引诱黑客的方法其实再简单不过,就好像我们捕捉动物。当一个黑客入侵者开始搜索网络的时候,他会惊讶地发现一个非常易于攻击的数据服务器。但在他准备进入这个服务器系统的时候,网络管理员正好也在跟踪他的行踪,就好像“螳螂捕蝉,黄雀在后”。这个入侵者就是被“诱饵”服务器所引诱,这些“诱饵”服务器正是为了发现这些入侵者而专门设计的。
“诱饵”服务器的特点
由于数据服务器的数据量很大,因此一般要从大量的数据当中分离出恶意攻击是比较困难的。因此,我们有必要设计这些专门引诱黑客的“诱饵”服务器,以保证数据服务器正常工作。
“诱饵”服务器的主要目的是模仿数据服务器,同时对于黑客行为进行报警和记录。通过下面列举的特点,我们就不难得出“诱饵”服务器是如何完成这项功能的。
a.“诱饵”服务器模仿真正的数据服务器,并有其正常工作的一面;
b.“诱饵”服务器提供一些网络资源和用户账号,引起黑客的注意;
c.“诱饵”服务器表现它脆弱的一面,引诱黑客对它展开恶意的攻击;
d.“诱饵”服务器有着非常强大并且完全的入侵报警和记录机制。
如何打造“诱饵”
1. 端口重定向
利用能够重定向的路由器或者防火墙,将数据服务器上的一些服务重新映射至“诱饵”服务器上,例如,将端口为80的Web服务保留,但将端口为25的SMTP服务和端口为23的Telnet服务映射至“诱饵”服务器。此时,一旦对于SMTP和Telnet发生入侵的行为,系统便能够报警和记录。
但同时,我们仍需要监视Web服务,因为对它的数据访问并不是在“诱饵”服务器上记录的,所以在Web服务上仍需要安装相应的入侵监视系统。由于重定向的服务没有入侵监视系统,所以黑客更容易去访问这些服务。
2. 构建“诱饵”服务器
另一种方法是将“诱饵”服务器放置于数据服务器的中间,例如,数据服务器的地址为2、3、5,而“诱饵”服务器的地址为4,也可以利用给IP起别名的方法,给“诱饵”服务器更多的IP地址。
当黑客在整个网络中寻找最容易击破的计算机时,很显然进入到“诱饵”服务器中。但如果黑客避开了“诱饵”服务器,而直接攻击数据服务器,这种方法就变得无效了。“诱饵”服务器最核心的策略是:到达“诱饵”服务器的数据都是可疑的。一旦黑客进入了服务器,他的一举一动都会被记录下来。
当然,这两种方法都存在着失败的可能性,这主要取决于“诱饵”服务器是否能够被黑客所发现,“诱饵”服务器的脆弱性必须被黑客所了解,同时“诱饵”服务器在功能上与数据服务器也要尽可能的相像。
尽管如此,由于“诱饵”服务器的数据量远小于数据服务器,因此使用“诱饵”服务器将管理员们从分析大量日志的工作中解脱出来,并且大大地提高了分析的准确性。
确定诱饵还要注意
是否安装“诱饵”服务器还取决于下面的问题:
1. 你是否有足够的资源
2. 你是否能够一直监视系统的日志;
3. 你是否打算起诉入侵者
4. 你是否具有应急处理突发事件的能力。
如果你并不具备上述的条件,建议你不要安装“诱饵”服务器,推荐你使用更好、更稳定的服务器系统,以减少资金、设备、资源的占用率。
有很多人也反对使用“诱饵”服务器,因为它使用一些假数据来引诱入侵者,而如果这些数据一旦给了合法的用户,造成的损失将是不可估量的。由于“诱饵”服务器同时存在负面影响,所以用户在安装使用前,应权衡一下其利弊。
现有诱饵软件
Windows 操作系统:Infinitum的BackOfficer Friendly, Network Associates的CyberCop Sting和Specter。
Unix操作系统:Fred Cohen & Associates 的Deception ToolKit (DTK)。
Solaris操作系统:Recourse Technologies的ManTrap 和GTE Technology的 NetFacade。