文章插图
网路欺骗【网路欺骗】网路欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点,并具有一些可攻击窃取的资源(当然这些资源是伪造的或不重要的),并将入侵者引向这些错误的资源 。它能够显着地增加入侵者的工作量、入侵複杂度以及不确定性,从而使入侵者不知道其进攻是否奏效或成功 。而且,它允许防护者跟蹤入侵者的行为,在入侵者之前修补系统可能存在的安全漏洞 。
基本介绍中文名:网路欺骗
外文名:Network cheating
含义 :侵者相信信息系统存在有价值的
目的:可利用的安全弱点
要求:具有一些可攻击窃取的资源
简介当今世界,计算机网路遍布世界每个角落,深入各个领域,它正在对我们的生活方式和工作方式产生着前所未有的影响,如同交通工具和水利、电力一样日益成为人们生活中不可缺少的组成部分,同时网路的多元化,複杂化,人们对网路知识的了解也越来越深入,网路上的攻击行为变得越来越多,已经严重威胁到网路信息安全,网路欺骗已经越来越多的引起了人们的注意与警惕 。网路欺骗就是使攻击者可以相信网路信息系统存在有价值的、可利用的安全弱点,并具有一些可攻击窃取的资源,通过隐藏,伪造信息或安插错误信息,从而将攻击者引向这些错误的资源,它能够显着地增加攻击者的工作量,複杂度以及不确定性,从而使攻击者不知道其攻击是否奏效或成功 。主要技术蜜罐技术网路欺骗一般通过隐藏和安插错误信息等技术手段实现,前者包括隐藏服务、多路径和维护安全状态信息机密性,后者包括重定向路由、伪造假信息和设定圈套等等 。综合这些技术方法,最早採用的网路欺骗是Honey Pot技术,它将少量的有吸引力的目标(我们称之为Honey Pot)放置在入侵者很容易发现的地方,以诱使入侵者上当 。这种技术的目标是寻找一种有效的方法来影响入侵者,使得入侵者将技术、精力集中到Honey Pot而不是其它真正有价值的正常系统和资源中 。Honey Pot技术还可以做到一旦入侵企图被检测到时,迅速地将其切换 。分散式蜜罐技术分散式蜜罐技术将欺骗(Honey Pot)散布在网路的正常系统和资源中,利用闲置的服务连线埠来充当欺骗,从而增大了入侵者遭遇欺骗的可能性 。它具有两个直接的效果,一是将欺骗分布到更广範围的IP位址和连线埠空间中,二是增大了欺骗在整个网路中的百分比,使得欺骗比安全弱点被入侵者扫描器发现的可能性增大 。儘管如此,分散式Honey Pot技术仍有局限性,这体现在三个方面:一是它对穷尽整个空间搜寻的网路扫描无效;二是只提供了相对较低的欺骗质量;三是只相对使整个搜寻空间的安全弱点减少 。而且,这种技术的一个更为严重的缺陷是它只对远程扫描有效 。如果入侵已经部分进入到网路系统中,处于观察(如嗅探)而非主动扫描阶段时,真正的网路服务对入侵者已经透明,那幺这种欺骗将失去作用 。蜜网技术蜜罐技术是一个故意设计的存在缺陷的系统,可以用来对档案信息网路入侵者的行为进行诱骗,以保护档案信息的安全 。蜜网技术是一个用来研究如何入侵系统的工具,是一个设计合理的实验网路系统 。蜜网技术第一个组成部分是防火墙,它记录了所有与本地主机的联接并且提供 NAT 服务和DOS 保护、入侵侦测系统(IDS) 。IDS 和防火墙有时会放置在同一个位置,用来记录网路上的流量且寻找攻击和入侵的线索 。第二个组成部分是远程日誌主机,所有的入侵指令能够被监控并且传送到通常设定成远程的系统日誌 。空间欺骗技术空间欺骗技术就是通过增加搜寻空间来显着地增加档案系统网路入侵者的工作量,从而达到安全防护的目的 。该技术运用的前提是计算机系统可以在一块网卡上实现具有众多 IP 地址,每个 IP位址都具有它们自己的 MAC 地址 。这项技术可用于建立填充一大段地址空间的欺骗,且花费极低 。当网路入侵者的扫描器访问到网路系统的外部路由器并探测到这一欺骗服务时,还可将扫描器所有的网路流量重定向到欺骗上,使得接下来的远程访问变成这个欺骗的继续 。当然,採用这种欺骗时,网路流量和服务的切换必须严格保密,因为一旦暴露就将招致入侵,从而导致入侵者很容易将任一个已知有效的服务和这种用于测试网路入侵者的扫描探测及其回响的欺骗区分开来 。网路信息迷惑技术网路动态配置和网路流量仿真 。产生仿真流量的目的是使流量分析不能检测到欺骗的存在 。在欺骗系统中产生仿真流量有两种方法 。一种方法是採用实时方式或重现方式複製真正的网路流量,这使得欺骗系统与真实系统十分相似 ,因为所有的访问联接都被複製 。第二种方法是从远程产生伪造流量,使网路入侵者可以发现和利用 。面对网路入侵技术的不断提高,一种网路欺骗技术肯定不能做到总是成功,必须不断地提高欺骗质量,才能使网路入侵者难以将合法服务和欺骗服务进行区分 。主要形式增强欺骗质量面对网路攻击技术的不断提高,一种网路欺骗技术肯定不能做到总是成功,必须不断地提高欺骗质量,才能使入侵者难以将合法服务和欺骗区分开来 。网路流量仿真、网路动态配置、多重地址转换和组织信息欺骗是有效增强网路欺骗质量的几种主要方法,下面分别予以介绍 。网路流量仿真产生仿真流量的目的是使流量分析不能检测到欺骗 。在欺骗系统中产生仿真流量有两种方法 。一种方法是採用实时方式或重现方式複製真正的网路流量,这使得欺骗系统与真实系统十分相似,因为所有的访问连线都被複製了 。第二种方法是从远程产生伪造流量,使入侵者可以发现和利用 。网路动态配置真实网路是随时间而改变的,如果欺骗是静态的,那幺在入侵者长期监视的情况下就会导致欺骗无效 。因此,需要动态配置欺骗网路以模拟正常的网路行为,使欺骗网路也象真实网路那样随时间而改变 。为使之有效,欺骗特性也应该能儘可能地反映出真实系统的特性 。例如,如果办公室的计算机在下班之后关机,那幺欺骗计算机也应该在同一时刻关机 。其它的如假期、周末和特殊时刻也必须考虑,否则入侵者将很可能发现欺骗 。多重地址转换(multiple address translation)地址的多次转换能将欺骗网路和真实网路分离开来,这样就可利用真实的计算机替换低可信度的欺骗,增加了间接性和隐蔽性 。其基本的概念就是重定向代理服务(通过改写代理伺服器程式实现),由代理服务进行地址转换,使相同的源和目的地址象真实系统那样被维护在欺骗系统中 。右图中,从m.n.o.p进入到a.b.c.g接口的访问,将经过一系列的地址转换——由a.f.c.g传送到10.n.o.p再到10.g.c.f,最后将数据包欺骗形式从m.n.o.p转换到真实机器上的a.b.c.g 。并且还可将欺骗服务绑定在与提供真实服务主机相同类型和配置的主机上,从而显着地提高欺骗的真实性 。还可以尝试动态多重地址转换 。