网络欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点,并具有一些可攻击窃取的资源(当然这些资源是伪造的或不重要的),并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性,从而使入侵者不知道其进攻是否奏效或成功。而且,它允许防护者跟踪入侵者的行为,在入侵者之前修补系统可能存在的安全漏洞。
简介
当今世界,计算机网络遍布世界每个角落,深入各个领域,它正在对我们的生活方式和工作方式产生着前所未有的影响,如同交通工具和水利、电力一样日益成为人们生活中不可缺少的组成部分,同时网络的多元化,复杂化,人们对网络知识的了解也越来越深入,网络上的攻击行为变得越来越多,已经严重威胁到网络信息安全,网络欺骗已经越来越多的引起了人们的注意与警惕。
网络欺骗就是使攻击者可以相信
网络信息系统存在有价值的、可利用的安全弱点,并具有一些可攻击窃取的
资源,通过隐藏,伪造信息或安插错误信息,从而将攻击者引向这些错误的资源,它能够显著地增加攻击者的工作量,复杂度以及不确定性,从而使攻击者不知道其攻击是否奏效或成功。
主要技术
蜜罐技术
网络欺骗一般通过隐藏和安插
错误信息等技术手段实现,前者包括隐藏服务、多路径和维护
安全状态信息机密性,后者包括重定向路由、伪造假信息和设置圈套等等。综合这些技术方法,最早采用的网络欺骗是Honey Pot技术,它将少量的有吸引力的目标(我们称之为Honey Pot)放置在入侵者很容易发现的地方,以诱使入侵者上当。
这种技术的目标是寻找一种有效的方法来影响入侵者,使得入侵者将技术、精力集中到Honey Pot而不是其它真正有价值的正常系统和资源中。Honey Pot技术还可以做到一旦入侵企图被检测到时,迅速地将其切换。
分布式蜜罐技术
分布式蜜罐技术将欺骗(Honey Pot)散布在网络的正常系统和资源中,利用闲置的服务端口来充当欺骗,从而增大了入侵者遭遇欺骗的可能性。它具有两个直接的效果,一是将欺骗分布到更广范围的IP地址和端口空间中,二是增大了欺骗在整个网络中的百分比,使得欺骗比安全弱点被入侵者扫描器发现的可能性增大。
尽管如此,分布式Honey Pot技术仍有局限性,这体现在三个方面:一是它对穷尽整个空间搜索的网络扫描无效;二是只提供了相对较低的欺骗质量;三是只相对使整个搜索空间的安全弱点减少。而且,这种技术的一个更为严重的缺陷是它只对远程扫描有效。如果入侵已经部分进入到网络系统中,处于观察(如
嗅探)而非主动扫描阶段时,真正的网络服务对入侵者已经透明,那么这种欺骗将失去作用。
蜜网技术
蜜罐技术是一个故意设计的存在缺陷的系统,可以用来对档案信息网络入侵者的行为进行诱骗,以保护档案信息的安全。蜜网技术是一个用来研究如何入侵系统的工具,是一个设计合理的实验网络系统。蜜网技术第一个组成部分是防火墙,它记录了所有与本地主机的联接并且提供 NAT 服务和DOS 保护、入侵侦测系统(IDS)。IDS 和防火墙有时会放置在同一个位置,用来记录网络上的流量且寻找攻击和入侵的线索。第二个组成部分是远程日志主机,所有的入侵指令能够被监控并且传送到通常设定成远程的系统日志。
空间欺骗技术
空间欺骗技术就是通过增加搜索空间来显著地增加档案系统网络入侵者的工作量,从而达到安全防护的目的。该技术运用的前提是计算机系统可以在一块网卡上实现具有众多 IP 地址,每个 IP地址都具有它们自己的 MAC 地址。这项技术可用于建立填充一大段地址空间的欺骗,且花费极低。当网络入侵者的扫描器访问到网络系统的外部路由器并探测到这一欺骗服务时,还可将扫描器所有的网络流量重定向到欺骗上,使得接下来的远程访问变成这个欺骗的继续。当然,采用这种欺骗时,网络流量和服务的切换必须严格保密,因为一旦暴露就将招致入侵,从而导致入侵者很容易将任一个已知有效的服务和这种用于测试网络入侵者的扫描探测及其响应的欺骗区分开来。
网络信息迷惑技术
网络动态配置和网络流量仿真。产生仿真流量的目的是使流量分析不能检测到欺骗的存在。在欺骗系统中产生仿真流量有两种方法。一种方法是采用实时方式或重现方式复制真正的网络流量,这使得欺骗系统与真实系统十分相似 ,因为所有的访问联接都被复制。第二种方法是从远程产生伪造流量,使网络入侵者可以发现和利用。面对网络入侵技术的不断提高,一种网络欺骗技术肯定不能做到总是成功,必须不断地提高欺骗质量,才能使网络入侵者难以将合法服务和欺骗服务进行区分。
主要形式
增强欺骗质量
面对
网络攻击技术的不断提高,一种网络欺骗技术肯定不能做到总是成功,必须不断地提高欺骗质量,才能使入侵者难以将合法服务和欺骗区分开来。
网络流量仿真、网络动态配置、多重
地址转换和组织信息欺骗是有效增强网络欺骗质量的几种主要方法,下面分别予以介绍。
网络流量仿真
产生仿真流量的目的是使流量分析不能检测到欺骗。在欺骗系统中产生仿真流量有两种方法。一种方法是采用实时方式或重现方式复制真正的网络流量,这使得欺骗系统与真实系统十分相似,因为所有的访问连接都被复制了。第二种方法是从远程产生伪造流量,使入侵者可以发现和利用。
网络动态配置
真实网络是随时间而改变的,如果欺骗是
静态的,那么在入侵者长期监视的情况下就会导致欺骗无效。因此,需要动态配置欺骗网络以模拟正常的网络行为,使欺骗网络也象真实网络那样随时间而改变。为使之有效,欺骗特性也应该能尽可能地反映出真实系统的特性。例如,如果办公室的计算机在下班之后关机,那么欺骗计算机也应该在同一时刻关机。其它的如假期、周末和特殊时刻也必须考虑,否则入侵者将很可能发现欺骗。
多重地址转换
(multiple address translation)
地址的多次转换能将欺骗网络和真实网络分离开来,这样就可利用真实的计算机替换低可信度的欺骗,增加了间接性和隐蔽性。其基本的概念就是重定向
代理服务(通过改写
代理服务器程序实现),由代理服务进行
地址转换,使相同的源和目的地址象真实系统那样被维护在欺骗系统中。从m.n.o.p进入到a.b.c.g接口的访问,将经过一系列的
地址转换——由a.f.c.g发送到10.n.o.p再到10.g.c.f,最后将数据包欺骗形式从m.n.o.p转换到真实机器上的a.b.c.g。并且还可将欺骗服务绑定在与提供真实服务
主机相同类型和配置的主机上,从而显著地提高欺骗的真实性。还可以尝试动态多重
地址转换。