HONEYPOTS
GVHD:
TS. Phạm Văn Tính
Nội Dung Báo Cáo
1.
2.
3.
4.
Tổng quan Honeypots
Honeypot tương tác thấp(honeyd)
Honeypot tương tác cao(honeynet)
Ưu nhược điểm Honeypots
1. Tổng quan Honeypots
1.1 Honeypots là gì?
1.2 Vắn tắt lịch sử Honeypots
1.3 Phân loại
1.1 Honeypots là gì?
Honeypots là một hệ thống tài nguyên thông tin
được xây dựng với mục đích giả dạng đánh lừa
những kẻ sử dụng và xâm nhập không hợp pháp, thu
hút sự chú ý của chúng, ngăn chặn tiếp xúc với hệ
thống thật.
Honeypot có thể giả dạng bất cứ loại máy chủ tài
nguyên nào như : Mail Server, DNS, Web server, ….
Honeypot là một hệ thống tài nguyên không có giá
trị.
Được sử dụng để giám sát, phát hiện và phân tích
các cuộc tấn công
1.2 Vắn tắt lịch sử Honeypots
•
•
•
•
•
•
•
•
•
•
•
1990/1991 The Cuckoo’s Egg and Evening with Berferd
1997 - Deception Toolkit
1998 - CyberCop Sting
1998 - NetFacade (and Snort)
1998 - BackOfficer Friendly
1999 - Honeynet Project
2001 - Gen II Honeynets
2002 - Honeynet Research Alliance
2003 - Snort-inline Sebek
2004 - Honeywall Roo
2005 - Philipine Honeynet Project
1.3 Phân loại
• Mức tương tác
• High
• Low
• Middle?
• Hiện thực
• Virtual
• Physical
• Mục đích
• Production
• Research
1.3.1 Level of Interaction
Tương tác thấp
Mô phỏng một vài khía cạnh hệ thống
Dễ dàng triển khai, ít rủi ro
Giới hạn thông tin
Honeyd
Tương tác cao
Mô phỏng tất cả các khía cạnh hệ điều hành: hệ thống
thực.
Rủi ro cao
Thu thập nhiều thông tin
Honeynet
1.3.1 Level of Interaction
Low
Fake Daemon
Medium
Operating system
Disk
High
Other
local
resource
1.3.2 Physical V.S. Virtual Honeypots
•
2 loại
– Physical
• Máy thật
• IP
• Thường tương tác cao
– Virtual
• Giả lập một máy khác:
– Mô phỏng nhiều virtual honeypots tại một thời điểm
1.3.3 Cách làm việc honeypots?
Prevent
Detect
Response
Monitor
No connection
Production Honeypots
• Ngăn chặn
• Giữ chân kẻ xấu
• Phát hiện
• Phát hiện kẻ tấn công
• Phản ứng
Research Honeypots
•
•
•
Khám phá những công cụ, chiến thuật mới
Phân tích và phát triển những kỹ thuật
HONEYNET?
Thu thập dữ liệu
•
•
Host based:
• Keystrokes
• Syslog
Network based:
• Firewall
• Sniffer
Bảo trì Honeypots
•
•
•
•
Phát hiện, cảnh báo
Phản ứng
Phân tích dữ liệu
Cập nhật
2. HONEYPOT
TƯƠNG TÁC CẤP THẤP
• BackOfficer Friendly
• KF Sensor
• Patriot Box
• Specter
• Honeyd
BackOf ficer Friendly
BackOfficer
BackOfficer Friendly
BackOf ficer Friendly
BackOrifice: Là một loại Trojan khi được cài đặt vào máy
nạn nhân (chỉ trên những hệ thống Window 95 hoặc Window
98) và nằm ẩn bên trong hệ thống và cho phép các Attacker
có thể thực hiện hành vi tấn công của mình như: theo dõi tất
cả hành động của nạn nhân trên hệ thống của mình mà các
nạn nhân không hề biết.
Chỉ tương tác được với một số dịch vụ đơn giản như FTP,
Telnet, SMTP…
BackOfficer Friendly
Nhiệm vụ chính của BOF là khả năng phát hiện và cảnh
báo những tấn công từ bên ngoài đe dọa trên hệ thống nạn
nhân nào đó
BackOf ficer Friendl y
Khả năng lắng nghe các hành động tấn công tự bên
ngoài trên bảy dịch vụ: BackOrifice, FTP, Telnet,
SMTP, HTTP, POP3, IMAP2.
Hạn Chế:
• không thể mô phỏng các dịch vụ Web Server như
Apache, IIS
• Nếu xuất hiện một tấn công nào với port khác với bảy
port trên thì BOF không thể phát huy khả năng của
mình
• Khi một tấn công bị phát hiện, thì thông tin bắt được
rất hạn hẹp, chỉ cho thấy được các loại như IP của
máy tấn công, trên port và loại dịch vụ tương ứng
KF Sensor
• Là một Honeypot chạy trên môi trường Window, có chức
năng thu hút và phát hiện ra các cuộc tấn công, worm và
trojan trên hệ thống mạng.
• Nó chứa nhiều các tính năng riêng biệt như có khả năng
quản lý từ xa, các mẫu signature tương thích với Snort, mô
phỏng được hầu hết các dịch vụ mạng của Window.
• KFSensor mô phỏng các dịch vụ như là: FTP, SMB, POP3,
HTTP, TELNET, SMTP nhằm lấy các thông tin về một cuộc
tấn công. Một cuộc tấn công bị phát hiện, phân tích và báo
cáo ngay tức khắc, đồng thời đáp trả lại những yêu cầu của
kẻ tấn công trong khi nó vẫn tiếp tục xử lý cuộc tấn công đó.
Hạn chế của honeypot KFSensor:
Giống như các honeypot tương tác thấp khác,
KFSensor không cung cấp một hệ điểu hành thật để
cho kẻ tấn công có thể tương tác, vì thế sẽ hạn chế
lượng thông tin thu được từ những cuộc tấn công và
chính vì điểm yếu đó sẽ làm cho Honeypot sẽ dễ
dàng bị phát hiện. KFSensor chỉ mô phỏng được
những dịch vụ chưa chạy trên hệ thống .
Specter
Là một loại HoneyPot dùng trong mục đích thương
mại và được phát triển bởi NetSec
hoạt động tương tự như BackOffice Friendly, nhưng
Specter rộng hơn về số lượng dịch vụ quan sát và
khả năng mô phỏng dịch vụ
Specter
Specter định ra bảy loại traps trong tổng số 14 dịch
vụ mô phỏng, chủ yếu là định ra danh sách port lắng
nghe trên từng loại dịch vụ, trong đó có 1 trap có thể
tùy biến port lắng nghe.
Hạn chế : Specter không có khả năng theo dõi trên
bất cứ loại dịch vụ nào đang chạy trên hệ điều hành
thật
Honeyd
Được phát triển và duy trì bởi Niels Provos
Honeyd là một chương trình nền nhỏ có rất nhiều
tính năng nổi trội.
Honeyd giả lập các máy ảo trong một mạng máy tính.
Nó có thể đóng giả một hệ điều hành bất kỳ, cho
phép mô phỏng các dịch vụ TCP/IP khác nhau như
HTTP, SMTP, SSH .v.v..
Honeyd
Hỗ trợ TCP/UDP/ICMP;
Hỗ trợ nhiều loại dịch vụ khác nhau;
Mô phỏng nhiều mô hình mạng khác nhau;
Hỗ trợ tunneling và redirecting ;