329 views

蜜罐与内网安全从0到1(六)

image

将蜜罐技术应用到内网攻击感知中,一篇硕士论文的研究过程与demo实现,抛砖引玉。计划的系列文章内容分为以下几个部分,按照论文撰写的脉络来讲:
1. 蜜罐与内网安全选题思考
2. 蜜罐技术科普与发展简述(2016年)
3. 常见内网攻击类型及检测思路
4. 多款开源蜜罐数据样例与应用分析
5. 攻击序列、攻击模式与攻击者标签
6. demo系统设计与系统测试-本文
7. 我的论文小结(附脱敏的答辩PPT与参考文献列表)


在研究了常见内网攻击类型、蜜罐相关技术、攻击行为检测思路和方法后,本文主要阐述基于蜜罐技术的内网安全检测系统的概要设计,给出了系统的简要结构。然后为了验证本文所设计实现的基于蜜罐技术的内网安全检测系统的有效性、可靠性。也在实验室环境下对其进行了部署、测试与分析

0x01 系统设计:小目标

本课题的预期目标是实现一个综合客户端(Client)、服务器(Server)和浏览器(Browser)的C/S/B复合架构的基于蜜罐技术的内网安全检测系统,该系统具体的设计目标如下:

(1) 蜜罐终端便于部署,而且能稳定运行
(2) 蜜罐终端能够检测常见内网端口扫描和暴力破解,包括但不限于21端口、22端口、80端口、1433端口、3306端口。
(3) 蜜罐终端能检测内网ARP攻击DNS劫持攻击。
(4) 蜜罐终端能对不同功能模块的检测数据进行整合,并将格式化的数据发送到中心服务器
(5) 中心服务器能对蜜罐终端的检测数据进行汇总和分析判断,并提供预警功能
(6) 中心服务器能够提供统一的Web操作界面,能对蜜罐捕获的攻击数据进行可视化展示。

0x02 系统结构

根据设计目标,基于蜜罐技术的内网安全检测系统在考虑了一定的可扩展性和可移植性的技术上,将系统的所有组成部分划分为中心服务器、蜜罐终端两部分,系统总体结构如下图所示。

image

由系统总体结构示意图可知,本系统通过分层组件化的方式,方便功能的扩展和删减,也便于将来本系统从内网环境移植到外网环境。

1)蜜罐终端

本课题的蜜罐终端硬件上采用的是树莓派,树莓派(Raspberry Pi)以一种只有名片大小的卡片式电脑,主要构造是一块微型计算机主板。选择树莓派的原因是,树莓派低成本低功耗且方便部署,配合定制的Linux系统,具备低性能计算机的所有功能,能够部署所需的各种软件同时支持多种语言开发的程序,满足多种蜜罐程序的部署条件。本课题需要在树莓派上部署非关系型数据库MongoDB、Dionaea蜜罐程序、Glastopf蜜罐程序、Kippo蜜罐程序以及P0f攻击指纹识别程序等。

通过对不同类型蜜罐的功能和数据进行调用、整合和定制化研发,蜜罐终端主要实现以下功能:

(1)蜜罐状态检测模块主要负责检测蜜罐终端的运行情况,包括蜜罐终端所处内外网环境,以及其他功能模块的运行状态。
(2)端口扫描检测模块主要负责检测内网常用端口的连接请求。
(3)暴力破解检测模块主要负责对常用服务登录认证的暴力破解行为进行检测。
(4)攻击指纹匹配模块主要负责攻击者所用工具进行识别。
(5)ARP攻击检测模块主要负责对内网的ARP攻击行为进行检测。
(6)DNS异常检测模块主要负责对DNS状态进行监测。
(7)数据整合与入库模块主要负责对各个功能模块的检测数据进行格式化处理并集中存储。
(8)数据传输模块负责将检测到的攻击行为数据和蜜罐状态数据发送到中心服务器。

2)中心服务器

由于本课题设计方案中中心服务器和蜜罐终端是一对多的对应关系,因此中心服务器对性能要求较高,部署64位的Ubuntu系统。同时服务器需要部署MongoDB非关系型数据库、Apache Web服务、PHP运行环境和MySQL数据库等。

中心服务器主要负责对接受的攻击行为数据进行存储、分析、展示和预警,因此主要功能模块如下:

(1)数据接收和入库模块主要负责接受蜜罐终端发送的数据,并集中存储。
(2)数据分析和攻击行为研判模块主要负责分析攻击数据,判断攻击行为。
(3)攻击预警模块主要负责发送攻击告警信息通知用户。
(4)攻击数据展示模块主要展示有效的攻击行为记录。
(5)内网拓扑绘制模块主要负责对蜜罐终端所在内网的网络拓扑和攻击情况进行绘制和展示。
(6)攻击地图展示模块主要在世界地图或者地区地图上实时展示中心服务器收到的攻击数据。

本系统典型的部署架构如下图所示。

image

本系统中中心服务器和蜜罐终端是一对多的关系,中心服务器需要具备独立IP,方便蜜罐终端连接和用户访问,蜜罐终端所处的内网需要具备Internet环境。

需要说明的是,同一个内网中可以部署多台蜜罐终端,和单台蜜罐终端相比,多台蜜罐终端可以提高攻击检测的准确度和覆盖率。举例说明,如果内网中只部署一台蜜罐终端,如果发现蜜罐终端某一端口被扫描,难以判断整个内网网段1到255均被扫描。如果采用两台蜜罐终端,分别部署在高网段和低网段,若两台蜜罐终端短时间内接连检测到某一端口被扫描,那么1到255整个局域网被扫描就存在极大的可能性。且攻击者进入内网后,进行信息探测时为了减少暴露几率,可能不会进行全网扫描,而会选择对低网段或高网段进行局部扫描,因为按照惯例数据库服务器、文件服务器等重要信息系统往往部署在低网段或高网段。因此,在同一个内网中,通过部署多台蜜罐终端,可以提高攻击检测的准确率和覆盖率,而且一旦对攻击者诱骗成功,多蜜罐终端能发挥更多的延缓攻击进程的作用

关于系统的具体实现,主要部分可以参考这篇《基于MHN开源项目的树莓派蜜罐节点部署实战》,这里略过。

0x03 系统部署与测试环境搭建

部署和测试一个可用的基础版本,蜜罐终端能够对所在内网的攻击行为进行检测,并将数据同步到中心服务器,服务器能够对攻击数据进行分析判断并通过Web界面对结果数据进行展示并及时预警。

部署和测试环境如下图所示。

image

首先,中心服务器搭建在远程VPS服务器上,且已经部署好本系统,工作正常。然后,树莓派蜜罐终端部署在实验室的内网中,正常运行,如下图所示。

image

值得说明的是,该树莓派蜜罐终端配置好后可放置备用,需要使用时只需接上电源并接入网络,树莓派蜜罐终端即可自动启动、自动获取当前内网配置信息并开始工作。实验室环境下测试,在网络畅通的情况下,从插电自启动,到服务器收到该蜜罐终端的上线提示前后不超过1分钟。通过对蜜罐终端的操作系统进行配置,可实现蜜罐终端状态异常时自动重启各项功能,在出现所在内网故障、网络阻塞等异常条件时,也能尽快恢复服务。在与中心服务器断开的情况下,蜜罐终端依旧可以捕获内网攻击行为,并暂存在本地数据库,网络恢复后可重新同步到中心服务器。通过几次的优化设计和实践验证,一定程度上实现了树莓派蜜罐终端的即插即用、稳定长久运行。

最后,使用和蜜罐终端处在同一内网的一台计算机进行攻击测试,攻击计算机主机部署Windows 10操作系统,安装了VMware虚拟机系统,并且能够访问和配置出口路由器。

0x04 测试过程

使用攻击计算机对内部网络进行攻击,分别进行端口扫描、ARP欺骗和路由器DNS篡改。具体步骤如下:

(1)通过本地命令获取内部网络的配置信息;
(2)真机上使用“RouterScan”扫描器对内网网段进行端口扫描;
(3)虚拟机中使用“科来数据包生成器”构造ARP响应包对蜜罐终端进行ARP欺骗;
(4)篡改路由器中DNS配置,并重启路由器使配置立即生效。

攻击前,首先通过系统命令获取当前内网的网络配置信息,从而获取攻击目标的网络地址,如下图所示。

image

image

使用“RouterScan”扫描器对内网网段的21、22、80、1433、3306端口进行端口扫描,该步骤模拟的是攻击者进入内网后进行进一步内网渗透所做的信息探测工作,如下图所示。

image

在虚拟机中,使用“科来数据包生成器”构造ARP响应包对蜜罐终端进行ARP欺骗,该步骤模拟的是攻击者为获取敏感数据利用ARP欺骗技术进行的中间人攻击,如下图所示。需要说明的是真实攻击场景中,攻击者可能会对整个网段进行ARP欺骗。

image

image

最后,登录路由器管理界面,修改DNS指向一个编造的IP,并重启路由器使其立即生效,该步骤模拟DNS劫持攻击,如下图所示。需要说明的是这个步骤可能导致内网主机无法上网,因此测试后要及时修改正常。

image

攻击测试阶段可通过Web界面远程登录系统中心服务器,对捕获的攻击行为进行查看。

0x05 测试结果及分析

通过Web界面,发现系统捕获到了相应的端口扫描、ARP欺骗和DNS异常信息,能够通过表格和攻击地图的形式对攻击行为进行展示和提醒。

攻击结果具体信息如下图所示。

image

由上图可知,系统捕获到了攻击者对局域网的攻击行为并给出了攻击结果判断,数据中可以看到相应的数据细节,包括攻击时间、蜜罐终端名称、蜜罐IP、攻击者源IP、被攻击端口、伪造的IP、攻击者的MAC地址、以及异常的DNS。值得说明的是,上述显示的数据是本系统综合树莓派蜜罐终端多个底层蜜罐程序的日志数据分析处理后的结果,力图以最简要的信息清晰地反映内网攻击情况。

内网攻击实时展示如下图所示。

image

由上图可知,内网拓扑绘制模块可以实时绘制出内网攻击示意图,并标识出攻击源。图中标识的是当前内网中,IP为192.168.x.169的蜜罐终端检测到了IP为192.168.x.90的计算机正在进行内网攻击。

攻击地图展示如下图所示。

image

由上图可知,攻击地图绘制模块可以在地图上标识出被攻击的蜜罐终端所在地,并显示攻击细节数据。系统根据蜜罐终端所在内网的当前外网IP 171.x.x.x定位到该蜜罐终端部署的地理位置(成都)并在地图上以绿点标识出,光圈闪动表示该蜜罐终端所在内网正在遭受攻击,页面下方的列表滚动显示的是攻击数据细节,和前图内容一致。

预警邮件信息如下图所示。

image

由上图可知,预警模块可快速发送预警信息。

通过实验和测试,对本文设计的基于蜜罐技术的内网安全检测系统分析如下:

(1)该系统能够在实际内网环境中部署并稳定运行;
(2)树莓派蜜罐终端能够正常捕获内网扫描、ARP欺骗和DNS异常等攻击行为;
(3)中心服务器能够对蜜罐终端发送的数据进行快速地分析、展示与预警;
(4)本课题提出的基于蜜罐技术的内网安全检测系统能够实时检测内网攻击行为并进行展示和预警。

测试过程有适当美化....汗

系列文章,未完待续,看这断更的时间...


转载请注明出处 :sosly 菜鸟笔记
https://sosly.me/index.php/2018/03/21/jymiguan6/

也欢迎关注微信公众号:sosly菜鸟笔记
sosly菜鸟笔记微信公众号

发表评论

电子邮件地址不会被公开。 必填项已用*标注