什么是網(wǎng)絡(luò)欺騙��?
; M6 L$ f/ O% M6 r0 M2 b$ Z9 J6 J$ p' @
計算機系統(tǒng)及網(wǎng)絡(luò)的信息安全將是新世紀中各國面臨的重大挑戰(zhàn)之一�����。在我國��,這一問題已引起各方面的高度重視�,一些典型技術(shù)及相關(guān)產(chǎn)品如密碼與加密、認證與訪問控制���、入侵檢測與響應(yīng)�、安全分析與模擬和災難恢復都處于如火如荼的研究和開發(fā)之中��。近年來,在與入侵者周旋的過程中�,另一種有效的信息安全技術(shù)正漸漸地進入了人們的視野,那就是網(wǎng)絡(luò)欺騙��。$ F/ @. ^* S) U
8 s" E4 q: a2 d
網(wǎng)絡(luò)欺騙就是使入侵者相信信息系統(tǒng)存在有價值的�、可利用的安全弱點,并具有一些可攻擊竊取的資源(當然這些資源是偽造的或不重要的)���,并將入侵者引向這些錯誤的資源��。它能夠顯著地增加入侵者的工作量����、入侵復雜度以及不確定性�����,從而使入侵者不知道其進攻是否奏效或成功����。而且�����,它允許防護者跟蹤入侵者的行為,在入侵者之前修補系統(tǒng)可能存在的安全漏洞��。
1 O/ X' s* D: {, A! X
- e$ e! l+ r9 L8 b. e! q# Y3 \從原理上講����,每個有價值的網(wǎng)絡(luò)系統(tǒng)都存在安全弱點,而且這些弱點都可能被入侵者所利用�。網(wǎng)絡(luò)欺騙主要有以下三個作用:
" q. G4 Q7 K+ V: O* k1 K3 X+ N3 J6 u* x+ s) d
影響入侵者使之按照你的意志進行選擇;& L8 Q$ S' r+ A
) ^- Z% |! @( z1 g( [ 迅速地檢測到入侵者的進攻并獲知其進攻技術(shù)和意圖���;5 i' x/ y+ m+ T$ V+ m
8 m, D' ]7 \: B; A, Y% e! l: a6 b 消耗入侵者的資源�����。
1 j! `/ h0 S5 A. n1 K& H' O
, H6 B1 U, `! b. l2 {( h一個理想的網(wǎng)絡(luò)欺騙可以使入侵者感到他們不是很容易地達到了期望的目標(當然目標是假的)���,并使其相信入侵取得了成功。
! { Z& G( U, Z( U& A
) }* @$ s4 j4 O1 D! h$ \- K網(wǎng)絡(luò)欺騙的主要技術(shù)
) S/ F. L6 `2 U- I& J* s
4 U w1 @* E4 d n+ Q( YHoney Pot和分布式Honey Pot
: Z+ f K4 Q. o) \$ J: H
& k8 X3 g& H5 ^& L& Y網(wǎng)絡(luò)欺騙一般通過隱藏和安插錯誤信息等技術(shù)手段實現(xiàn)���,前者包括隱藏服務(wù)���、多路徑和維護安全狀態(tài)信息機密性,后者包括重定向路由�����、偽造假信息和設(shè)置圈套等等。綜合這些技術(shù)方法���,最早采用的網(wǎng)絡(luò)欺騙是Honey Pot技術(shù)�,它將少量的有吸引力的目標(我們稱之為Honey Pot)放置在入侵者很容易發(fā)現(xiàn)的地方��,以誘使入侵者上當���。' e1 F4 L3 M4 X& D& A
: Q" s& I3 I$ v" y/ b這種技術(shù)的目標是尋找一種有效的方法來影響入侵者���,使得入侵者將技術(shù)、精力集中到Honey Pot而不是其它真正有價值的正常系統(tǒng)和資源中�����。Honey Pot技術(shù)還可以做到一旦入侵企圖被檢測到時�,迅速地將其切換。
* z. m" u. T8 E/ d- D8 M- E* ]* m: {2 X6 C: E) `" `) l \
但是����,對稍高級的網(wǎng)絡(luò)入侵����,Honey Pot技術(shù)就作用甚微了�。因此�����,分布式Honey Pot技術(shù)便應(yīng)運而生�����,它將欺騙(Honey Pot)散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中���,利用閑置的服務(wù)端口來充當欺騙�����,從而增大了入侵者遭遇欺騙的可能性���。它具有兩個直接的效果,一是將欺騙分布到更廣范圍的IP地址和端口空間中�,二是增大了欺騙在整個網(wǎng)絡(luò)中的百分比,使得欺騙比安全弱點被入侵者掃描器發(fā)現(xiàn)的可能性增大���。! d9 P9 `: u% c5 M0 L/ T
. Q$ q& q" d! S/ U6 z/ U盡管如此�,分布式Honey Pot技術(shù)仍有局限性,這體現(xiàn)在三個方面:一是它對窮盡整個空間搜索的網(wǎng)絡(luò)掃描無效�����;二是只提供了相對較低的欺騙質(zhì)量�����;三是只相對使整個搜索空間的安全弱點減少����。而且,這種技術(shù)的一個更為嚴重的缺陷是它只對遠程掃描有效�。如果入侵已經(jīng)部分進入到網(wǎng)絡(luò)系統(tǒng)中,處于觀察(如嗅探)而非主動掃描階段時���,真正的網(wǎng)絡(luò)服務(wù)對入侵者已經(jīng)透明�����,那么這種欺騙將失去作用��。) @+ H' F* P: k! ^1 u1 s$ `8 Q+ |. w; y
, ?2 W& G; d3 j" r6 b4 A欺騙空間技術(shù)
1 M0 l' l$ t. a% @. O2 s, p
8 ?) R8 X# T/ @3 j欺騙空間技術(shù)就是通過增加搜索空間來顯著地增加入侵者的工作量�,從而達到安全防護的目的�����。利用計算機系統(tǒng)的多宿主能力(multi-h(huán)omed capability)�,在只有一塊以太網(wǎng)卡的計算機上就能實現(xiàn)具有眾多IP地址的主機,而且每個IP地址還具有它們自己的MAC地址�����。這項技術(shù)可用于建立填充一大段地址空間的欺騙�,且花費極低。實際上�����,現(xiàn)在已有研究機構(gòu)能將超過4000個IP地址綁定在一臺運行Linux的PC上��。這意味著利用16臺計算機組成的網(wǎng)絡(luò)系統(tǒng)�,就可做到覆蓋整個B類地址空間的欺騙。盡管看起來存在許許多多不同的欺騙�,但實際上在一臺計算機上就可實現(xiàn)。
: V L1 b) h- S! n& R+ m
. M: E7 W3 s" O& i% B( z9 ^/ m從效果上看�����,將網(wǎng)絡(luò)服務(wù)放置在所有這些IP地址上將毫無疑問地增加了入侵者的工作量��,因為他們需要決定哪些服務(wù)是真正的,哪些服務(wù)是偽造的�,特別是這樣的4萬個以上IP地址都放置了偽造網(wǎng)絡(luò)服務(wù)的系統(tǒng)。而且�����,在這種情況下���,欺騙服務(wù)相對更容易被掃描器發(fā)現(xiàn)����,通過誘使入侵者上當��,增加了入侵時間����,從而大量消耗入侵者的資源,使真正的網(wǎng)絡(luò)服務(wù)被探測到的可能性大大減小����。
6 b( X3 s! k. H* c. y
; ]9 y1 O0 q. W+ m/ |當入侵者的掃描器訪問到網(wǎng)絡(luò)系統(tǒng)的外部路由器并探測到一欺騙服務(wù)時,還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上���,使得接下來的遠程訪問變成這個欺騙的繼續(xù)�����。
: _* u3 y7 T5 Q0 V# p4 w" r% _; x6 n6 r5 d
當然�,采用這種欺騙時網(wǎng)絡(luò)流量和服務(wù)的切換(重定向)必須嚴格保密����,因為一旦暴露就將招致攻擊,從而導致入侵者很容易將任一已知有效的服務(wù)和這種用于測試入侵者的掃描探測及其響應(yīng)的欺騙區(qū)分開來���。% u: P- I# _* `
+ q1 g. Y/ A3 T9 Y增強欺騙質(zhì)量& T. z. F5 }( p: G
8 {8 v- f4 Z$ s5 v8 [; d面對網(wǎng)絡(luò)攻擊技術(shù)的不斷提高��,一種網(wǎng)絡(luò)欺騙技術(shù)肯定不能做到總是成功��,必須不斷地提高欺騙質(zhì)量��,才能使入侵者難以將合法服務(wù)和欺騙區(qū)分開來�����。, x. y$ F3 v; }6 h5 Y
/ k+ |9 g# D+ {: Y) `5 ]* d網(wǎng)絡(luò)流量仿真��、網(wǎng)絡(luò)動態(tài)配置���、多重地址轉(zhuǎn)換和組織信息欺騙是有效增強網(wǎng)絡(luò)欺騙質(zhì)量的幾種主要方法�,下面分別予以介紹��。+ Z/ u6 V9 M" K; w0 B; S& v& [
, L. c! ?! ^, A網(wǎng)絡(luò)流量仿真
5 J, V% a8 J, ~0 o; h2 B5 l& X( h1 t
產(chǎn)生仿真流量的目的是使流量分析不能檢測到欺騙���。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法����。一種方法是采用實時方式或重現(xiàn)方式復制真正的網(wǎng)絡(luò)流量�,這使得欺騙系統(tǒng)與真實系統(tǒng)十分相似,因為所有的訪問連接都被復制了����。第二種方法是從遠程產(chǎn)生偽造流量,使入侵者可以發(fā)現(xiàn)和利用���。
8 K7 Y7 V7 j8 V: b0 l d0 u- P* T& W8 [# k6 w" x: G& x
網(wǎng)絡(luò)動態(tài)配置
8 K; W) ` [6 f' ]/ R+ a7 u" X: s: S. N: T# p
真實網(wǎng)絡(luò)是隨時間而改變的���,如果欺騙是靜態(tài)的,那么在入侵者長期監(jiān)視的情況下就會導致欺騙無效�。因此,需要動態(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)行為�,使欺騙網(wǎng)絡(luò)也象真實網(wǎng)絡(luò)那樣隨時間而改變���。為使之有效,欺騙特性也應(yīng)該能盡可能地反映出真實系統(tǒng)的特性�。例如,如果辦公室的計算機在下班之后關(guān)機��,那么欺騙計算機也應(yīng)該在同一時刻關(guān)機��。其它的如假期�、周末和特殊時刻也必須考慮���,否則入侵者將很可能發(fā)現(xiàn)欺騙���。
6 X9 h! j3 n. \. r
$ }, V$ {& n6 }! L+ U* y7 |" h多重地址轉(zhuǎn)換(multiple address translation)" v% R: N& i: w+ ?+ h
" y" v& {2 g8 A" h- k: ~地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡(luò)和真實網(wǎng)絡(luò)分離開來,這樣就可利用真實的計算機替換低可信度的欺騙�,增加了間接性和隱蔽性。其基本的概念就是重定向代理服務(wù)(通過改寫代理服務(wù)器程序?qū)崿F(xiàn))����,由代理服務(wù)進行地址轉(zhuǎn)換,使相同的源和目的地址象真實系統(tǒng)那樣被維護在欺騙系統(tǒng)中��。右圖中�,從m.n.o.p進入到a.b.c.g接口的訪問,將經(jīng)過一系列的地址轉(zhuǎn)換——由a.f.c.g發(fā)送到10.n.o.p再到10.g.c.f,最后將數(shù)據(jù)包欺騙形式從m.n.o.p轉(zhuǎn)換到真實機器上的a.b.c.g�。并且還可將欺騙服務(wù)綁定在與提供真實服務(wù)主機相同類型和配置的主機上,從而顯著地提高欺騙的真實性����。還可以嘗試動態(tài)多重地址轉(zhuǎn)換。
/ H/ {/ Q; R7 K, u4 F8 Z1 T# |8 `+ L( K& b4 a
創(chuàng)建組織信息欺騙
) D* x, u; b2 w" @9 D7 S0 q7 l* u. o: i; O1 |' C
如果某個組織提供有關(guān)個人和系統(tǒng)信息的訪問��,那么欺騙也必須以某種方式反映出這些信息�����。例如����,如果組織的DNS服務(wù)器包含了個人系統(tǒng)擁有者及其位置的詳細信息,那么你就需要在欺騙的DNS列表中具有偽造的擁有者及其位置��,否則欺騙很容易被發(fā)現(xiàn)�。而且,偽造的人和位置也需要有偽造的信息如薪水�����、預算和個人記錄等等����。9 D& i, v& x9 M& c/ h! k
+ k% Z$ ?0 q" S
結(jié)束語
9 K5 V2 n& C) H4 w" z9 z u. Y, B/ A4 l5 Y( x: I, Q4 C( b
本文闡述了網(wǎng)絡(luò)欺騙在信息系統(tǒng)安全中的作用及實現(xiàn)的主要技術(shù)�,并介紹了增強欺騙質(zhì)量的具體方法�。高質(zhì)量的網(wǎng)絡(luò)欺騙,使可能存在的安全弱點有了很好的隱藏偽裝場所�����,真實服務(wù)與欺騙服務(wù)幾乎融為一體�����,使入侵者難以區(qū)分�。因此�,一個完善的網(wǎng)絡(luò)安全整體解決方案,離不開網(wǎng)絡(luò)欺騙����。在網(wǎng)絡(luò)攻擊和安全防護的相互促進發(fā)展過程中,網(wǎng)絡(luò)欺騙技術(shù)將具有廣闊的發(fā)展前景�����。% q+ T& h5 J& |, `: W# t8 r
|
發(fā)表于 2011-1-12 21:02:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡