课程2-网络攻防实验环境构建

1网络攻防实验环境构建内容1.网络攻防实验环境2.虚拟化技术3.蜜网(Honeynet)技术4.基于虚拟蜜网的网络攻防实验环境5.网络攻防的活动与竞赛形式2一些名言和典故3不闻不若见之，闻之不若见之，见之不若知之，知之不若行之，学至于行之而止矣，行之，明也。——荀子《儒效篇》实践出真知,“实践是检验真理的唯一标准——毛泽东《毛泽东选集》纸上谈兵(赵括)知其然，而不知其所以然——梁启超《论小说与群治之关系》为什么需要网络攻防实验环境?4网络攻防是基础知识和实践紧密结合的技术方向基础知识:计算机各个方面专业知识都要略懂操作系统、网络的基本结构与底层机制编程语言、汇编语言及软件编译执行机理密码学与信息安全专业基础…实践技能:各种网络和系统实践技能也要略懂系统底层机制进行深入探究的技术能力:网络、程序…掌握网络渗透测试的实践技能支持更好的研究和防御掌握对攻击的分析实践技能了解安全威胁,支持更好的防范掌握攻击防御和响应技能专属的网络攻防实验环境5学习网络攻防技术需要一个实验环境学打篮球：你就需要篮球场拿Internet直接作为攻防实验学习环境违背传统黑客道德与精神效率低下学习方式，“脚本小子”/低水平骇客专属的网络攻防实验环境环境的可控性、可重复性“我的地盘我作主”网络攻防实验环境的基本组成6攻击机:发起网络攻击的主机Win32:WindowsXPLinux:morepowerful,建议攻击平台攻击目标主机（靶机）Win32桌面操作系统:WindowsXPLinux服务器操作系统:Ubuntu/…Win32服务器操作系统:Win2K3/Win2KServer攻击检测、分析与防御平台攻击目标主机网关位置网关:网络流分析、检测、防御攻击目标主机:系统日志采集与分析构建一个基本网络攻防环境，需要4-5台主机及相关联网设备V-Net:基于虚拟蜜网的攻防实验环境7虚拟机技术(VirtualMachine)通过虚拟化技术在一台主机上构建攻防实验环境降低部署成本同时提高易管理性虚拟机软件:VMwareWorkstation/vSphere蜜网技术(Honeynet)陷阱网络：诱骗和分析网络攻击高交互式蜜罐：提供攻击目标环境蜜网网关/Sebek：攻击网络/系统行为捕获与分析虚拟机+蜜网=虚拟蜜网(VirtualHoneynet)8基于虚拟蜜网的攻防实验环境拓扑内容1.网络攻防实验环境2.虚拟化技术3.蜜网(Honeynet)技术介绍4.基于虚拟蜜网的网络攻防实验环境5.网络攻防的活动与竞赛形式9虚拟化技术和云计算热潮GoogleTrends：虚拟化和云计算查询热度趋势比较虚拟化技术：21世纪以来的IT技术热点云计算：近年来IT领域最热点的词汇10什么是虚拟化?11虚拟化(Virtualization)创建某种事物的虚拟(非真实)版本的方法和过程.虚拟(Virtual)通常用于区分纯粹概念上的事物和拥有物理实体的事物.计算领域中的虚拟化[whatis.com][webopedia]创建某种计算资源的虚拟版本的方法和过程.某种事物某种计算资源示例:处理器,内存,磁盘,完整的计算机,网络等计算机系统最重要的三个接口ISA:指令集架构Interface3:系统ISA,OS可见,用于管理硬件Interface4:用户ISA,应用程序可见ABI:应用程序二进制接口Interface2:系统调用接口Interface4:用户ISAAPI:应用程序编程接口Interface1:高级编程语言库函数调用Interface4:用户ISAFigure:ComputerSystemArchitecture12什么是虚拟机？13什么是虚拟机?机器(machine)的虚拟版本那什么是机器Machine?从一个进程的角度定义机器一个逻辑内存地址空间;用户级的指令和寄存器;I/O(仅通过操作系统系统调用可见)实际上,ABI接口定义了进程角度所看到的机器;API接口定义了一个高级编程语言程序所看到的机器.从操作系统的角度定义机器底层硬件特性定义了机器.ISA提供了操作系统和机器之间的接口.进程级虚拟机和系统级虚拟机进程级虚拟机进程级虚拟机是执行单一进程的虚拟平台.JavaVM,FVMSandbox,etc.系统级虚拟机系统级虚拟机提供了支持操作系统和上层众多应用进程的一个完整、持久稳固的系统环境.VMware,Qemu,etc.基本概念guest,host,runtime,VMM142011年3月6日网络攻防技术与实践课程18Copyright(c)2008－2009诸葛建伟系统级虚拟机HostedVS.HypervisorHypervisorVMHostedVM16系统级虚拟机实现需求和目标17系统级虚拟机实现需求向GuestOS提供与真实硬件相类似的硬件接口硬件接口:CPU,Memory,I/O(Disk,Network,外设)系统级虚拟机实现目标兼容性:具备运行历史遗留软件的能力性能:较低的虚拟化性能开销简单性:支持安全隔离(没有/很少安全缺陷),可靠性(不失效)多种不同技术,分别提供不同的设计平衡VMware的产品线和技术解决方案VMwarevSphereTM1829VMwareWorkstationVMware虚拟机的虚拟硬件设置CPU虚拟CPU(单核/双核)内存从宿主物理内存分配硬盘宿主文件系统中文件外设网卡光驱USB声卡…30VMware支持的虚拟网络拓扑模式VMware虚拟网卡支持三种基本拓扑连接桥接模式(bridged)虚拟的透明网桥虚拟机网卡对外可见，可直接绑定外网IP主机模式(host-only)虚拟交换机网络地址转换模式(NAT)虚拟机不能直接连接外网由宿主进行网络地址转换后访问外网31桥接模式主机模式网络地址转换模式VMware的虚拟网络管理VMwareforWindows版本Edit|VirtualNetworkSettings…VMwareforLinux版本vmware-config.pl22内容1.网络攻防实验环境2.虚拟化技术与云计算热潮3.蜜网(Honeynet)技术介绍4.基于虚拟蜜网的网络攻防实验环境5.网络攻防的活动与竞赛形式23蜜罐(Honeypot)技术的提出防御方尝试改变攻防博弈不对称性提出的一种主动防护技术蜜罐:一类安全资源，其价值就在于被探测、被攻击及被攻陷“蜜罐公理”:无任何业务用途任何蜜罐捕获行为都是恶意绕过攻击检测“NP难”问题蜜罐技术的提出和发展198920071990TheCuckoo’sEgg中引入蜜罐技术2005NielsProvos发布Honeyd1.02000LanceSpitzner等人第一代创建蜜网项目组蜜网技术第二代蜜网技术蜜网研究联盟成立200120032005第三代蜜网技术20021998FredCohen发布DTK2001FredCohen发布AFrameworkforDeception2003LanceSpitzner提出蜜场技术24蜜罐技术－如何实施诱骗？25欺骗环境(Pot)的构建:黑洞VS.模拟VS.真实零交互式蜜罐:黑洞，没有任何响应低交互式蜜罐－虚拟蜜罐:模拟网络拓扑、协议栈、服务(Honeyd/Nepenthes)；模拟OS(Sandbox)高交互式蜜罐物理蜜罐:完全真实的硬件、OS、应用、服务虚拟机蜜罐:模拟的硬件(VMWare)/真实的OS、应用、服务部署陷阱,诱骗攻击者(Honey)守株待兔:安全漏洞－针对扫描式攻击酒香也怕巷子深:散播陷阱信息,引诱攻击者(GoogleHackingHoneypot,HoneyEmail)重定向技术(Honeyfarm)主动出击:利用爬虫技术－客户端蜜罐(HoneyClawer恶意网站监测)蜜罐技术－诱骗之后欺骗环境的核心功能需求数据控制数据捕获数据分析欺骗环境的配置管理欺骗与反欺骗的较量欺骗环境伪装:环境伪装/业务伪装对欺骗环境的识别:fingerprintingAnti-Honeypot,Anti-Anti-Honeypot,…－更深一层的博弈问题26低交互式蜜罐技术27低交互式蜜罐技术具有与攻击源主动交互的能力模拟网络服务响应，模拟漏洞容易部署，容易控制攻击低交互式－交互级别由于模拟能力而受限，数据获取能力和伪装性较弱，一般仅能捕获已知攻击低交互式蜜罐工具iSink–威斯康星州立大学InternetMotionSensor–密歇根大学，ArborNetworksHoneyd－Google公司软件工程师NielsProvosNepenthes–Nepenthes开发团队商业产品:KFSensor,Specter,HoneyPoint…高交互式蜜罐技术28高交互式蜜罐技术使用真实的操作系统、网络服务与攻击源进行交互高度的交互等级－对未知漏洞、安全威胁具有天然的可适性，数据获取能力、伪装性均较强弱势－资源需求较大，可扩展性较弱，部署安全风险较高虚拟机蜜罐VS.物理蜜罐虚拟机(VirtualMachine)/仿真器(Emulator)技术节省硬件资源、容易部署和控制、容易恢复、安全风险降低高交互式蜜罐工具Honeynet–蜜网项目组(TheHoneynetProject)HoneyBow(基于高交互式蜜罐的恶意代码捕获器)–北京大学狩猎女神项目组Argos–荷兰阿姆斯特丹大学(VrijeUniversiteitAmsterdam)欧盟分布式蜜罐项目(NoAH)参与方蜜网技术的提出－从蜜罐到蜜网29低交互式(虚拟)蜜罐高交互式(虚拟机/物理)蜜罐使用真实的网络拓扑，操作系统和应用服务为攻击者提供足够的活动空间能够捕获更为全面深入的攻击信息单点蜜罐工具蜜网体系框架体系框架中可包含多个蜜罐同时提供核心的数据控制、数据捕获和数据分析机制构建一个高度可控的攻击诱骗和分析网络蜜网项目组(TheHoneynetProject)全球非赢利性研究机构1999年起源于邮件组WarGames2000-今:19Chapters狩猎女神项目组－ChinaChapter目标探寻黑客界的攻击工具、战术和动机，并分享所得著名成员创始人/CEO:LanceSpitznerFyodor,DaveDittrich,NielsProvos,AntonChuvakin,RonDodge…302011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟48蜜网技术的发展配置•LanceSpitzner在1999年提出并实现•在Linux操作系统上构建•蜜罐主机位于一个3层路由器后面•防火墙限制往外连接•网络流抓捕工具记录所有的数据包困难•攻击可以绕过防火墙•只能抓取和监听明文通讯•需要多个不同类型工具一起工作•难以构建、配置和部署•运营和维护需要花费大量的时间•没有内嵌的数据分析功能蜜网网关光盘•可启动的Linux光盘可在5分内完成蜜网网关的安装•集成了数据捕获、数据控制和数据分析的所有工具•提供蜜网部署的标准化工具数据捕获•每个进出蜜网的数据包都被记录•IDS提供对攻击的高层摘要视图•Sebek将记录在蜜罐系统中的攻击行为，上传到蜜网网关数据控制•由2层防火墙进行网络连接数限制•网络入侵防御系统阻断向外发起的攻击数据分析•所有捕获的数据均可通过一个Web接口进行查看•通过Email报警通知管理员蜜网中的可疑行为分布式蜜网•由世界各国组织机构部署多个蜜网•通过集中点对分布式蜜网进行管理•收集到的攻击数据汇总到集中数据库•通过蜜网网关光盘进行实现和部署•目前正在进行积极研发蜜网项目组•来自世界各国的信息安全专家•研发开源蜜网技术和工具•发布多本著作及大量学术论文•更多信息：