網(wǎng)絡騙術分析

申請免費試用、咨詢電話：400-8352-114

誘敵深入是一門很實用的戰(zhàn)術，古今中外，很多軍事家、政治家、企業(yè)家都對這個戰(zhàn)術津津樂道，在網(wǎng)絡攻防中也不例外，系統(tǒng)管理員也會用到這樣的戰(zhàn)術。由于每個網(wǎng)絡系統(tǒng)都有安全方面的弱點，如果它的價值很高的話，這些弱點就有可能被入侵者利用。通常，人們會主動去彌補這些漏洞或者缺陷，如果系統(tǒng)管理員有一手的話，完全可以使入侵者相信系統(tǒng)存在安全缺陷，并將其引向這些錯誤的資源，也就是"誘敵深入"。當然，也需要在"知己知彼"的基礎上才能"百戰(zhàn)百勝"。管理員還可以跟蹤入侵者的行為，在入侵者之前修補系統(tǒng)可能存在的安全漏洞。這可以形象地比喻為"牽著牛鼻子走路"。
一、網(wǎng)絡欺騙方法探幽

網(wǎng)絡管理員和入侵者在工作上永遠是不相容的兩個派別，至于工作之外是什么角色就不好說了。實踐過程中，我們可以用逆向的思維來猜測入侵者的進攻技術和意圖，牽著他的"牛鼻子"，按照我們給他設計好的意志進行選擇，并且逐步消耗他的資源。這樣，就會使入侵者感到要達到期望的目標還是具有一定挑戰(zhàn)性的。一般來說，網(wǎng)絡欺騙的方法可以從以下幾個方面來考慮。

1、誘餌:Honey Pot和分布式Honey Pot

最早采用的網(wǎng)絡欺騙是Honey Pot技術，Honey Pot就像一個誘餌，它將少量的有吸引力的目標(即Honey Pot)放在讓入侵者很容易發(fā)現(xiàn)的地方，使之落入圈套。其中采用的技術手段很多，通常包括安插錯誤信息和隱藏等。前者包括重定向路由、偽造假信息和設置圈套，后者包括隱藏服務、多路徑和維護安全狀態(tài)信息機密性。這樣就可以使入侵者將技術、精力集中到Honey Pot而不是其他真正有價值的正常系統(tǒng)和資源中，因此這個誘餌必須做的盡量"美味、可口"。

盡管Honey Pot技術可以迅速切換，但是，對稍高級的網(wǎng)絡入侵，Honey Pot技術就作用甚微了。因此，分布式Honey Pot技術便應運而生，它將欺騙(Honey Pot)散布在網(wǎng)絡的正常系統(tǒng)和資源中，利用閑置的服務端口來充當欺騙，從而增大了入侵者遭遇欺騙的可能性。分布式Honey Pot技術有兩個直接的效果，首先是將欺騙分布到更廣范圍的IP地址和端口空間中，其次是增大了欺騙在整個網(wǎng)絡中的百分比，使得欺騙比安全弱點被入侵者掃描器發(fā)現(xiàn)的可能性增大。

分布式Honey Pot技術也不是十全十美的，它的局限性體現(xiàn)在三個方面:一是它對窮盡整個空間搜索的網(wǎng)絡掃描無效;二是只提供了相對較低的欺騙質量;三是只相對使整個搜索空間的安全弱點減少。而且，這種技術的一個更為嚴重的缺陷是它只對遠程掃描有效。如果入侵已經(jīng)部分進入到網(wǎng)絡系統(tǒng)中，處于觀察(如嗅探)而非主動掃描階段時，真正的網(wǎng)絡服務對入侵者已經(jīng)透明，那么這種欺騙將失去作用。

2、真假"李逵":空間欺騙技術

計算機系統(tǒng)具有多宿主能力(multi-homed capability)，就是在只有一塊以太網(wǎng)卡的計算機上能實現(xiàn)具有眾多IP地址的主機，實際上，現(xiàn)在已有研究機構能將超過4000個IP地址綁定在一臺運行Linux的PC上，而且每個IP地址還具有它們自己的MAC地址。這項技術可用于建立填充一大段地址空間的欺騙，且花費極低。欺騙空間技術就是通過增加搜索空間來顯著地增加入侵者的工作量，從而達到安全防護的目的。這樣許許多多不同的欺騙，就可以在一臺計算機上實現(xiàn)。當入侵者的掃描器訪問到網(wǎng)絡系統(tǒng)的外部路由器并探測到這一欺騙服務時，還可將掃描器所有的網(wǎng)絡流量重定向到欺騙上，使得接下來的遠程訪問變成這個欺騙的繼續(xù)。

從防護的效果上看，將網(wǎng)絡服務放置在所有這些IP地址上將毫無疑問地增加了入侵者的工作量，因為他們需要決定哪些服務是真正的，哪些服務是偽造的，特別是這樣的4萬個以上IP地址都放置了偽造網(wǎng)絡服務的系統(tǒng)。而且，在這種情況下，欺騙服務相對更容易被掃描器發(fā)現(xiàn)，通過誘使入侵者上當，增加了入侵時間，從而大量消耗入侵者的資源，使真正的網(wǎng)絡服務被探測到的可能性大大減小。

當然，采用這種欺騙時網(wǎng)絡流量和服務的重定向必須嚴格保密，因為一旦暴露就將招致攻擊，從而導致入侵者很容易將任一已知有效的服務和這種用于測試入侵者的掃描探測及其響應的欺騙區(qū)分開來。

3、用戶信息迷惑:組織信息欺騙和多重地址轉換

面對網(wǎng)絡攻擊技術的不斷提高，一種網(wǎng)絡欺騙技術肯定不能做到總是成功，必須不斷地提高欺騙質量，才能使入侵者難以將合法服務和欺騙區(qū)分開來。多重地址轉換和組織信息欺騙能有效地迷惑對手。

如果組織的DNS服務器包含了個人系統(tǒng)擁有者及其位置的詳細信息，那么你就需要在欺騙的DNS列表中具有偽造的擁有者及其位置，否則欺騙很容易被發(fā)現(xiàn)。而且，偽造的人和位置也需要有偽造的信息如薪水、預算和個人記錄等等。因此，如果某個組織提供有關個人和系統(tǒng)信息的訪問，那么欺騙也必須以某種方式反映出這些信息。

另外，在信息迷惑上，地址的多次轉換能將欺騙網(wǎng)絡和真實網(wǎng)絡分離開來，這樣就可利用真實的計算機替換低可信度的欺騙，增加了間接性和隱蔽性。其基本的概念就是重定向代理服務(通過改寫代理服務器程序實現(xiàn))，由代理服務進行地址轉換，使相同的源和目的地址像真實系統(tǒng)那樣被維護在欺騙系統(tǒng)中。

4、網(wǎng)絡信息迷惑:網(wǎng)絡動態(tài)配置和網(wǎng)絡流量仿真

真實網(wǎng)絡是隨時間而改變的，如果欺騙是靜態(tài)的，那么在入侵者長期監(jiān)視的情況下就會導致欺騙無效。因此，需要動態(tài)配置欺騙網(wǎng)絡以模擬正常的網(wǎng)絡行為，使欺騙網(wǎng)絡也像真實網(wǎng)絡那樣隨時間而改變。為使之有效，欺騙特性也應該能盡可能地反映出真實系統(tǒng)的特性。例如，如果辦公室的計算機在下班之后關機，那么欺騙計算機也應該在同一時刻關機。其他的如假期、周末和特殊時刻也必須考慮，否則入侵者將很可能發(fā)現(xiàn)欺騙。

產生仿真流量的目的是使流量分析不能檢測到欺騙。在欺騙系統(tǒng)中產生仿真流量有兩種方法。一種方法是采用實時方式或重現(xiàn)方式復制真正的網(wǎng)絡流量，這使得欺騙系統(tǒng)與真實系統(tǒng)十分相似，因為所有的訪問連接都被復制了;還有一種方法是從遠程產生偽造流量，使入侵者可以發(fā)現(xiàn)和利用。

在欺騙與被欺騙的過程中，對雙方的智力考驗要求是很高的。如果在其中某個環(huán)節(jié)的判斷上出了問題，就可能反而陷入別人的圈套。因此，必須對相關的欺騙手法有一定的了解，這樣就能在實踐操作中做出準確的判斷。下面，我們來看一個"誘敵深入"的攻防實踐。

二、欺騙實例之"誘敵深入"