什么是網(wǎng)絡(luò)欺騙����?
1 q, J! L+ g6 c+ ^0 L, c' {/ G X: Y
. Z. s5 h( F4 F: \' e; u0 Z6 N. [+ b! _. ^計算機系統(tǒng)及網(wǎng)絡(luò)的信息安全將是新世紀(jì)中各國面臨的重大挑戰(zhàn)之一。在我國���,這一問題已引起各方面的高度重視�����,一些典型技術(shù)及相關(guān)產(chǎn)品如密碼與加密�����、認(rèn)證與訪問控制�����、入侵檢測與響應(yīng)�����、安全分析與模擬和災(zāi)難恢復(fù)都處于如火如荼的研究和開發(fā)之中��。近年來�,在與入侵者周旋的過程中�,另一種有效的信息安全技術(shù)正漸漸地進入了人們的視野,那就是網(wǎng)絡(luò)欺騙���。" J, p# ?" N3 v% E& u
# J( X; a/ P, I7 r網(wǎng)絡(luò)欺騙就是使入侵者相信信息系統(tǒng)存在有價值的��、可利用的安全弱點�,并具有一些可攻擊竊取的資源(當(dāng)然這些資源是偽造的或不重要的)���,并將入侵者引向這些錯誤的資源���。它能夠顯著地增加入侵者的工作量��、入侵復(fù)雜度以及不確定性����,從而使入侵者不知道其進攻是否奏效或成功�。而且,它允許防護者跟蹤入侵者的行為�����,在入侵者之前修補系統(tǒng)可能存在的安全漏洞����。
: D. a8 S+ V' {9 H7 b5 {8 ~$ V% w3 b6 h- ]; C% X: t5 m
從原理上講,每個有價值的網(wǎng)絡(luò)系統(tǒng)都存在安全弱點����,而且這些弱點都可能被入侵者所利用。網(wǎng)絡(luò)欺騙主要有以下三個作用:
: O6 j; ~8 j9 b% P' {: T: B( H# J' u( R& L; l- C, K
影響入侵者使之按照你的意志進行選擇��;
- _; V8 @1 m; `8 B! Y2 M3 H
5 y7 d0 [" L7 R/ J6 p; T/ r 迅速地檢測到入侵者的進攻并獲知其進攻技術(shù)和意圖���;& w* N: Z1 J- l/ P6 E
( m9 \! t1 d9 w8 {. x" i
消耗入侵者的資源�����。
; j' v/ O7 y( s) F% @
( c; B5 c7 {/ l) k8 D一個理想的網(wǎng)絡(luò)欺騙可以使入侵者感到他們不是很容易地達(dá)到了期望的目標(biāo)(當(dāng)然目標(biāo)是假的)�,并使其相信入侵取得了成功。
3 K; \' X m" \
3 l* U* |6 u$ A1 Z" @% k, [$ C網(wǎng)絡(luò)欺騙的主要技術(shù)
6 O! ]. b; }) Z) l
/ o2 n9 I! C5 U; n, l7 pHoney Pot和分布式Honey Pot3 F; U$ M5 a+ l3 o% e( q
, A3 U3 `3 w# e- z! p
網(wǎng)絡(luò)欺騙一般通過隱藏和安插錯誤信息等技術(shù)手段實現(xiàn)�����,前者包括隱藏服務(wù)���、多路徑和維護安全狀態(tài)信息機密性����,后者包括重定向路由�����、偽造假信息和設(shè)置圈套等等�。綜合這些技術(shù)方法�����,最早采用的網(wǎng)絡(luò)欺騙是Honey Pot技術(shù),它將少量的有吸引力的目標(biāo)(我們稱之為Honey Pot)放置在入侵者很容易發(fā)現(xiàn)的地方�,以誘使入侵者上當(dāng)。
+ l* [. f& ]* \. [5 D. x4 X5 v
這種技術(shù)的目標(biāo)是尋找一種有效的方法來影響入侵者�����,使得入侵者將技術(shù)��、精力集中到Honey Pot而不是其它真正有價值的正常系統(tǒng)和資源中��。Honey Pot技術(shù)還可以做到一旦入侵企圖被檢測到時�����,迅速地將其切換��。2 z. C. w9 {+ F$ r" U4 ^) O2 C
. ^3 A) F8 _4 y6 {4 R0 X# k
但是��,對稍高級的網(wǎng)絡(luò)入侵��,Honey Pot技術(shù)就作用甚微了��。因此���,分布式Honey Pot技術(shù)便應(yīng)運而生��,它將欺騙(Honey Pot)散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中����,利用閑置的服務(wù)端口來充當(dāng)欺騙,從而增大了入侵者遭遇欺騙的可能性�����。它具有兩個直接的效果�,一是將欺騙分布到更廣范圍的IP地址和端口空間中,二是增大了欺騙在整個網(wǎng)絡(luò)中的百分比���,使得欺騙比安全弱點被入侵者掃描器發(fā)現(xiàn)的可能性增大��。
) C4 ?/ t) P) F, p" \- L/ k6 k9 n* c; r4 I/ i& A1 H' S
盡管如此��,分布式Honey Pot技術(shù)仍有局限性���,這體現(xiàn)在三個方面:一是它對窮盡整個空間搜索的網(wǎng)絡(luò)掃描無效����;二是只提供了相對較低的欺騙質(zhì)量;三是只相對使整個搜索空間的安全弱點減少�。而且�,這種技術(shù)的一個更為嚴(yán)重的缺陷是它只對遠(yuǎn)程掃描有效�。如果入侵已經(jīng)部分進入到網(wǎng)絡(luò)系統(tǒng)中,處于觀察(如嗅探)而非主動掃描階段時���,真正的網(wǎng)絡(luò)服務(wù)對入侵者已經(jīng)透明�����,那么這種欺騙將失去作用�����。% f3 v$ g9 C$ e
, {2 q3 B+ g' X0 ]8 j
欺騙空間技術(shù)
. E) Q, x! g$ t' L! ?5 A8 f/ \; ^# i' o2 Q i: d
欺騙空間技術(shù)就是通過增加搜索空間來顯著地增加入侵者的工作量�,從而達(dá)到安全防護的目的��。利用計算機系統(tǒng)的多宿主能力(multi-h(huán)omed capability)�,在只有一塊以太網(wǎng)卡的計算機上就能實現(xiàn)具有眾多IP地址的主機,而且每個IP地址還具有它們自己的MAC地址�。這項技術(shù)可用于建立填充一大段地址空間的欺騙,且花費極低����。實際上,現(xiàn)在已有研究機構(gòu)能將超過4000個IP地址綁定在一臺運行Linux的PC上����。這意味著利用16臺計算機組成的網(wǎng)絡(luò)系統(tǒng)���,就可做到覆蓋整個B類地址空間的欺騙。盡管看起來存在許許多多不同的欺騙�,但實際上在一臺計算機上就可實現(xiàn)。
: D9 d6 Z) a0 J0 t- t
* m/ z% Y- d; m從效果上看��,將網(wǎng)絡(luò)服務(wù)放置在所有這些IP地址上將毫無疑問地增加了入侵者的工作量��,因為他們需要決定哪些服務(wù)是真正的��,哪些服務(wù)是偽造的�����,特別是這樣的4萬個以上IP地址都放置了偽造網(wǎng)絡(luò)服務(wù)的系統(tǒng)����。而且,在這種情況下�,欺騙服務(wù)相對更容易被掃描器發(fā)現(xiàn),通過誘使入侵者上當(dāng)��,增加了入侵時間����,從而大量消耗入侵者的資源,使真正的網(wǎng)絡(luò)服務(wù)被探測到的可能性大大減小����。$ W! b3 L4 N d) A" F$ R
( z) p2 [9 I4 v
當(dāng)入侵者的掃描器訪問到網(wǎng)絡(luò)系統(tǒng)的外部路由器并探測到一欺騙服務(wù)時,還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上�����,使得接下來的遠(yuǎn)程訪問變成這個欺騙的繼續(xù)�����。
. j' S$ G% [& H! b; v4 x; U
, s* ]6 a2 X3 M. V+ }* z當(dāng)然����,采用這種欺騙時網(wǎng)絡(luò)流量和服務(wù)的切換(重定向)必須嚴(yán)格保密,因為一旦暴露就將招致攻擊����,從而導(dǎo)致入侵者很容易將任一已知有效的服務(wù)和這種用于測試入侵者的掃描探測及其響應(yīng)的欺騙區(qū)分開來。
+ S& e) I& g- A1 ?/ y7 [2 l6 A
: D! n4 O" |0 T9 \增強欺騙質(zhì)量# Y2 n# E; k% I8 B ]. Y" J
; n0 e g7 M3 z( g
面對網(wǎng)絡(luò)攻擊技術(shù)的不斷提高����,一種網(wǎng)絡(luò)欺騙技術(shù)肯定不能做到總是成功��,必須不斷地提高欺騙質(zhì)量����,才能使入侵者難以將合法服務(wù)和欺騙區(qū)分開來��。/ K' R, _' ~+ C) J' R
& ?: M9 x+ B# |* g/ z$ r2 i* `& H% p
網(wǎng)絡(luò)流量仿真���、網(wǎng)絡(luò)動態(tài)配置��、多重地址轉(zhuǎn)換和組織信息欺騙是有效增強網(wǎng)絡(luò)欺騙質(zhì)量的幾種主要方法�,下面分別予以介紹���。$ z7 ^, [/ c" x& d' E' r
- F7 z8 O4 K7 L# w, I
網(wǎng)絡(luò)流量仿真, |! L4 c4 L# q2 ~
8 r4 ?5 U8 M& w
產(chǎn)生仿真流量的目的是使流量分析不能檢測到欺騙���。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法。一種方法是采用實時方式或重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量����,這使得欺騙系統(tǒng)與真實系統(tǒng)十分相似,因為所有的訪問連接都被復(fù)制了���。第二種方法是從遠(yuǎn)程產(chǎn)生偽造流量�����,使入侵者可以發(fā)現(xiàn)和利用���。
) E% P, L! d9 m) q1 ?. G# L0 d2 P. @
網(wǎng)絡(luò)動態(tài)配置: @: k( \+ f4 u. m
( o' J- b9 s8 ^( J5 V4 E! K
真實網(wǎng)絡(luò)是隨時間而改變的,如果欺騙是靜態(tài)的�����,那么在入侵者長期監(jiān)視的情況下就會導(dǎo)致欺騙無效�。因此,需要動態(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)行為����,使欺騙網(wǎng)絡(luò)也象真實網(wǎng)絡(luò)那樣隨時間而改變。為使之有效�����,欺騙特性也應(yīng)該能盡可能地反映出真實系統(tǒng)的特性���。例如��,如果辦公室的計算機在下班之后關(guān)機����,那么欺騙計算機也應(yīng)該在同一時刻關(guān)機。其它的如假期�、周末和特殊時刻也必須考慮,否則入侵者將很可能發(fā)現(xiàn)欺騙����。
2 {9 z$ G! a+ E+ c" g- ]' s9 C: H* t: k+ L4 n; p4 ^2 {% m1 D& F/ C
多重地址轉(zhuǎn)換(multiple address translation)4 R/ O% c6 q% u8 z3 j5 B
6 j: a; |8 z. C" g" m2 n
地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡(luò)和真實網(wǎng)絡(luò)分離開來,這樣就可利用真實的計算機替換低可信度的欺騙�,增加了間接性和隱蔽性。其基本的概念就是重定向代理服務(wù)(通過改寫代理服務(wù)器程序?qū)崿F(xiàn))��,由代理服務(wù)進行地址轉(zhuǎn)換���,使相同的源和目的地址象真實系統(tǒng)那樣被維護在欺騙系統(tǒng)中����。右圖中��,從m.n.o.p進入到a.b.c.g接口的訪問���,將經(jīng)過一系列的地址轉(zhuǎn)換——由a.f.c.g發(fā)送到10.n.o.p再到10.g.c.f�����,最后將數(shù)據(jù)包欺騙形式從m.n.o.p轉(zhuǎn)換到真實機器上的a.b.c.g���。并且還可將欺騙服務(wù)綁定在與提供真實服務(wù)主機相同類型和配置的主機上����,從而顯著地提高欺騙的真實性�����。還可以嘗試動態(tài)多重地址轉(zhuǎn)換����。( Q b0 b. H# B2 D$ C8 J
3 r& i ~/ j' W0 t! A創(chuàng)建組織信息欺騙. z: I4 l; N/ H! T8 H! c
6 t2 s; R' }3 r如果某個組織提供有關(guān)個人和系統(tǒng)信息的訪問���,那么欺騙也必須以某種方式反映出這些信息���。例如,如果組織的DNS服務(wù)器包含了個人系統(tǒng)擁有者及其位置的詳細(xì)信息����,那么你就需要在欺騙的DNS列表中具有偽造的擁有者及其位置,否則欺騙很容易被發(fā)現(xiàn)。而且���,偽造的人和位置也需要有偽造的信息如薪水���、預(yù)算和個人記錄等等。3 @8 b _- y6 t. |7 R5 R; ?
8 M+ Y1 t8 r5 S6 A+ n; |& h
結(jié)束語6 A! A% z9 g7 r$ h9 }( c- t
+ }* T9 w$ D& w V. Z本文闡述了網(wǎng)絡(luò)欺騙在信息系統(tǒng)安全中的作用及實現(xiàn)的主要技術(shù)��,并介紹了增強欺騙質(zhì)量的具體方法���。高質(zhì)量的網(wǎng)絡(luò)欺騙��,使可能存在的安全弱點有了很好的隱藏偽裝場所���,真實服務(wù)與欺騙服務(wù)幾乎融為一體,使入侵者難以區(qū)分����。因此,一個完善的網(wǎng)絡(luò)安全整體解決方案���,離不開網(wǎng)絡(luò)欺騙���。在網(wǎng)絡(luò)攻擊和安全防護的相互促進發(fā)展過程中��,網(wǎng)絡(luò)欺騙技術(shù)將具有廣闊的發(fā)展前景����。$ X; v7 i0 A/ c5 j- ]
|
發(fā)表于 2011-1-12 21:02:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡