' t8 _# B8 }/ r
4 h7 H d- \$ p* m8 y w
真實網(wǎng)絡(luò)是隨時間而改變的����,如果欺騙是靜態(tài)的��,那么在入侵者長期監(jiān)視的情況下就會導(dǎo)致欺騙無效�����。因此����,需要動態(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)行為�,使欺騙網(wǎng)絡(luò)也象真實網(wǎng)絡(luò)那樣隨時間而改變。為使之有效����,欺騙特性也應(yīng)該能盡可能地反映出真實系統(tǒng)的特性。例如����,如果辦公室的計算機在下班之后關(guān)機,那么欺騙計算機也應(yīng)該在同一時刻關(guān)機�。其它的如假期、周末和特殊時刻也必須考慮���,否則入侵者將很可能發(fā)現(xiàn)欺騙��。
5 a; `! ]0 ^) n" g! R! \
4 [8 _0 h+ \* p多重地址轉(zhuǎn)換(multiple address translation)
' K4 o8 e" k3 z3 h
# j1 B# R: ?# _/ P) s地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡(luò)和真實網(wǎng)絡(luò)分離開來���,這樣就可利用真實的計算機替換低可信度的欺騙�,增加了間接性和隱蔽性���。其基本的概念就是重定向代理服務(wù)(通過改寫代理服務(wù)器程序?qū)崿F(xiàn)),由代理服務(wù)進行地址轉(zhuǎn)換�,使相同的源和目的地址象真實系統(tǒng)那樣被維護在欺騙系統(tǒng)中。右圖中���,從m.n.o.p進入到a.b.c.g接口的訪問����,將經(jīng)過一系列的地址轉(zhuǎn)換——由a.f.c.g發(fā)送到10.n.o.p再到10.g.c.f��,最后將數(shù)據(jù)包欺騙形式從m.n.o.p轉(zhuǎn)換到真實機器上的a.b.c.g����。并且還可將欺騙服務(wù)綁定在與提供真實服務(wù)主機相同類型和配置的主機上,從而顯著地提高欺騙的真實性����。還可以嘗試動態(tài)多重地址轉(zhuǎn)換。
9 ^: _, d! X8 Q$ x' Q- ?$ N1 W8 f- U3 H$ P6 r
創(chuàng)建組織信息欺騙
% Y! a# x0 Q/ |) Q% ~7 m
8 S: U4 J/ x. B如果某個組織提供有關(guān)個人和系統(tǒng)信息的訪問��,那么欺騙也必須以某種方式反映出這些信息。例如���,如果組織的DNS服務(wù)器包含了個人系統(tǒng)擁有者及其位置的詳細信息���,那么你就需要在欺騙的DNS列表中具有偽造的擁有者及其位置,否則欺騙很容易被發(fā)現(xiàn)����。而且,偽造的人和位置也需要有偽造的信息如薪水�、預(yù)算和個人記錄等等。
2 g- ]5 T5 c6 k( O6 I4 q
% d$ K1 p# |! |4 ^% P3 P結(jié)束語+ I3 ]7 F! A+ Y6 J
7 ~+ j! b0 o/ ] N9 V本文闡述了網(wǎng)絡(luò)欺騙在信息系統(tǒng)安全中的作用及實現(xiàn)的主要技術(shù)����,并介紹了增強欺騙質(zhì)量的具體方法。高質(zhì)量的網(wǎng)絡(luò)欺騙��,使可能存在的安全弱點有了很好的隱藏偽裝場所�,真實服務(wù)與欺騙服務(wù)幾乎融為一體,使入侵者難以區(qū)分����。因此,一個完善的網(wǎng)絡(luò)安全整體解決方案,離不開網(wǎng)絡(luò)欺騙����。在網(wǎng)絡(luò)攻擊和安全防護的相互促進發(fā)展過程中,網(wǎng)絡(luò)欺騙技術(shù)將具有廣闊的發(fā)展前景���。4 F% r P$ i t7 R1 z" C. X9 [
|
發(fā)表于 2011-1-12 21:02:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡