诱捕式网络防御技术之研究前言网络共享计算机资源，方便之余，也给有心人士一个最佳入侵途径，不管其入侵目的为何，每个人所业管的机密数据是保护重点。

现行国军网络环境在安全实体隔离的政策执行下，似乎保有了一块网络净土。

但资安泄密事件仍频传，木马攻击事件仍发生，就表示系统漏洞、人员管制、信息贮存媒体携出入管理都出现了严重的问题。

根据CERT/CC在1995年至2006年第一季的统计资料，现行操作系统厂商所发现的系统漏洞共有24,313项系统弱点报告[1]，这是官方的统计数据。

从黑客社群、黑帽黑客（Black Hat）社群等非官方网站中，则流传许多未公开的系统漏洞，根本无法统计，因此，面对尚未发现的漏洞要如何防范，不明的入侵行为模式如何察觉，是信息防护需要努力的课题。

从趋势科技全球病毒实验室TrendLabs发表的2005年上半年度病毒报告[2]中可得知，蠕虫、特洛依木马、手机病毒、混合式攻击( Malware Tandem)等四大病毒威胁性为全部病毒之冠。

主要的病毒型态仍以特洛依木马病毒为主，共侦测到2,997只的木马程序，占所有病毒的39％；其中高达2,292只为新产生的特洛伊木马，高居所有新型病毒型态的47％。

特洛依木马程序的隐匿入侵功能、蠕虫的迅速散播能力、再加上间谍程序高超的混合式攻击愈来愈普及，而目的意在窃取系统与使用者的相关信息、机密文件、网络银行账户与密码。

间谍软件会突破反间谍软件的侦测，进而终止程序并删除之，轻易地窃取机密档案。

而在2005年2月9日现身的间谍软件TSPY_ASH.A造成反间谍软件（Microsoft Antispyware）程序被终止，并且删除其相关档案，然后潜入网络银行窃取受害者重要数据。

而变种的间谍软件TSPY_ASH.B会修改IE首页设定，甚至具备远程下载自我更新的能力。

针对以上系统漏洞的程序缺陷，再加以病毒、木马、蠕虫混合式攻击的不断变化，假设不知情的人员将来路不明的软件在国军「封闭式网络」中执行，计算机发生中毒现象，可以想象其所面临的危机是何等巨大。

综合上论，虽然信息安全的范畴虽不断的推展，但是良好的信息基础是永久不变的，其包含着所谓的安全三D：防御（Defense）、遏阻（Deterrence）、侦察（Detection），并藉以订定适用的资安政策。

因此传统的信息安全技巧，主要是在阻挡攻击（防火墙）或实时侦测攻击（IDS入侵侦测系统）。

这两种技术都非常重要，但也有其限制。

只要有足够的时间和信息，攻击者就可以得知防火墙允许外界存取哪些服务。

一旦攻击者可通过防火墙存取内部服务器，防火墙就无法提供进一步的防护。

IDS只有在攻击开始时才会提供信息。

但这却无法为您争取足够的时间，以适度的保护所有易被攻击的系统。

此外，IDS 无法判断新的攻击是否成功，或者被入侵系统是否成为跳板，成功攻击其它系统。

而网络诱捕系统便是一个成功的反制措施，可以实质上拖延攻击者，同时能提供防御者足够的信息来了解敌人，避免攻击造成的损失。

若能成功使用，就可以达到上述目标。

藉由欺骗攻击者，防卫者透过提供错误信息，迫使对方浪费时间做无益的进攻，以减弱后续的攻击力量。

此外，良好的诱捕机制让企业无须付出被成功入侵的代价，即可为防卫者提供攻击者手法和动机的相关信息。

这项信息日后可以用来强化现有的安全措施，例如防火墙规则和IDS 配置等。

本文一、诱捕式网络防御技术之研究目的「兵者，诡道也。

故能而示之不能，用而示之不用，近而示之远，远而示之近；……攻其无备，出其不意。

此兵家之胜，不可先传也。

」──《孙子兵法》数千年来，军事领袖为了战胜，都曾经欺骗过敌人。

第二次世界大战期间，盟军诱使德国人相信，真正的攻击会发生在加来（Pas de Calais）而不是诺曼底；甚至在诺曼底登陆之后，希特勒还确信这是佯攻，因此未能及时响应。

在「沙漠风暴」军事行动时，美国使用假士兵、军营，甚至战车来分散伊拉克军队的注意力，而真正的士兵却从别处攻进伊拉克，几乎如入无人之境。

在战场上运用的技巧，同样也可以用来防御网络上的资产不受今日狡狯的攻击者破坏。

因特网为攻击者提供了一个自动化的公共知识库，可以用来向企业发动新型态的战争。

例如，攻击者可以使用因特网，沉着地研究新的弱点。

或者，只要下载一个自动化的黑客工具（exploit），一个新手也可能看似拥有专家的技能。

在网络上甚至可以轻松的搜寻到如何绕过防火墙及「入侵侦测系统」（IDS）的相关信息。

此外，自动化技术意味着攻击者可以花费几个月的时间找寻防御漏洞，而不必采取可能引人注意的互动方式。

最后，由于网络的互连特性，来自各地的攻击者可对他们选定的任何系统发动攻击。

因此诱捕式（decoy-based）网络防御系统技术或所谓的“Honeypot”便在此扮演一重要的角色。

所谓「诱捕」有隐藏本体、布置陷阱、放入诱饵、吸引猎物这四层涵意，引申其意，在信息安全领域中，诱捕式网络防御技术的目的便是让重要的主机或设备被隐藏保护起来，在可能被攻击的前线布置陷阱等，例如防火墙的非军事区（DMZ）建置虚拟诱捕系统，或是在企业网络内部（Intrant）混合建置虚拟诱捕系统。

同时，在诱捕系统中放入让黑客心动的假情报或假数据（诱饵），当黑客或有心人士采取行动的时候，除了目标错误而误中副车外，其具备的监控机制回报机制也能让管理人员立即处理、管制与预警和收集电子证物等。

二、网络诱捕系统的演进Honeypot其实并不是一个新的概念。

自从计算机开始互连以来，信息安全研究人员与专家就使用过不同形式的Honeypot。

计算机的诱捕系统会被部署成吸引攻击者的目标，如一罐用来吸引并会困住昆虫的蜂蜜。

使用Honeypot可以获得许多的好处。

第一，它会消耗攻击者的时间。

看诱敌深入到什么程度，攻击者可能耗费大量时间尝试刺探及研究诱捕系统─因此用在攻击Honeypot的时间，就不会用来攻击真实主机。

第二，这会让攻击者对于现有的安全措施产生错误的印象，对方可能会花很多时间寻找工具攻击Honeypot，但这些工具在真实系统上可能无法运作。

第三，有Honeypot的存在，可降低真实系统受到随机攻击或刺探的可能性。

许多攻击者会大规模扫描计算机，来找寻受害者。

即使是针对特定机构的攻击，也会扫描该机构所拥有的公众系统，寻找一台计算机来入侵，做为攻击的起点。

使用Honeypot会降低攻击者选择一台重要计算机作为目标的机率，而诱补系统也会侦测并记录最初的扫描，以及任何后续的攻击。

不像其它的入侵侦测机制，Honeypot不会有任何误报（false positive）。

IDS 产品大都会产生不同程度的误报，这是因为正常的通讯总是有可能刚好符合IDS用来侦测攻击的特征。

但Honeypot 就不会有这种情形。

任何连往Honeypot 的通讯都是可疑的，因为这个装置除了侦测攻击之外并没有任何其它的用途。

换句话说，没有任何合法的通讯会产生误报。

如此一来，Honeypot可以比其它任何IDS 解决方案侦测到更多攻击。

Honeypot可以发现和分析新的弱点，因为攻击者采取的所有行动都会被记录下来。

通往Honeypot的所有通讯都是可疑的，所以新的攻击工具可根据其与系统的互动被侦测出来─即使是所谓的「第八层」攻击，如针对信息流而不是针对程序或通讯协议等OSI七层架构下的攻击，亦可被侦测出来。

例如将假信息输入某个服务或数据库，或使用已被破解的凭证来取得未经授权的存取。

最后，Honeypot能侦测和记录可能持续数月的资安事端（incident）。

这些所谓的「慢速扫描」（slow scan）很难透过IDS侦测到，因为它所用的时间很长，让它看起来像正常的通讯内容。

Honeypot可以分为三大类：待宰羔羊（sacrificial lamb）、伪装系统（facade）以及傀儡系统（instrumented system）。

第一代发展出来的Honeypot是「待宰羔羊」，由数台设定为攻击目标的计算机所组成。

待宰羔羊通常是由一个「现成」或「现有」的系统所构成，它会放在某个易被攻击的位置，留在那里当牺牲品。

它是攻击者最显著的目标─但遗憾的是，分析攻击数据非常耗时，而且待宰羔羊本身也可能被攻击者用来作为攻击其它计算机的跳板。

第二代的Honeypot，因为它只有仿真网络服务，而不会让真正的计算机受到攻击，排除了遭入侵的诱捕系统所造成的信息安全威胁。

这些「伪装系统」通常具有待宰羔羊的弱点，但不会提供这么丰富的数据。

伪装系统提供的攻击数据记录更容易存取，因此让攻击者更难躲避侦测。

伪装系统是最轻量级的Honeypot形式，通常是由某种仿真的服务应用程序所构成，目的是要提供受害系统的假象。

新一代的「傀儡系统」则兼具了待宰羔羊和伪装系统的优点。

类似待宰羔羊，它们也提供非常可信的系统，让攻击者进行破坏。

也就像伪装系统那样，这些系统很容易存取却很难回避，因为它们会记录攻击信息。

此外，进阶的傀儡系统提供了预防攻击者使用这台系统作为进一步攻击的基地防御机制。

傀儡系统型的Honeypot是一种现有的系统，但做了额外的修改，因此可提供更多信息、牵制或控制。

三、网络诱捕系统之建置架构本系统建置的架构图如下：图一网络诱捕系统架构图(一)平台建构基于成本考虑及系统便利性、安全性，本文选用Vmware[3]这套软件来构建网络仿真系统，Vmware可以仿真任何操作系统的运作环境，假若计算机的设备等级较高的条件下，亦可仿真多台计算机，也就是建立多台虚拟操作系统。

所以，不论你的主机操作系统为何，都可以跑另一个不同或相同的操作系统。

例如：在Linux 的操作系统跑一个Windows系统仿真环境，或是在Windows的操作系统跑一个Linux系统仿真环境。

Vmware不同于多重开机系统，它算是在主机操作系统中跑的一个程序，而这个程序在仿真另一个操作系统，以致于在感受上像是兩个操作系统同时在一台计算机启动运作。

为了明确区别操作系统的主副关系，将安装执行VMware软件的操作系统称为「主机操作系统」，而VMware虚拟机器下所安装的操作系统称为「虚拟操作系统」；假若，同时启动许多虚拟机器，每一台机器都拥有自己的网路地址，再加上主机操作系统的数量，在网路上便形成一个诱捕系统网（Honey Net）。

VMware 在主机操作系统与虚拟操作系统间有一层虚拟层（VMware Virtualization Layer），虚拟层的功能是把实际的硬件资源对映到虚拟机器上的硬件资源，因此每一个虚拟机器都有它自己独立的CPU、内存、硬盘及各项I/O 设备，同时，VMware使用了X86的保护模式，让各操作系统是独立运作的，不会互相影响，因此在一台X86计算机上同时仿真多个不同的操作系统是可行的。

VMware的虚拟网路功能提供了三种网络模式：Bridged模式、NAT模式与Host-only模式。