刘松

摘 要：当前，计算机网络技术在校园中被普遍应用，校园网络安全日益受到人们的重视。对此，对基于蜜网技术的校园网络安全防御展开了研究，对蜜网技术进行了概述，并详细介绍了校园网络安全防御中蜜网技术的实现，旨在为有关方面提供帮助。

关键词：蜜网技术；校园网络；安全防御；数据控制

中图分类号：TP393.18 文献标识码：A DOI：10.15913/j.cnki.kjycx.2016.16.092

随着计算机网络技术的不断发展，计算机网络技术已经深入到社会的方方面面中，计算机网络安全也成为了社会广泛关注的问题，而校园网络安全问题更是人们关注的重点。在校园网络安全防御系统中，应用蜜网技术能够对已知和未知的新型入侵手段进行预警、有效地防护和主动预防，具有主动防御功能，能够有效地保证校园网络的安全。基于此，笔者对基于蜜网技术的校园网络安全防御进行介绍。

1 蜜网技术

蜜网（Honeynet）技术是由Honeynet项目组（The Honeynet Project）提出并倡导的一种对攻击行为进行捕获和分析的新技术，从本质上来讲，仍然是一种蜜罐技术。要成功地建立一个Honeynet，需要面临数据控制、数据捕获和数据分析3个问题。

数据控制代表一种规则，你必须能够确定你的信息包能够发送到什么地方。数据控制是对攻击者在Honeynet中对第三方发起的攻击行为进行限制的机制，用以降低部署Honeynet所带来的安全风险。数据捕获，即监控和记录攻击者在Honeynet内的所有行为，最大的挑战在于搜集尽可能多的数据，而又不被攻击者所察觉。数据分析则是对捕获到的攻击数据进行整理和融合，以辅助安全专家从中分析出这些数据背后蕴涵的攻击工具、方法、技术和动机。

2 蜜罐技术在网络安全防御中的实现

在本文的研究中，根据我院校园网络环境的实际要求，通过使用虚拟软件（VMWare）和物理计算机建立一个混合虚拟Honeynet，从而减少了物理计算机的需要。VMWare宿主主机（物理计算机）配置Honeywall网关和控制机，在主机中的虚拟机中配置2台基于Linux和Windows的蜜罐，并使用一台物理计算机部署为Windows的蜜罐。部署的虚拟Honeynet如图1所示。

2.1 数据控制的实现

数据控制的策略主要是对流经系统的数据进行控制。首先，让攻击者顺利进入并攻击系统是部署虚拟Honeynet的目的之一，因此对流入的虚拟Honeynet的数据不作任何限制；然而，为了降低虚拟Honeynet的风险，防止攻击者将虚拟Honeynet作为跳板攻击其他正常系统，应对虚拟Honeynet外出的连接作流量限制，并且还要分析数据包抑制攻击数据包的传播。

在部署的Honeynet中，数据控制的第一个策略是将所有流向192.168.x.0/24的数据都导向Honeywall宿主主机。虚拟Honeynet中的2个蜜罐对于攻击者是隐蔽的，攻击者在攻击时不知道哪个是真实的系统。在防火墙中，所有主机访问校园内网路由器中192.168.0.x/24字段的数据均通过eth0导向Honeywall宿主主机（192.168.216.5），通过设置Iptables模块完成数据流量导向，设置如下：

[root@hnroot]#Iptables-PINPUTDROP

[root@hnroot]#Iptables-PFORWARDDROP

[root@hnroot]#Iptables-POUTPUTACCEPT

[root@hnroot]#Iptables-AFORWARD-Ieth0-d192.168.0.2/24 -jACCEPT

数据控制的第二个策略是在部署的虚拟Honeynet中对流出的数据流量进行了限制，每分钟流出的TCP、UDP、ICMP和其他协议数据包不超过20个，同时，防火墙是否将包发给Snort-inline，Snort-inline对已知攻击包设置方式为Replace。如果流出数据流量超过20个/min或发现已知攻击时，系统将通过Swatch产生Email报警发送给宿主主机（管理机）。具体实现如图2数据控制机制所示。

2.2 数据捕获的实现

数据捕获是蜜网的一个重要目的。如果没有捕获到数据，那么蜜网只能是一堆浪费网络带宽、金钱的废铁而已。蜜网通过3个层次来捕获数据，即Honeywall的日志记录、Snort记录的网络流和Sebek捕获的系统活动。

把蜜墙、Snort及sebek上收集到的数据捕获，经过处理后放到数据库和pcap文件中，为后续的数据分析提供资料。

2.2.1 Honeywall的日志记录

Honeywall的日志可以轻松捕获经过Honeywall的数据，通过配置rc.honeywall脚本就可以实现，在Honeywall日志记录中的所有进入和外出的连接均被记录到/var/log/messages。这样可以从整体的角度来看系统干了些什么。

2.2.2 网络原始数据流

Snort进程捕获所有的网络活动和内部网络接口（eth1）的数据包的数据流量信息，包括所有用UDP包来发送的Sebek活动。当Snort运行在数据包记录器模式下时，它会把所有抓取的数据包按IP分类存放到log_directory中。可用-h指定本地网络，以使Snort记录与本地网络相关的数据包。命令如下：Snort-vde-llog_directory-h192.168.1.0/24.

2.2.3 Sebek捕获的系统活动

虽然蜜罐对于攻击者是不可见的，但是产生在蜜罐上的大量数据应被捕获，Sebek就是一个在数据加密情况下进行数据捕获的工具。Sebek有2个组成部分，即客户端和服务端。客户端安装在虚拟Honeynet的蜜罐上，蜜罐里攻击者行为被捕获后发送到网络（对攻击者是不可见的），并且由Honeywall网关被动地收集。

在本次研究中，在Honeywall网关上自动配置了Sebek的服务端，在蜜罐192.168.0.4、蜜罐192.168.0.5和蜜罐192.168.0.6中配置了Sebek客户端。

2.3 数据分析的实现

当数据捕获后，如果不对其进行分析，则捕获的数据没有任何意义。在本文部署的Honeynet中，采用自动报警机制与辅助分析机制2种机制。Swatch工具为蜜网中的Snort日志文件与IPTables提供了视功能，同时在被攻击时能够发出自动报警。在蜜网中，主机被攻击者攻陷，然后它会向外部发起连接，Swatch工具根据指定特征的配置文件进行匹配并自动向安全管理人员发出报警邮件。

2.4 对Honeypot的渗透攻击

工作人员常用Metasploit来检测系统的安全性。在linux平台上，版本比较旧的samba服务的smbd守护进程由于对外部输入缺少正确的边界缓冲区检查，远程攻击者可以利用这个漏洞以root用户权限在系统上执行任意指令。本系统利用这个漏洞来渗透攻击。安全漏洞检测工具选择开源免费的Metasploit。渗透攻击步骤为：①在宿主主机上安装Metasploit。②Metasploit渗透攻击测试。将宿主主机的防火墙打开，使其能够接收4444端口的连入。在Honeypot上开放samba服务，然后运行MSFConsole，输入渗透攻击命令，获得反向shell。③对攻击数据进行分析，验证蜜网数据捕获和分析功能。

漏洞渗透攻击成功，我们通过Walleye分析工具来查看蜜网网关捕获的数据和分析结果，发现数据记录。

我们再看一下对攻击数据包的解码结果，可以看到有很长一段数据是重复的“A”或“0”。这是典型的缓冲区溢出的包的特征，可以判断这是一次缓冲区溢出的攻击。

攻击结果是得到了一个反向的Shell。在这里，输入ls和cd命令仅作为测试，可以看到有相应的结果输出。

本文详细介绍了蜜罐技术三大核心机制（数据控制、数据捕获和数据分析）的实现，通过在校园内网中的实际攻击测试，验证了所部署的蜜网对这些攻击测试数据的捕获和分析能力。结果证明，本次部署的各功能均达到了预期效果。只要进行简单设置调整，就可以广泛应用于实际互联网中，从而降低网络被攻击的概率。

3 结束语

综上所述，蜜网技术在校园网络安全防御系统中的应用能够检测出一些已知和未知的入侵，并采取主动防御措施对这些入侵进行有效的阻止和抑制，从而有效地保证校园网络的安全，提高网络安全防御系统的防御功能。因此，蜜网技术值得在类似的网络安全防御系统中推广应用。

参考文献

[1]赵宏，王灵霞.基于蜜罐技术的校园网络安全防御系统设计与实现[J].自动化与仪器仪表，2015（03）.

[2]薛飞.蜜网设计及其在校园网应用研究[J].科教文汇（中旬刊），2015（12）.

〔编辑：刘晓芳〕