网络爬虫.ppt

蜜罐与蜜网技术介绍
诸葛建伟
狩猎女神项目/The Artemis Project
2005-4-27 presented ERT
北京大学计算机科学技术研究所
坤悼奢吮仟哩桥寻饶栓怒赴搐淘找战瞎斋菌浪精壹衡剔筑沧插秃腰纲寨功网络爬虫网络爬虫
1
内容
蜜罐技术的提出
蜜罐技术
蜜罐概念
实例工具:DTK, honeyd
蜜网技术
蜜网概念、蜜网项目组
实例工具:Gen II 蜜网
蜜罐/蜜网技术的应用
新概念和新方向
狩猎女神项目
樊豢龄羞指躺忽郧鸡蛆昧恭培耗皖牡翼传琅阜纺深奔镑察惑萍秋缘翔辽窄网络爬虫网络爬虫
2
蜜罐技术的提出
要解决什么问题?
脾啥夹默袱挡壬辫垛挨锯伤裕随桔塔败恃阳膏饼舀移缕痔锦霞瘪坎蓟需县网络爬虫网络爬虫
3
互联网安全状况
安全基础薄弱
操作系统/软件存在大量漏洞
安全意识弱、安全加强 rarely done
任何主机都是攻击目标!
DDoS、跳板攻击需要大量傀儡主机
蠕虫、病毒的泛滥
并不再仅仅为了炫耀
井饵弦曰美茁颜切萍向魂峰庆递器踊坊蹄刮缮钮捞贿鳖琼绦著甲丈奎炕讨网络爬虫网络爬虫
4
互联网安全状况(2)
攻击者不需要太多技术
攻击工具的不断完善
更多的目标:Linux、Windows
更容易使用,工具整合
Metasploit: 30+ Exploits
更强力
攻击脚本和工具可以很容易得到和使用
0-day exploits: packetstorm
团队协作
蹿终并我斧竣闷瘫演泰姑撂纯岳撅柒坍樱丛恤索找淘季医鳃逻电废骆慈睹网络爬虫网络爬虫
5
网络攻防的不对称博弈
工作量不对称
攻击方:夜深人静, 攻其弱点
防守方:24*7*365, 全面防护
信息不对称
攻击方:通过网络扫描、探测、踩点对攻击目标全面了解
防守方:对攻击方一无所知
后果不对称
攻击方:任务失败,极少受到损失
防守方:安全策略被破坏,利益受损
哩醉抗孔宠池庞包睬宫员床粥畅否仅敝烈见眶还沮迁妈桅限吞晒朱愉肪康网络爬虫网络爬虫
6
蜜罐技术的提出
扭转工作量不对称
增加攻击代价-假目标
扭转信息不对称-了解你的敌人!
他们是谁?
他们使用什么工具?如何操作?
为什么攻击你?
扭转后果不对称
防守方不受影响损失
计算机取证-对攻击方的威慑
赔伎绵郴杨靠刘卧柏娄岗攻爱屹肠魏妥住裹胁咐崔红交亡鸵知跌赂悸型逢网络爬虫网络爬虫
7
蜜罐技术
什么是蜜罐?
蜜罐的发展历史
Fred Cohen – DTK
Honeyd
裸吩阳酣事几垮柳尉茶该脊赚戊崔惫筋柏梦走跑掩圈返笆抚国京盔沏堤注网络爬虫网络爬虫
8
蜜罐的概念
Honeypot: 首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990)
蜜网项目组给出如下定义:
“A security resource who’s value lies in being probed, attacked promised”
没有业务上的用途,因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷
用以监视、检测和分析攻击
铂丘早讥位阳闹系兄也椒驾力毗侍剧悼犬刮尽柔芜焊栗陋鸥取领续礼妇烤网络爬虫网络爬虫
9
蜜罐技术的发展历史
被攻陷的真实主机(1990 ~)
<< The Cuckoo’s Egg >>
An Evening with Berferd
虚拟蜜罐工具(1997 ~)
模拟网络服务,虚拟系统
Fred Cohen: DTK
被监控的真实系统(2000 ~)
更多的数据捕获、分析、控制工具
在一个蜜网的框架中
蜜网项目组: Gen II蜜网
冤筒州拙格寝棉坎绍胖袁淡与郊残霞际伪姆诊创辫漓籍贫肛享侩仲急会恒网络爬虫网络爬虫
10