黄旭鹏

摘要：Honeyd是一个小巧的用于在网络上创建虚拟主机的后台程序。通过精心配置，将Honeyd引入到网络安全防御体系中，可在無需增加安全设备的情况下利用虚拟技术快速搭建网络入侵防御平台，对各类网络攻击行为进行监控，还可起到迷惑及拖延网络入侵的作用，弥补传统安全产品的不足。

关键词： Honeyd；虚拟蜜罐；蜜罐；主动防御；网络安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）01-0078-03

Abstract： Honeyd is a small daemon that creates virtual hosts on a network. By carefully configuring， Honeyd is introduced into the network security defense system， The network intrusion prevention platform can be quickly built without increasing the security equipment， it can monitor all kinds of network attack， and can also confuse and delay the network intrusion， which makes up for the shortage of traditional safety products.

Key word： Honeyd； virtual honeypot； honeypot； active defense； network security

1 蜜罐技术简介

1.1 蜜罐的定义

蜜罐是一种在互联网上运行的计算机系统，是网络管理员经过精心设计而部署下的诱捕网络攻击者的一个陷阱。“蜜网项目组”创始人Lance Spitzner将蜜罐定义为：“蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷”。

蜜罐系统是安全人员利用蜜罐技术模拟一个或多个存在漏洞的仿真主机及开放相应端口，故意暴露在攻击者的视野下，是专门为吸引并诱骗非法入侵者而设计的。蜜罐并没有向外界提供真正有价值的服务，正常用户不会与蜜罐产生数据流，因此所有与蜜罐系统发生的交互行为都被当做疑似入侵的可疑行为。

蜜罐还有迷惑及拖延网络攻击者对真正目标实施攻击的用途，将蜜罐部署在真实网络环境中，混淆网络攻击者对网络目标的识别和攻击，以此来消耗攻击者的时间。

1.2 蜜罐的价值

1.2.1 蜜罐的优势

蜜罐的核心价值在于监测、监控和分析攻击活动，作为新型的主动防御技术，在网络安全应用中有其优势：

1） 数据低污染，监测准确率高。蜜罐自身不对外提供任何实质性的系统服务，它只针对试图进行非法攻击的行为产生记录，是一个低数据污染的系统，安全监测的准确率高且漏报率小。

2） 部署成本较低，易于实现。蜜罐系统部署简单，配置灵活，搭建真实蜜罐环境或使用虚拟蜜罐环境在部署和实现上都相对简单且易于管理和维护，所耗资源极少。

3） 使用简单，适用性强。蜜罐系统对攻击行为的监测不会局限于某种特定的攻击技术或攻击行为，具有较好的适应能力，不需要维护特征数据库，也无需通过复杂算法来实现，能捕获新的攻击技术和方法供安全人员进行分析。

1.2.2 蜜罐的缺陷

蜜罐作为整个安全防御体系的一部分，也有其自身一些缺陷：

1） 模拟的局限性。蜜罐设计或模拟出存在漏洞的系统，与真实系统相比还是存在差别，技术较高的攻击者利用反蜜罐技术能识别出蜜罐的存在。

2） 数据收集范围有限。蜜罐仅记录与蜜罐系统产生交互的数据流，一旦攻击者发现并绕过蜜罐对其他网络设备实施攻击，蜜罐也将无法发捕捉到攻击者的信息。

3） 面临一定风险。为尽可能多地收集入侵者的信息，包括攻击所用的工具、实施攻击的思路和方法等，安全管理人员主动将蜜罐暴露在网络中，提供一些虚拟的服务以诱导入侵者对其进行攻击。但如果蜜罐被识破，安装蜜罐系统的主机系统存在被入侵者攻陷的风险，有可能成为攻击者对蜜罐主机所在网络实施攻击的跳板。

1.3 虚拟蜜罐技术

蜜罐按其实现方式可分成物理蜜罐与虚拟蜜罐，两者本质上是一致的。相比较而言，物理蜜罐的部署需要投入大量的硬件设备且每台设备都需要单独进行配置。而虚拟蜜罐则可通过虚拟化技术在一台硬件设备上实现多个蜜罐的部署。

1.3.1 Honeyd蜜罐简介

Honeyd[1]是一个虚拟蜜罐构建框架工具，可根据安全需要来配置及构建虚拟蜜罐主机和由虚拟蜜罐主机虚拟出来的复杂诱骗网络。它是具有低交互性、保护性的虚拟蜜罐系统框架，是一个小巧的用于创建虚拟的网络上的主机的后台程序，能让一台物理主机在一个模拟的局域网环境中配有多个地址（最多可以达到65536个），还可以依照一个简单的配置文件虚拟出真实主机上任何类型的服务。网络上其他主机可以对虚拟的主机进行ping、traceroute等网络操作。

2 Honeyd工作原理

Honeyd 主要系统部件包括[2]：中央包分配器、协议处理器、系统配置数据库、日志数据库和路由部件，如图1所示：

从图1的体系机构可以得知honeyd的大致工作流程为：由中央包分发器接受所有感兴趣的网络流量，根据事先设计好的配置，创建不同的服务进程来处理流量，作为交互响应发往网络的数据包被个性引擎进行修改，根据不同类型的操作系统特征伪装成真实操作系统。三个重要特征决定了的整体行为：对方只能从网络中与交互；给定配置的数量，可以模拟等量的虚拟主机；通过改变每个输出数据包与配置的操作系统特征相匹配，从而可以欺骗指纹识别工具[3]。endprint

3 Honeyd测试平台搭建

3.1 实验软硬件平台

1） 硬件平台：Honeyd对硬件要求不高，能流畅地运行VMware虚拟机即可，实验所用计算机硬件配置如表1所示。

2） 软件平台：宿主机使用Windows7+VMware Workstation 12 Pro，虚拟机采用Xubuntu 12.04.4安装Honeyd。

3.2 Honeyd软件的依赖库

Honeyd软件依赖于Libevent事件处理API、Libdnet数据包构造与发送库、Libpcap数据包捕获库、Libdnsres DNS反向解析函数库以及Arpd工具。安装软件依赖库时需对照Honeyd文档下载相应版本安装包，在安装过程中容易出现报错信息，需耐心调试。

3.3 Honeyd安装

Honeyd是一款優秀的开源虚拟蜜罐软件，其版本已于早前停止更新，但仍可从官网（http：//www.honeyd.org/）中下载，实验时需要下载源代码并且编译、安装。

目前也有国外安全团队发布一些集成Honeyd的linux蜜罐平台可供下载使用，如HoneyDrive、T-Pot等，避免了安装软件及在linux下需要解决软件依赖关系等繁琐的问题。

4 Honeyd实验测试

4.1 Honeyd命令格式

Honeyd 软件的命令格式如下：

较为重要常用的选项包括：

-d ：非守护程序调试模式，允许调试过程显示冗长的调试信息。

-l logfile：将 honeyd 记录的数据包和日志写入指定的日志文件中。

-s servicelog：将 honeyd 捕捉到的服务层日志写入到指定的服务日志文件中。

-i interface：指定监听的接口，可以指定多个接口。

-f file：读取名为 file 的配置文件。

[—webserver-address address] [—webserver-port port] [—webserver-root path] [—rrdtool-path path] [—fix-webserver-permissions] 指定 Honeyd 软件虚拟 Web 服务的地址、端口和根目录，以及 Web 服务依赖的 RRDTool 的位置，—fix-webserver-permissions 用于修正 Web 目录权限设置导致网页不可读取问题。

net：指定IP地址或者网络或者IP地址范围，如果没有指定，honeyd将监视它能看见 的任何IP地址的流量。

4.2 Honeyd配置实例

利用Honeyd我们可以根据需求或设计的网络拓扑结构配置复杂网络，可更加有效地欺骗攻击者，以如下网络拓扑结构为例：

实现上图网络拓扑，对honedy.conf文件配置如下：

4.3 Honeyd测试及结果

在系统配置数据库创建好后启动Honeyd，通过其自带的控制台可以看到，根据网络拓扑图已成功创建出包含路由及虚拟蜜罐的虚拟网络，Honeyd开始正常工作。结果如下图所示：

攻击机IP为10.10.10.130 ，对几个不同网段的虚拟蜜罐进行ping命令扫描，测试结果符合我们设计的网络拓扑结构，如图4。

5 结束语

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力[4]。Honeyd是一款虚拟蜜罐构建框架工具，消耗资源少且功能强大，具有较好的实用性和研究价值。

在后续工作中，将对Honeyd在对应用层协议的仿真服务模拟、指纹库改进、日志信息提取利用以及如何将honeyd有效的融入到实际生产环境等内容开展更进一步的研究。

参考文献：

[1] Niels Provos.HoneyD Development. http：//www.honeyd.org/

[2] 官凌青，娄嘉鹏，刘莉.蜜罐Honeyd的扩展设计与实现[D].西安电子科技大学，2007.

[3] 马腾云.基于蜜罐技术的网络安全预警系统[D].山东大学，2013.

[4] 诸葛建伟，唐勇，韩心慧，段海新.蜜罐技术研究与应用进展[J].软件学报，2013，24（4）：826.endprint