網路欺騙就是使入侵者相信信息系統存在有價值的、可利用的安全弱點,並具有一些可攻擊竊取的資源(當然這些資源是偽造的或不重要的),並將入侵者引向這些錯誤的資源。它能夠顯著地增加入侵者的工作量、入侵複雜度以及不確定性,從而使入侵者不知道其進攻是否奏效或成功。而且,它允許防護者跟蹤入侵者的行為,在入侵者之前修補系統可能存在的安全漏洞。
基本介紹
- 中文名:網路欺騙
- 外文名:Network cheating
- 含義 :侵者相信信息系統存在有價值的
- 目的:可利用的安全弱點
- 要求:具有一些可攻擊竊取的資源
簡介,主要技術,蜜罐技術,分散式蜜罐技術,蜜網技術,空間欺騙技術,網路信息迷惑技術,主要形式,增強欺騙質量,網路流量仿真,網路動態配置,多重地址轉換,
簡介
當今世界,計算機網路遍布世界每個角落,深入各個領域,它正在對我們的生活方式和工作方式產生著前所未有的影響,如同交通工具和水利、電力一樣日益成為人們生活中不可缺少的組成部分,同時網路的多元化,複雜化,人們對網路知識的了解也越來越深入,網路上的攻擊行為變得越來越多,已經嚴重威脅到網路信息安全,網路欺騙已經越來越多的引起了人們的注意與警惕。
網路欺騙就是使攻擊者可以相信網路信息系統存在有價值的、可利用的安全弱點,並具有一些可攻擊竊取的資源,通過隱藏,偽造信息或安插錯誤信息,從而將攻擊者引向這些錯誤的資源,它能夠顯著地增加攻擊者的工作量,複雜度以及不確定性,從而使攻擊者不知道其攻擊是否奏效或成功。
主要技術
蜜罐技術
網路欺騙一般通過隱藏和安插錯誤信息等技術手段實現,前者包括隱藏服務、多路徑和維護安全狀態信息機密性,後者包括重定向路由、偽造假信息和設定圈套等等。綜合這些技術方法,最早採用的網路欺騙是Honey Pot技術,它將少量的有吸引力的目標(我們稱之為Honey Pot)放置在入侵者很容易發現的地方,以誘使入侵者上當。
這種技術的目標是尋找一種有效的方法來影響入侵者,使得入侵者將技術、精力集中到Honey Pot而不是其它真正有價值的正常系統和資源中。Honey Pot技術還可以做到一旦入侵企圖被檢測到時,迅速地將其切換。
分散式蜜罐技術
分散式蜜罐技術將欺騙(Honey Pot)散布在網路的正常系統和資源中,利用閒置的服務連線埠來充當欺騙,從而增大了入侵者遭遇欺騙的可能性。它具有兩個直接的效果,一是將欺騙分布到更廣範圍的IP位址和連線埠空間中,二是增大了欺騙在整個網路中的百分比,使得欺騙比安全弱點被入侵者掃描器發現的可能性增大。
儘管如此,分散式Honey Pot技術仍有局限性,這體現在三個方面:一是它對窮盡整個空間搜尋的網路掃描無效;二是只提供了相對較低的欺騙質量;三是只相對使整個搜尋空間的安全弱點減少。而且,這種技術的一個更為嚴重的缺陷是它只對遠程掃描有效。如果入侵已經部分進入到網路系統中,處於觀察(如嗅探)而非主動掃描階段時,真正的網路服務對入侵者已經透明,那么這種欺騙將失去作用。
蜜網技術
蜜罐技術是一個故意設計的存在缺陷的系統,可以用來對檔案信息網路入侵者的行為進行誘騙,以保護檔案信息的安全。蜜網技術是一個用來研究如何入侵系統的工具,是一個設計合理的實驗網路系統。蜜網技術第一個組成部分是防火牆,它記錄了所有與本地主機的聯接並且提供 NAT 服務和DOS 保護、入侵偵測系統(IDS)。IDS 和防火牆有時會放置在同一個位置,用來記錄網路上的流量且尋找攻擊和入侵的線索。第二個組成部分是遠程日誌主機,所有的入侵指令能夠被監控並且傳送到通常設定成遠程的系統日誌。
空間欺騙技術
空間欺騙技術就是通過增加搜尋空間來顯著地增加檔案系統網路入侵者的工作量,從而達到安全防護的目的。該技術運用的前提是計算機系統可以在一塊網卡上實現具有眾多 IP 地址,每個 IP位址都具有它們自己的 MAC 地址。這項技術可用於建立填充一大段地址空間的欺騙,且花費極低。當網路入侵者的掃描器訪問到網路系統的外部路由器並探測到這一欺騙服務時,還可將掃描器所有的網路流量重定向到欺騙上,使得接下來的遠程訪問變成這個欺騙的繼續。當然,採用這種欺騙時,網路流量和服務的切換必須嚴格保密,因為一旦暴露就將招致入侵,從而導致入侵者很容易將任一個已知有效的服務和這種用於測試網路入侵者的掃描探測及其回響的欺騙區分開來。
網路信息迷惑技術
網路動態配置和網路流量仿真。產生仿真流量的目的是使流量分析不能檢測到欺騙的存在。在欺騙系統中產生仿真流量有兩種方法。一種方法是採用實時方式或重現方式複製真正的網路流量,這使得欺騙系統與真實系統十分相似 ,因為所有的訪問聯接都被複製。第二種方法是從遠程產生偽造流量,使網路入侵者可以發現和利用。面對網路入侵技術的不斷提高,一種網路欺騙技術肯定不能做到總是成功,必須不斷地提高欺騙質量,才能使網路入侵者難以將合法服務和欺騙服務進行區分。
主要形式
增強欺騙質量
面對網路攻擊技術的不斷提高,一種網路欺騙技術肯定不能做到總是成功,必須不斷地提高欺騙質量,才能使入侵者難以將合法服務和欺騙區分開來。
網路流量仿真
產生仿真流量的目的是使流量分析不能檢測到欺騙。在欺騙系統中產生仿真流量有兩種方法。一種方法是採用實時方式或重現方式複製真正的網路流量,這使得欺騙系統與真實系統十分相似,因為所有的訪問連線都被複製了。第二種方法是從遠程產生偽造流量,使入侵者可以發現和利用。
網路動態配置
真實網路是隨時間而改變的,如果欺騙是靜態的,那么在入侵者長期監視的情況下就會導致欺騙無效。因此,需要動態配置欺騙網路以模擬正常的網路行為,使欺騙網路也象真實網路那樣隨時間而改變。為使之有效,欺騙特性也應該能儘可能地反映出真實系統的特性。例如,如果辦公室的計算機在下班之後關機,那么欺騙計算機也應該在同一時刻關機。其它的如假期、周末和特殊時刻也必須考慮,否則入侵者將很可能發現欺騙。
多重地址轉換
(multiple address translation)
