畅聊开源蜜罐识别与全网测绘
发布时间:2022-07-05 15:23:20 所属栏目:安全 来源:互联网
导读:0x01前言 蜜罐是网络红蓝攻防对抗中检测威胁的重要产品。防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。 0x02介绍 蜜罐是一种安全
|
0x01前言 蜜罐是网络红蓝攻防对抗中检测威胁的重要产品。防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。 0x02介绍 蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。 根据蜜罐的交互特征,可以分为低交互蜜罐和高交互蜜罐。后者提供了一个真正的易受攻击的系统,为的就是让攻击者认为自己在攻击一个真实的系统,在一些甲方实际的蜜罐建设中还提出了使用真实的服务组件构建蜜罐系统的想法。低交互蜜罐则没有这么复杂,其提供了一个不完善的交互系统,有的甚至仅仅模拟了一个响应。互联网中的低交互蜜罐大部分为开源蜜罐。由于其特有的开放特性,人们能够对其特征进行识别和规避。 表2-1 本次分析的蜜罐 0x03基于特征的蜜罐检测 3.1 协议的返回特征 部分开源蜜罐在模拟各个协议时,会在响应中带有一些明显的特征,可以根据这些特征来检测蜜罐。 在部分开源的蜜罐中模拟实现部分协议并不完善,我们可以通过发送一些特定的请求包获得的响应来判断是否为蜜罐。 3.2.1 SSH协议 SSH协议(Secure Shell)是一种加密的网络传输协议,最常用的是作为远程登录使用。SSH服务端与客户端建立连接时需要经历五个步骤: 协商版本号阶段。 协商密钥算法阶段。 认证阶段。 会话请求阶段。 交互会话阶段。 SSH蜜罐在模拟该协议时同样要实现这五个步骤。Kippo 是一个已经停止更新的经典的SSH蜜罐,使用了twisted来模拟SSH协议。在kippo的最新版本中使用的是很老的twistd 15.1.0版本。该版本有个明显的特征。在版本号交互阶段需要客户端的SSH版本为形如SSH-主版本-次版本 软件版本号,当版本号为不支持的版本时,如SSH-1.9-OpenSSH_5.9p1就会报错“bad version 1.9”并且断开连接。通过Kippo的配置来看,仅仅支持SSH-2.0-X和SSH-1.99-X两个主版本,其他主版本都会产生报错。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号