導語：虛擬蜜罐Honey的分析和研究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：該文介紹一個新的主動型的網絡安全系統－蜜罐。首先給出了蜜罐的定義和分類，然后詳細描述了一個網絡層次上的模擬計算機系統的虛擬蜜罐框架honeyd，討論了Honeyd的原理、結構、特點、設計和實現，并對它的功能作了全面的測試評估。關鍵字：蜜罐，交互性，個性，路由拓撲，模板1蜜罐（Honeypot）的介紹今天網絡安全問題正日益嚴重。黑客利用自動化的大規模的漏洞掃描工具，可以在發現漏洞后不久就使全球的計算機系統遭受破壞。可是經過數十年的研究和探索，我們仍然不能確保計算機系統的安全，甚至無法準確評估它們的安全性。現在我們介紹一種新的網絡安全預警系統：蜜罐（Honeypot）。蜜罐是指受到嚴密監控的網絡誘騙系統，它可以迷惑敵人，將攻擊從網絡中比較重要的機器上轉移開，對新攻擊發出預警，更重要的是可以引誘黑客攻擊而并對其攻擊的行為和過程進行深入的分析研究。將蜜罐和入侵檢測系統、防火墻等結合使用，可以有效提高系統安全性。Honeypot分為兩種類型：一種是低交互性蜜罐（Low-InteractionHoneypot），另一種是高交互性蜜罐（High-InteractionHoneypot）。低交互性蜜罐通常是運行于現有操作系統上的仿真服務，只允許少量的交互動作,黑客只能在仿真服務預設的范圍內動作，它的優點是結構簡單，部署容易，風險很低。高交互性蜜罐通常由真實的操作系統來構建，提供給黑客的是真實的系統和服務。采用這種方式可以獲得大量的有用信息，包括我們完全不了解的新的網絡攻擊方式。同時，它也帶來了更多的風險--黑客可能通過這個完全開放的真實系統去攻擊和滲透網絡中的其他機器。配置高交互性的物理的蜜罐成本很高，因為每個蜜罐是具有自已IP地址的真實機器，要有它自已的操作系統和相應硬件。而虛擬蜜罐是由一臺機器去模擬構造一個擁有的多個虛擬主機和虛擬服務的網絡。相對而言，虛擬蜜罐需要較少的計算機資源和維護費用。本文描述的Honeyd，就是一個在網絡層次上模擬計算機系統的虛擬蜜罐框架。2Honeyd的設計和實施Honeyd是一個輕型的開放源代碼的虛擬蜜罐的框架，可以模擬多個操作系統和網絡服務，支持IP協議族，創建任意拓撲結構的虛擬網絡。同時，為了模擬拓撲分散的網絡地址空間和共享負荷，該結構也支持網絡通道。圖1Honeyd的數據接收圖2Honeyd的結構2.1網絡數據的接收要使Honeyd可以對目的IP地址屬于虛擬蜜罐之一的網絡數據包正常的接受和回應，有如下方法：對指向Honeyd主機的虛擬IP地址創建特定路由、使用ARP及使用網絡通道。如圖1所示，假設10.0.0.1為我們路由器的IP地址，10.0.0.2為Honeyd主機的IP地址。10.0.0.11-14是Honeyd虛擬的蜜罐的IP地址。最簡單的情況是虛擬蜜罐的IP位于我們局域網內。當從互聯網向蜜罐WindowsNT4.0發送一個包時，路由器首先查詢它的路由表由找到10.0.0.13的轉送地址，如果沒有配置專用的路由，路由器通過ARP請求確定虛擬蜜罐的MAC地址，因為沒有相應的物理機器ARP請求會不被響應，因此我們配置Honeyd主機用自己的MAC地址的對10.0.0.13的ARP請求做出反應，這樣通過ARP路由器就把發送蜜罐WindowsNT4.0的包轉到Honeyd主機的MAC地址。在復雜的情況下，我們也可以應用通用路由封裝（GRE）通道協議在網絡地址空間和hondyd主機間建立通道。2.2Honeyd結構Honeyd結構由幾部分構成：一個配置數據庫，一個中央包分配器，協議處理器，個性化引擎和隨機的路由組件，見圖2。Honeyd支持三種主要的互聯網協議：ICMP，TCP和UDP。輸入的包由中央包分配器處理，它首先檢測IP包的長度并驗證校驗，然后查詢配置數據庫找到與目的IP地址相對應的蜜罐配置，如果不存在專用的配置，則應用缺省模板。確定了配置后，數據包被傳送給相應的協議處理器。ICMP協議處理器支持大多數ICMP請求。缺省時，對ECHO請求做出反應并給出目的地址不可達的信息。對TCP和UDP來說，該結構能為任意的服務建立連接，服務是在STDIN上接受數據并把輸出發送到STDOUT的外部應用。Honeyd包含一個簡化的TCP狀態機，完全支持三次握手（Three-wayHandshake）的建立連接和通過FIN或RST撤消連接，但是接受器和擁塞窗口管理沒有完全實現。UDP數據報直接傳到應用，當收到一個發往封閉端口的UDP包的時候，默認發出一個ICMP端口不可達的信息。Honeyd結構也支持連接的重定向，重定向可以是靜態的或依賴于連接四元組（源地址，源端口，目的地址，目的端口）。重定向允許我們把虛擬蜜罐上的一個服務連接請求轉遞給一個在真正的服務器上運行的服務，例如，我們可以把DNS請求重指向一個域名服務器甚至可以把連接反傳給敵人。2.3個性化引擎（PersonalityEngine）黑客通常會運用象Xprobe或Nmap的指紋識別工具來收集目標系統的信息，為了迷惑敵人，Honeyd可以模擬給定操作系統的網絡堆棧行為，我們把這稱為虛擬蜜罐的個性(Personality)。個性化引擎使蜜罐的網絡堆棧按照個性設置來改變每個外出包的協議頭，以便與被配置的操作系統的特征相符。Honeyd結構應用Nmap指紋庫作為個性的TCP和UCP行為的參照，用Xprobe的指紋據庫作為個性的ICMP行為的參照。下面介紹怎樣應用Nmap提供的指紋信息來改變蜜罐的網絡堆棧特性。FingerprintWindowsNT4.0SP6ahotfixesTSeq(Class=RI%gcd=<6%SI=<40132&>290%IPID=BI|RPI%TS=U)T1(DF=Y%W=2017琄=S%Flags=AS%Ops=M)T2(Resp=Y