什么是網(wǎng)絡(luò)欺騙���?' h- _. O9 I% w( L$ }$ X0 k2 ~
' r) V' w- ]/ Z1 b& `
計算機系統(tǒng)及網(wǎng)絡(luò)的信息安全將是新世紀中各國面臨的重大挑戰(zhàn)之一���。在我國���,這一問題已引起各方面的高度重視����,一些典型技術(shù)及相關(guān)產(chǎn)品如密碼與加密�����、認證與訪問控制�、入侵檢測與響應(yīng)、安全分析與模擬和災(zāi)難恢復(fù)都處于如火如荼的研究和開發(fā)之中��。近年來�����,在與入侵者周旋的過程中,另一種有效的信息安全技術(shù)正漸漸地進入了人們的視野�����,那就是網(wǎng)絡(luò)欺騙�����。
( z" f8 H1 P% c& Y6 g D! U' L
) N+ i. h3 S. L2 q: W7 w, e7 e網(wǎng)絡(luò)欺騙就是使入侵者相信信息系統(tǒng)存在有價值的����、可利用的安全弱點,并具有一些可攻擊竊取的資源(當然這些資源是偽造的或不重要的)�����,并將入侵者引向這些錯誤的資源���。它能夠顯著地增加入侵者的工作量����、入侵復(fù)雜度以及不確定性�����,從而使入侵者不知道其進攻是否奏效或成功。而且����,它允許防護者跟蹤入侵者的行為,在入侵者之前修補系統(tǒng)可能存在的安全漏洞�。
# Z. [9 j0 N2 V8 m* O
+ h/ ~/ ] _8 |+ a& m4 L5 m. W從原理上講,每個有價值的網(wǎng)絡(luò)系統(tǒng)都存在安全弱點�����,而且這些弱點都可能被入侵者所利用�。網(wǎng)絡(luò)欺騙主要有以下三個作用:/ F) D& B1 T! r: a, b
5 {4 @6 N5 H$ U$ c 影響入侵者使之按照你的意志進行選擇���;( c: v- `$ S1 U1 G6 L& Z; q0 V
% u, W. q! |/ C& k5 @
迅速地檢測到入侵者的進攻并獲知其進攻技術(shù)和意圖���;9 \( h0 Q& t+ S
: c2 e4 n5 \3 X; ~) m
消耗入侵者的資源。
$ X, Q6 \1 j& o( r7 a) S7 R
5 z$ k, H' A ?4 p$ _一個理想的網(wǎng)絡(luò)欺騙可以使入侵者感到他們不是很容易地達到了期望的目標(當然目標是假的)��,并使其相信入侵取得了成功��。
^. s' J) \8 z) F4 p5 y( D& ^- H) Q& Y$ O5 K
網(wǎng)絡(luò)欺騙的主要技術(shù)$ N; f4 Y5 i* S
3 i$ r& d" M9 p% F# M3 f; [Honey Pot和分布式Honey Pot( d) p. U, j9 ?, T
% \8 B- |) o5 n# l0 b$ p7 j網(wǎng)絡(luò)欺騙一般通過隱藏和安插錯誤信息等技術(shù)手段實現(xiàn)����,前者包括隱藏服務(wù)����、多路徑和維護安全狀態(tài)信息機密性���,后者包括重定向路由�、偽造假信息和設(shè)置圈套等等����。綜合這些技術(shù)方法,最早采用的網(wǎng)絡(luò)欺騙是Honey Pot技術(shù)�����,它將少量的有吸引力的目標(我們稱之為Honey Pot)放置在入侵者很容易發(fā)現(xiàn)的地方���,以誘使入侵者上當�。" }5 b; F6 ]* g" T5 U& }5 m0 A
) ~+ }3 K$ j' U
這種技術(shù)的目標是尋找一種有效的方法來影響入侵者�����,使得入侵者將技術(shù)�、精力集中到Honey Pot而不是其它真正有價值的正常系統(tǒng)和資源中。Honey Pot技術(shù)還可以做到一旦入侵企圖被檢測到時,迅速地將其切換��。
( A) F2 n. k3 ?# Y6 S u# M, t2 @: f ]
但是����,對稍高級的網(wǎng)絡(luò)入侵,Honey Pot技術(shù)就作用甚微了��。因此����,分布式Honey Pot技術(shù)便應(yīng)運而生,它將欺騙(Honey Pot)散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中�,利用閑置的服務(wù)端口來充當欺騙,從而增大了入侵者遭遇欺騙的可能性�����。它具有兩個直接的效果����,一是將欺騙分布到更廣范圍的IP地址和端口空間中�����,二是增大了欺騙在整個網(wǎng)絡(luò)中的百分比,使得欺騙比安全弱點被入侵者掃描器發(fā)現(xiàn)的可能性增大�。) e9 ~2 s1 V+ S8 d/ f/ y, l$ C0 @
. b& w! R( F5 M% g盡管如此,分布式Honey Pot技術(shù)仍有局限性���,這體現(xiàn)在三個方面:一是它對窮盡整個空間搜索的網(wǎng)絡(luò)掃描無效����;二是只提供了相對較低的欺騙質(zhì)量�����;三是只相對使整個搜索空間的安全弱點減少�。而且,這種技術(shù)的一個更為嚴重的缺陷是它只對遠程掃描有效�。如果入侵已經(jīng)部分進入到網(wǎng)絡(luò)系統(tǒng)中,處于觀察(如嗅探)而非主動掃描階段時��,真正的網(wǎng)絡(luò)服務(wù)對入侵者已經(jīng)透明�,那么這種欺騙將失去作用。
, ], q" p% @2 D# k: h L
9 g5 v0 Y) A9 N; {+ C) }欺騙空間技術(shù)/ U" k; Z8 |1 m# z, u( E
5 i) A; Y% `3 X j5 r$ s' M2 U- o欺騙空間技術(shù)就是通過增加搜索空間來顯著地增加入侵者的工作量��,從而達到安全防護的目的����。利用計算機系統(tǒng)的多宿主能力(multi-h(huán)omed capability)�����,在只有一塊以太網(wǎng)卡的計算機上就能實現(xiàn)具有眾多IP地址的主機����,而且每個IP地址還具有它們自己的MAC地址����。這項技術(shù)可用于建立填充一大段地址空間的欺騙,且花費極低�����。實際上�,現(xiàn)在已有研究機構(gòu)能將超過4000個IP地址綁定在一臺運行Linux的PC上。這意味著利用16臺計算機組成的網(wǎng)絡(luò)系統(tǒng)���,就可做到覆蓋整個B類地址空間的欺騙�����。盡管看起來存在許許多多不同的欺騙,但實際上在一臺計算機上就可實現(xiàn)����。$ F; Z3 M6 _* w! a) v
: ]; y0 P3 i1 M: Q6 b0 B* p1 G: M從效果上看�,將網(wǎng)絡(luò)服務(wù)放置在所有這些IP地址上將毫無疑問地增加了入侵者的工作量����,因為他們需要決定哪些服務(wù)是真正的,哪些服務(wù)是偽造的��,特別是這樣的4萬個以上IP地址都放置了偽造網(wǎng)絡(luò)服務(wù)的系統(tǒng)�。而且,在這種情況下����,欺騙服務(wù)相對更容易被掃描器發(fā)現(xiàn),通過誘使入侵者上當����,增加了入侵時間,從而大量消耗入侵者的資源����,使真正的網(wǎng)絡(luò)服務(wù)被探測到的可能性大大減小。8 W0 o& l) L6 j. U$ n2 i! F% d2 T
! Y& n5 \ c( s# H" _
當入侵者的掃描器訪問到網(wǎng)絡(luò)系統(tǒng)的外部路由器并探測到一欺騙服務(wù)時����,還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上�����,使得接下來的遠程訪問變成這個欺騙的繼續(xù)����。1 D/ Z: } z/ V# P
8 R! F. T! ^& \0 J- {當然�,采用這種欺騙時網(wǎng)絡(luò)流量和服務(wù)的切換(重定向)必須嚴格保密,因為一旦暴露就將招致攻擊�����,從而導(dǎo)致入侵者很容易將任一已知有效的服務(wù)和這種用于測試入侵者的掃描探測及其響應(yīng)的欺騙區(qū)分開來��。
" j% @- f4 C& f# ^* c X/ ^2 W0 I, Y1 A
增強欺騙質(zhì)量% Y f- l' }0 g% j1 ~* O
4 h* Z# `6 Q, |" }/ N; F" w
面對網(wǎng)絡(luò)攻擊技術(shù)的不斷提高�,一種網(wǎng)絡(luò)欺騙技術(shù)肯定不能做到總是成功,必須不斷地提高欺騙質(zhì)量�����,才能使入侵者難以將合法服務(wù)和欺騙區(qū)分開來����。6 {5 i) i- u6 {6 E6 ~" q( a6 P
9 v1 i8 \6 d6 J1 b' V網(wǎng)絡(luò)流量仿真、網(wǎng)絡(luò)動態(tài)配置����、多重地址轉(zhuǎn)換和組織信息欺騙是有效增強網(wǎng)絡(luò)欺騙質(zhì)量的幾種主要方法,下面分別予以介紹�����。
) U. I: ^7 j2 {2 \# P* a. H
9 x' D! m% k! F4 u8 E& h2 G& m網(wǎng)絡(luò)流量仿真" c, d, v1 `& t
' P" G- R! ~- z/ r" K y
產(chǎn)生仿真流量的目的是使流量分析不能檢測到欺騙�����。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法���。一種方法是采用實時方式或重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量�����,這使得欺騙系統(tǒng)與真實系統(tǒng)十分相似����,因為所有的訪問連接都被復(fù)制了���。第二種方法是從遠程產(chǎn)生偽造流量����,使入侵者可以發(fā)現(xiàn)和利用。4 F/ U" l0 D* M! R, G
# i6 ]% K- S7 ]" ~
網(wǎng)絡(luò)動態(tài)配置
$ Q# u- L- E3 I. g
8 K0 {2 p" {- O. p F, ?真實網(wǎng)絡(luò)是隨時間而改變的����,如果欺騙是靜態(tài)的,那么在入侵者長期監(jiān)視的情況下就會導(dǎo)致欺騙無效�����。因此����,需要動態(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)行為,使欺騙網(wǎng)絡(luò)也象真實網(wǎng)絡(luò)那樣隨時間而改變��。為使之有效��,欺騙特性也應(yīng)該能盡可能地反映出真實系統(tǒng)的特性����。例如,如果辦公室的計算機在下班之后關(guān)機�,那么欺騙計算機也應(yīng)該在同一時刻關(guān)機。其它的如假期�����、周末和特殊時刻也必須考慮,否則入侵者將很可能發(fā)現(xiàn)欺騙��。
( I% X7 |# Q* b' }6 _
. u( ~, f3 w% m1 d1 O7 B多重地址轉(zhuǎn)換(multiple address translation)9 I4 U) Y& C8 h3 o2 R4 |5 \( y* O
4 n* Y% C/ r I P, _8 H8 g/ N- B9 f+ o
地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡(luò)和真實網(wǎng)絡(luò)分離開來�����,這樣就可利用真實的計算機替換低可信度的欺騙���,增加了間接性和隱蔽性。其基本的概念就是重定向代理服務(wù)(通過改寫代理服務(wù)器程序?qū)崿F(xiàn))��,由代理服務(wù)進行地址轉(zhuǎn)換�,使相同的源和目的地址象真實系統(tǒng)那樣被維護在欺騙系統(tǒng)中。右圖中��,從m.n.o.p進入到a.b.c.g接口的訪問��,將經(jīng)過一系列的地址轉(zhuǎn)換——由a.f.c.g發(fā)送到10.n.o.p再到10.g.c.f���,最后將數(shù)據(jù)包欺騙形式從m.n.o.p轉(zhuǎn)換到真實機器上的a.b.c.g�。并且還可將欺騙服務(wù)綁定在與提供真實服務(wù)主機相同類型和配置的主機上��,從而顯著地提高欺騙的真實性。還可以嘗試動態(tài)多重地址轉(zhuǎn)換����。7 Y; R( G! g9 Q# R& {8 y3 n% h
3 L& R- h' E6 k/ n7 c$ D9 V4 e! \
創(chuàng)建組織信息欺騙
. \. ]- D- e# U& y1 Q0 }, R* X/ t) Q% L
如果某個組織提供有關(guān)個人和系統(tǒng)信息的訪問,那么欺騙也必須以某種方式反映出這些信息�。例如,如果組織的DNS服務(wù)器包含了個人系統(tǒng)擁有者及其位置的詳細信息����,那么你就需要在欺騙的DNS列表中具有偽造的擁有者及其位置,否則欺騙很容易被發(fā)現(xiàn)�。而且,偽造的人和位置也需要有偽造的信息如薪水�、預(yù)算和個人記錄等等。' p! x/ l. M& _3 {3 l3 _* W4 _7 O
" g/ K( s; r) @0 k! e結(jié)束語* p3 P2 b# ]4 k# [' @6 ?
? w7 E: a8 v/ O9 r
本文闡述了網(wǎng)絡(luò)欺騙在信息系統(tǒng)安全中的作用及實現(xiàn)的主要技術(shù)�����,并介紹了增強欺騙質(zhì)量的具體方法�����。高質(zhì)量的網(wǎng)絡(luò)欺騙����,使可能存在的安全弱點有了很好的隱藏偽裝場所,真實服務(wù)與欺騙服務(wù)幾乎融為一體,使入侵者難以區(qū)分�����。因此����,一個完善的網(wǎng)絡(luò)安全整體解決方案,離不開網(wǎng)絡(luò)欺騙���。在網(wǎng)絡(luò)攻擊和安全防護的相互促進發(fā)展過程中,網(wǎng)絡(luò)欺騙技術(shù)將具有廣闊的發(fā)展前景����。
) ~% \, x7 X4 @4 |, u |
發(fā)表于 2011-1-12 21:02:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡