引誘黑客的方法其實再簡單不過,就好像我們捕捉動物。當一個黑客入侵者開始搜索網絡的時候,他會驚訝地發現一個非常易於攻擊的數據服務器。但在他准備進入這個服務器系統的時候,網絡管理員正好也在跟蹤他的行蹤,就好像“螳螂捕蟬,黃雀在後”。這個入侵者就是被“誘餌”服務器所引誘,這些“誘餌”服務器正是為了發現這些入侵者而專門設計的。
“誘餌”服務器的特點
由於數據服務器的數據量很大,因此一般要從大量的數據當中分離出惡意攻擊是比較困難的。因此,我們有必要設計這些專門引誘黑客的“誘餌”服務器,以保證數據服務器正常工作。
“誘餌”服務器的主要目的是模仿數據服務器,同時對於黑客行為進行報警和記錄。通過下面列舉的特點,我們就不難得出“誘餌”服務器是如何完成這項功能的。
a.“誘餌”服務器模仿真正的數據服務器,並有其正常工作的一面;
b.“誘餌”服務器提供一些網絡資源和用戶賬號,引起黑客的注意;
c.“誘餌”服務器表現它脆弱的一面,引誘黑客對它展開惡意的攻擊;
d.“誘餌”服務器有著非常強大並且完全的入侵報警和記錄機制。
如何打造“誘餌”
1. 端口重定向
利用能夠重定向的路由器或者防火牆,將數據服務器上的一些服務重新映射至“誘餌”服務器上,例如,將端口為80的Web服務保留,但將端口為25的SMTP服務和端口為23的Telnet服務映射至“誘餌”服務器。此時,一旦對於SMTP和Telnet發生入侵的行為,系統便能夠報警和記錄。
但同時,我們仍需要監視Web服務,因為對它的數據訪問並不是在“誘餌”服務器上記錄的,所以在Web服務上仍需要安裝相應的入侵監視系統。由於重定向的服務沒有入侵監視系統,所以黑客更容易去訪問這些服務。
2. 構建“誘餌”服務器
另一種方法是將“誘餌”服務器放置於數據服務器的中間,例如,數據服務器的地址為2、3、5,而“誘餌”服務器的地址為4,也可以利用給IP起別名的方法,給“誘餌”服務器更多的IP地址。
當黑客在整個網絡中尋找最容易擊破的計算機時,很顯然進入到“誘餌”服務器中。但如果黑客避開了“誘餌”服務器,而直接攻擊數據服務器,這種方法就變得無效了。“誘餌”服務器最核心的策略是:到達“誘餌”服務器的數據都是可疑的。一旦黑客進入了服務器,他的一舉一動都會被記錄下來。
當然,這兩種方法都存在著失敗的可能性,這主要取決於“誘餌”服務器是否能夠被黑客所發現,“誘餌”服務器的脆弱性必須被黑客所了解,同時“誘餌”服務器在功能上與數據服務器也要盡可能的相像。
盡管如此,由於“誘餌”服務器的數據量遠小於數據服務器,因此使用“誘餌”服務器將管理員們從分析大量日志的工作中解脫出來,並且大大地提高了分析的准確性。
確定誘餌還要注意
是否安裝“誘餌”服務器還取決於下面的問題:
1. 你是否有足夠的資源
2. 你是否能夠一直監視系統的日志;
3. 你是否打算起訴入侵者
4. 你是否具有應急處理突發事件的能力。
如果你並不具備上述的條件,建議你不要安裝“誘餌”服務器,推薦你使用更好、更穩定的服務器系統,以減少資金、設備、資源的占用率。
有很多人也反對使用“誘餌”服務器,因為它使用一些假數據來引誘入侵者,而如果這些數據一旦給了合法的用戶,造成的損失將是不可估量的。由於“誘餌”服務器同時存在負面影響,所以用戶在安裝使用前,應權衡一下其利弊。
現有誘餌軟件
Windows 操作系統:Infinitum的BackOfficer Friendly, Network Associates的CyberCop Sting和Specter。
Unix操作系統:Fred Cohen & Associates 的Deception ToolKit (DTK)。
Solaris操作系統:Recourse Technologies的ManTrap 和GTE Technology的 NetFacade。
