ipv6环境下蜜罐系统的研究与应用 56页

西安电子科技大学学位论文独创性(或创新性)声明秉承学校严谨的学分和优良的科学道德，本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。·申请学位论文与资料若有不实之处，本人承担一切相关的法律责任。本人签名：关于论文使用授权的说明本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。同时本人保证，毕业后结合学位论文研究课题再攥写的文章一律署名单位为西安电子科技大学。(保密的论文在解密后遵守此规定)本学位论文属于保密，在一年解密后适用本授权书。导师签名：，茅乏F吾多日期中／。‘ 摘要4llllIII11111111IIIIUlY1865879随着Internet的蓬勃发展，各种入侵事件与入侵手法层出不穷，引发了一系列的安全问题。入侵检测系统作为一种积极主动、实时动态的网络安全防范技术，越来越受到人们的关注。它通过收集、分析计算机网络或系统中若干关键点数据以判断是否有违反安全策略的行为和被攻击的迹象，帮助系统对付网络攻击，扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性，从而提供对内外攻击和误操作进行实时保护。本论文在掌握IPv6网络攻防策略及蜜罐系统的基本原理的基础上，研究并设计一个在IPv6下基于蜜罐技术的相对可信的网络入侵检测系统模型，主要目的是部署到互联网环境中捕捉并研究黑客的活动，为构建“安全、信任"的下一代互联网体系结构提供依据。本文研究一个IPv6环境下的基于蜜罐的入侵检测系统并予以实现。IPv6试验床采用中国教育科研网的下一代互联网CERNET2实现(支持双栈)，主机系统为WindowsServer2003，基于sniffer类监控的蜜罐，并在此基础上对扫描、拒绝服务攻击等入侵行为进行数据捕获，并作出IPv6数据包分析。关键词：下一代互联网蜜罐入侵检测系统扫描 AbstractWiththevigorousdevelopmentofInternet，allkindsofintrusionsandintrusionpracticesareemerging，andtriggeringaseriesofsecurityproblems．IntrusiondetectionsyStemsasaproactive，real—timedynamicnetworksecurityprevennontechnologles，moreandmorearefocusedon．itdetermineswhetheraviolationofsecuritypolicybellavior跚ldsignsofattackbycollecting，analyzinganumberofkeypointsofthe讹incompmernetworkorsystem，andhelpthesystemdealwithnetworkattacks，expandthesystemadministrator"ssecuritymanagement．capabilities，xrnproveinfIonnationsecurityinfrastructureintegrity．therebyitCanprovideinternalandexternalattacksandmisuseinreal—timeprotection．Inthispaper，basedgraspingIPv6networktheoffensiveanddefensivestrategiesandthebasicprinciplesofhoneypotsystems，thesystemmodelBasedontherelativecredibilityofhoneypottechnology，networkintrusiondetectioninIPv6．isresearchedanddesigned,themainpurposeiscaptureandstudytheactivitiesofhackers，todeploytheInternetenvironmentandforbuildingnext”securityandtrust”generationInternetarchitecturetoprovidethebasisInthispaper，anIPv6environmentbasedhoneypotIntrusionDetectionSystemisI．esearchedandrealized．IPv6testbedareimplementatedbytheChinaEducationandReseal℃hNetworkoftheNextGenerationInternetCERNET2(supportedd砌．stack)．thehostsystemisWindowsServer2003，usingsnifferhoneyoot，andbasedonthiscapturedataofintrusionbyscanningvulnerability，denyofserviceandanalysisIPv6packet．Keywords：IPv6honeypotIntrusionDetectionSystemscan 目录第一章绪论⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．11．1课题的提出⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯1l-1．1下一代Intemet协议IPv6⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．11．1．2我国IPv6的研究内容⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．21．1．3未来网络安全防御策略⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯31．2课题的研究意义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．41．3本课题的研究内容及成果⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．5第二章入侵检测技术及蜜罐系统⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．72．1入侵检测系统概况⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯72．1．1入侵检测系统的分类⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯72．1．2传统入侵检测技术⋯⋯⋯⋯⋯⋯⋯⋯．．：⋯⋯⋯⋯⋯．．82．2入侵检测技术研究现状⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．82．2．1理论模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯82．2．2系统原型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯92．2．3遇到的问题⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯1l2．3IP＼，6入侵检测⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．112．4网络欺骗与蜜罐⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．12第三章IPv6蜜罐入侵检测系统解决方案⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯153．1搭建基于CERNET2下的IPv6试验床网络环境⋯⋯⋯⋯⋯⋯⋯．153．1．1申请地址空间和接入点⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯193．1．2配置IPv6主机⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．233．2蜜罐入侵检测模型特点分析⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯263．2．1对蠕虫请求的回应⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯263．2．2基于IPv6的蜜罐入侵检测系统方案及其优点⋯⋯⋯⋯⋯⋯．．273．3蜜罐入侵检测模型搭建⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．283．3．1蜜罐系统体系结构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．283．3．2Honeyd虚拟蜜罐技术⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯293．4基于sniffer类监控的蜜罐入侵检测模型搭建⋯⋯⋯⋯⋯⋯⋯⋯31第四章蜜罐入侵检测分析系统的实现⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．35 2目录4．1漏洞扫描测试⋯．⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．354．2I～ICP扫描测试⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．364．2．1基于IMCP协议的PING6测试⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯364．2．2攻击数据捕获通过蜜罐网关对IMCP攻击的数据进行测：⋯⋯⋯．374．3攻击事例分析：⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．39第五章总结与展望⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．435．1论文的主要工作⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．435．2对后续工作的展望⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．44致谢⋯⋯⋯．．⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．45参考文献⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．47 第一章绪论1．1课题的提出1．1．1下一代Intemet协议IPv6IPv6是继IPv4以后的新版Intemet协议，也可以说是下一代Intemet的协议。它的提出原因颇多，主要有地址枯竭、网络号码匮乏、路由表急剧膨胀三大问题，还有天生缺陷：网上多媒体信息传输问题、移动用户接入问题、海量嵌入式设备接入web的问题、QoS问题、安全问题⋯⋯等掣¨。专家预言，如不采取措施，Intemet可能在地址枯竭之前就会瘫痪。为了彻底解决Pv4存在的问题，必须研究开发下一代口协议和实施下一代互联网工程(NGI)。IPv6协议最显著的特征是由‘128位的地址空间替代DV4的32位地址空间来提高下一代互联网的地址容量，从而可以为地球上所有想接入互联网的实体分配全球唯一的IPv6地址，这些实体可以是PC机、笔记本电脑、PDA、PocketPC、手机、汽车以及将来可能入网的各种家用电器和传感器等。同时，IPv6地址的全球唯一性保证了Ⅲ协议端到端的特性，使得“AlwaysOn"’(永远在线)的梦想成为可能【2】。此外，IPv6还采用分级地址模式、高效IP包头、服务质量、主机地址自动配置、认证和加密等许多技术。下一代互联网(Intemet2)将以IPv6协议为基础。IPv6的地址变化不是简单意义上的规模扩大，更是对原有地址结构的修改。IPv6的地址结构可以提高选路效率，从而减轻路由器负担，提高数据吞吐量，这对于大数据量的传输是必须的。此外，IPv6加强了组播功能。组播的意义在于只有用户加入相应的组播组才能收到发给该组的信息，而且组播组的范围可以包括同一本地网、同一机构网、甚至IPv6全球地址空间中的任何位置的节点，这就为网络多媒体信息服务提供了更大的灵活性。随着IPv6技术和支持IPv6产品的成熟，pv6最终完全取代IPv4的日子不会太久，人类不久将进入以IPv6为基础核心技术，比当今运行的互联网具有更高性能，网速是现在互联网的100．1000倍的下一代互联网时代。 2一IPv6环境下蜜罐系统的研究与应用1．1．2我国IPv6的研究内容IPv6是一个巨大的工程，现今许多国家对IPv6的研究都进行得如火如荼，这其中，美国国防部全面部署IPv6的决策动作大、投资足、目标明确、安排具体，把原是民用技术的IPv6坚决地用于下一代军网，反过来这一举措也对产业界产生了重大影响。就在美国国防部备忘录出台两周后，日本NTTCom在美国的子公司-NTT／Verio于2003年6月25日宣布将在美国首先推出商用的IPv6业务，这种种迹象显示各个国家都明白：谁能够率先在IPv6方面有所作为，谁就能够在未来的竞争中站住有利位置；谁能在这场网络革命当中占得先机就能够谋求个方面的巨大利益。一直以来大多数国家在获取口地址时，都受限制于美国，甚至有些国家所有分配的P地址总数还不及美国一所大学所得到的口地址总数，为了更少的受控于美国，我国于1998年开始IPv6研究，中国教育科研网(CERNET)是我国最早研究IPv6的单位。CERNET网络中心于1998年加入6bone并成为其骨干网成员，1999年在中国教育网范围内组建了IPv6试验床，同时进行了有关IPv6各种特性的研究与开发。1999年，北京英纳特网络研究所(BII)开始进行IPv6的研究，加入6BONE，最早建成了商业IPv6试验室。1999年12月，CERNET与NOKIA可作，启动了Intemet计划。国内的另外一个IPv6试验网络是6TNET，由信息产业部电信研究院于2002年负责建设。国家科技部在“国家863计划’’中也明确提出要大力发展IPv6研究与开发，并组织了多个课题进行招标，配套了发展IPv6的专项基金。现阶段，国内上百所大学已经开展了IPv6研究并建立了自己的试验平台，并且取得了一定的成果。典型代表如下：1．高性能IPv6路由器基础平台及实验系统该课题的目标是研制达到国际先进水平的高性能IPv6路由器基础平台系统。基础平台系统的端口容量将达到40""--160Gbit／s，实现IPv6硬件线速转发，支持业务流优先级分类，路由转发表容量大于1M，可根据用户需求灵活配置接口等。该课题还要求自主开发路由器核心芯片以解决高性能路由器“无芯”的问题。2．高性能IPv6路由器协议栈软件该课题的目标是研究开发具有完全自主知识产权和良好可移植性、能在多种主流实时操作系统上运行的IPv6协议栈软件。该课题设置的目的，就是要解决长期以来国产网络设备的协议处理软件依靠国外产品的被动局面问题。3．IPv6协议测试技术该课题的目标是研究IPv6协议的测试技术和方法，开发协议一致性及有效 第一章绪论性测试软件，研制协议测试系统。4．T比特高性能IPv6／v4双协议栈路由器该课题的目标是研究支持IPv4／v6协议、可扩展到Tbit／s的高性能路由器基础平台关键技术，包括可扩展的系统结构、高速接口、大容量交换网络、转发引擎、存储管理与队列调度等。研制一套路由器基础平台系统，硬件实现IPv4／v6包的线速转发，支持服务质量控制、MPLS及组播等。5．新一代互联网技术综合实验环境该课题的目标是研究基于先进结构和模块化技术的网络新技术实验环境，建立网络新技术研究的柔性综合实验和验证环境，支持新一代高性能网络互联设备的体系结构及实现技术研究，支持网络设备的实时操作系统，网络新协议、新业务，服务质量控制机制和算法的研究、开发、测试和验证，探索新型网络的体系结构、行为特征和实现技术。1．1．3未来网络安全防御策略本文侧重研究在入侵检测的基础上对网络攻击行为实现入侵诱骗，并且在IPv6环境下架构蜜罐系统来对IPv6入侵技术进行研究。诱骗入侵者对其进行攻击或在检测出对实际系统的攻击行为后，将攻击重定向到该严格控制的环境中，从而保护实际运行的系统；同时收集入侵信息，借以观察入侵者的行为，记录其活动，以便分析入侵者的水平、目的、所用工具、入侵手段等，并为入侵响应以及随后可能进行的对入侵者的法律制裁提供证据。入侵者一旦发现自己被识破后，就会寻求新的手段进行攻击，使被攻击者防不胜防，为此不断寻找新的防御技术，研究新的网络安全技术是迫切需要解决的问题。目前的网络安全解决方案大多采用被动防御策略，一般将防火墙作为安全的第一道防线，通过防火墙对外部非授权用户的访问进行有效控制，在内外网之间提供安全保护。将入侵检测系统(IDS)作为第二道防线，实时分析和检测网络的数据包，及时发现网络攻击行为并作出响应，弥补防火墙的不足，对被动防御策略进行了一定的逻辑补偿13]。近年来，一种新型的主动防御技术——入侵诱骗技术，逐步引起网络安全工作者的关注。入侵诱骗技术将传统攻击手段中的欺骗技术引入安全防御领域，从一个新的角度去解决网络安全问题，能够牵制和转移入侵者的活动，对入侵者的攻击手段进行技术分析，对网络入侵进行取证甚至对入侵者进行跟踪，充分体现了主动防御的思想，实现了对传统被动防御策略质量的突破。 4一IPv6环境下蜜罐系统的研究与应用入侵诱骗技术是网络安全理论中一个新的研究领域，是对现有安全体系的一个扩充，具有较广阔的应用前景。入侵检测系统能够实时地检测网络信息，防止入侵者的恶意攻击。但这始终是种被动的局面：如果网络处于安全状态下(即无入侵者)，入侵监测系统仍将收集大量与系统正常业务无关的数据，并对此数据进行分析，占用了系统资源，对系统安全帮助不大；如果网络遭受到入侵者的攻击，系统也会像上述情况那样工作，没有适时加大监控的程度，即对网络所遭受的安全威胁程度不敏感。为了节省不必要的系统资源浪费，在遭受攻击时又能强化入侵检测系统的功能，必须引入一种可根据网络安全状态，动态调整实时监控程度的技术。入侵诱骗技术就是这样一种技术，它位于内部网内，模拟内部网的日常活动，进行常规工作，把入侵者的火力吸引到自己身上，从而达到保护内部网其它主机的作用，是入侵检测技术的延伸。入侵诱骗技术可基于“HoneyPot”理论【4】。其重点是诱骗、吸引、继而监视入侵者，并在实际运行的系统中防止这样的攻击。当前对“HoneyPot”的研究正处于探索阶段，没有成熟的理论、模型，研究者们只是提出了一些具体的实现方法【5。7】。但这些方法提供的欺骗质量普遍较差，而且是一种请君入瓮的方法，是通过把系统的脆弱性暴露给入侵者或是故意使用一些具有强烈诱惑性的信息的假信息来诱骗入侵者，这样虽然可以对入侵者进行跟踪，但也引来了更多的潜在的入侵者。而更进一步，应该是在实际的系统中运行入侵检测系统，当检测到入侵行为时，才进行入侵诱骗，这样才能更好地保护自己。目前的研究大多集中于入侵检测，而在入侵诱骗方面研究则很少。1．2课题的研究意义下一代互联网络是未来信息社会的制高点，对国家整体竞争力的提高，对社会经济、政治、军事和文化发展都具有十分重要的意义。以IPv6为核心形成的通信产业将是未来最大的IT产业，初步预计的市场价值将超过1万亿美元【8】。下一代互联网对于世界上的其他国家而言，是一次宝贵的机遇。英国、德国、法国、日本、加拿大等发达国家除了拥有政府投资建设和运行的大规模教育和科研网络之外，都对研究下一代互联网进行了巨资投入。其中最为积极的当属日本，日本政府和众多企业决心在新世纪把宝押在3G和IPv6上，并以此为契机，使日本重新成为全球最先进的IT国家之一。日本政府已经设定2005年是在公用网与专用网中实施IPv6的最后期限，并期望在未来的互联网设备市场占据较大的份额。由于历史的原因，我国在IPv4研究中没有发言权，造成目前我国口地址相当困难，资源缺乏的问题日益突出，严重限制了我国的信息化和产业化发展【9J。我国应吸取过去的教训，组织力量进行研究开发和大面积的商用试验，缩小与国际一 第一章绪论流水平的差距，并通过这一项目培养大批人才，为我国网络技术、产业发展和国家信息化的可持续发展提供保证。我省“校园网IPv6示范工程”以贵州CERNET2城域网节点工程组网规划研究为着眼点，以应用推动网络建设，开发具有自主知识产权的应用软件，开展网络技术和业务试验，掌握IPv6网络的组网关键技术为重心。同时带动贵州的教育科研网的全面改造，达到宝贵信息资源共享，带动全省教育信息化建设，促进我省信息化和IT产业化进程l】oJ。入侵检i91,U(IntrusionDetedion)是对入侵行为的发觉，它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem，简称IDS)。但是传统意义上的网络入侵检测比如基于数据挖掘的入侵检测等只能检测到已知类型的攻击和入侵，对未知类型的攻击则无能为力。入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。主要包括蜜罐(Honeypot)和蜜1网(Honeynet)两种。它是用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析，并找到有效的对付方法。蜜罐fHoneypot)技术目前已经成为入侵检测技术的一个重要发展方向。目前在IPv6下对蜜罐系统的研究还比较少，本课题就是研究一个IPv6环境下的基于蜜罐的入侵检测系统并予以实现。1．3本课题的研究内容及成果本论文主要针对下一代(IPv6)网络协议、安全主动防御中的入侵诱骗技术进行了研究，系统分析了IPv6协议并与IPv4进行比较，介绍了网络安全防御技术、网络入侵检测技术和蜜罐技术，对己有入侵诱骗技术进行了分类研究，对网络入侵诱骗的体系结构和模型进行了分析，在此基础上提出了一个基于IPv6网络的蜜罐入侵系统的网络安全解决方案，最后就系统进行了测试与分析。作者所做的主要工作包括：(1)通过贵州大学实验室网络配置共享IPv6资源，IPv6主机，搭建了小型的纯IPv6试验网，并且在此基础上进行了IPv6网络系列试验，如IPv6Router、IPv6／IPv4tunnel、双栈协议、DNS服务器等，获得了大量的实践经验和试验数据(2)通过贵州大学实验室网络连通Cemet2，共享IPv6资源。并研究分析IPv6的安全协议IPsec，完成口认证标头和封装安全载荷的测试，完成IPv6互联网安全隐患和脆弱性机理分析报告，同时研究IPv6ISPEC以及IPv4与IPv6在协议上的区别和联系 皇IPv6环境下蜜罐系统的研究与应用———————————————————————————————————————————————一(3)搭建蜜罐入侵检测模型并在在此模型基础上，基于VMware(中文名称：威睿)虚拟机软件环境，采用由中国蜜网项目组提供的开源蜜网软件Honeyd，来完成本次试验模型的验证。(4)在IPv6环境下搭建蜜罐模型，就蜜罐陷阱进行攻击，获取有效的入侵数据信息，并就获得数据进行分析。(5)比较入侵监测系统与蜜罐系统的理论模型 第二章入侵检测技术及蜜罐系统随着Intemet的蓬勃发展，各种入侵事件与入侵手法层出不穷，引发了一系列的安全问题。入侵检测系统作为一种积极主动、实时动态的网络安全防范技术，越来越受到人们的关注。它通过收集、分析计算机网络或系统中若干关键点数据以判断是否有违反安全策略的行为和被攻击的迹象，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高信息安全基础结构的完整性，从而提供对内外攻击和误操作的实时保护。特比地，随着下一代网络中IPv6安全机制的引进，网络层的安全性得到增强，IPv6安全机制的应用对传统入侵检测系统也提出了新的要求和挑战。2．1入侵检测系统概况2．1．1入侵检测系统的分类．根据不同的分类标准，入侵检测系统可以分为不阔的种类。按照监测数据的来源，入侵检测系统分为基于主机的入侵检测系(Host．BasedIntrusionDetectionSystem)和基于网络的入侵检测系统(Network．BasedIntrusionDetectionSystem)。前者通常从主机的审计记录和日志文件中获得所需的主要数据来源来查找已知的和值得怀疑的攻击模式。后者一般利用网络适配器检查、分析所有通过网络传输的递信过程发现当前发生的攻击行为。按照所采用的检测手段，入侵检测系统可分为基于异常的入侵检测系统(Anormaly-basedIntrusionDetectionSystem)和基于误用的入侵检测系统(Misuse．basedIntrusionDetectionSystem)。前者利用统计理论提取用户或系统正常行为的特征轮廓，诸如主体变量的频度、均值、方差等，通过对提取数据的统计处理与正常行为的系统统计特性相比较，判断入侵是否发生主要方法有统计方法、预测模式生成法和神经网络法。后者利用具备的知识库，通过对当前的系统行为方式进行分析飞对比以判断入侵行为发生与否，常用方法有专家系统、基于模型的入侵检测和状态转换分析。 IPv6环境下蜜罐系统的研究与应用2．1．2传统入侵检测技术模式匹配是第一代IDS和第二代IDS使用的技术，这种技术是对所有网络数据包与攻击数据库的攻击特征进行匹配，依次来判定数据包中是否有攻击存在。即使在目前，入侵检测系统广泛采用的都是技术已相当成熟的模式匹配技术。典型的模式匹配算法有BruteForce算法．Boyer-Moore算法、Aho—Corasick算法、Set-wiseBoyer-Moor-Horspool算法和Aho—Corasick．Boyer-Moore等。协议分析(ProtocolAnalyzing)是新一代IDS探测攻击手法的主要技术。它利用网络协议的高度规则性，并运用这种知识快速探测攻击的存在。这种高度有效的技术导致计算大量减少，即使在高负载的网络上，也可以完全探测出各种攻击，并对其进行更详细的分析而不会丢掉任何数据包。2．2入侵检测技术研究现状随着网络攻击的花样翻新，相应的网络安全技术也不断地出现，但是不管网络安全技术如何创新，检测和防御将始终是其焦点问题。主流技术入侵检测一直是网络安全研究的重点，从基于主机的入侵检测系统(HIDS)到基于网络的入侵检测系统(AIDS)乃至较为先进的分布式入侵检测系统(DNIDS)来看，入侵检测技术的研究己经走过了一段相当长的路程，如今，基于各种新技术的入侵检测系统也相继出现。目前国际上入侵检测的研究主要集中在美国，有许多研究得到政府和军方的支持，并在实际环境中应用【ll】【1引，而且还有大量的商用入侵检测工具如NFR公司(NetworkFlightRecorder，Inc)的入侵检测系统——IDA(IntrusionDetectionAppliance)等。不过，现在很少有IPv6环境下的入侵检测系统(NIDS)的研究和成果，主要原因是当前对这种IDS产品的需求还相对较少。尽管关于IPv4的资源耗尽的讨论非常热烈，但是积极投入到IPv6的开发和研究当中去的国家和研究机构并不多见，IPv6环境下的入侵和防御的研究亦相对少。2．2．1理论模型在理论模型方面，D．Denning最早提出了IDES(IntrusionDetectionExpertSystem)入侵检测模型，它使用一个在当时说来是创新的统计分析算法来进行非规则入侵检测以及一个专家系统对已知的入侵攻击模式进行检测。StevenR．Snapp等人在设计与开发分布式入侵检测系统DIDS(DistributedIntrusionDetectionSystem)时，提出了一个层次化的入侵检测模型，简称IDM(IntrusionDetection 第二章入侵检测技术及蜜罐系统9一Model)，通过采用将分布式系统看作一台虚构的计算机的观点简化了跨越单机入侵行为识别的问题，该模型也应用于只有单台计算机的小型网络。NorthCarolinaStateUniversity的XiaoLiangZhao等人从网络管理的角度考虑IDS的模型，提出了一种基于SNMP(SimpleNetManagementProtoc01)的IDS模型，简称SNMP．IDSM，它定义了用来描述入侵事件的管理信息库MIB(ManagementInformationBase)，并将入侵事件分成原始事件(RawEvent)和抽象事件(AbstractEvent)两层结构，从而试图在IDS系统之间顺利交换消息实现分布式协作检测113|。在网络环境下，IDES模型存在局限性。例如：它无法准确描述包括远程泪滴Teardrop攻击在内的许多网络攻击行为；它对复杂攻击行为如协作式攻击等无法描述攻击者的操作过程；它保护的主机数目有限且信息来源狭窄。因此，必须扩展为可以对整个子网进行入侵检测的网络入侵检测模型。IDM模型存在部分信息丢失等问题。由于SNMP不是专门为入侵检测系统通信设计的，SNMP—IDSM模型的适用范围和组件通信的安全性与效率也受到制约。2．2．2系统原型在系统原型方面，网络系统监视器NSM(NetSystemMonitor)由加利福尼亚大学Davis分校开发，是入侵检测系统第一次监视网络流量并把流量做为主要数据源。在此之前，大多数的入侵检测系统的信息来自操作系统审计踪迹数据或键盘输入监视。NSM在入侵检测历史上是一个具有重要意义的里程碑。WisdomandSense由LosAlamos国家实验室的防卫和安全小组以及OakRidge国家实验室合作开发的，它所采用的统计及基于规则的分析与当时其它系统有很大不同，它采用的是无参数统计技术(无需实现假定数据分布的统计技术)，从存储检索的审计数据中导出自己的规则集。这些规则集从观察到的历史审计数据中定义正常行为，为入侵检测系统判断网络事件是否异常提供依据。NSM及其以后大多数基于网络流量的入侵检测系统一样，只能在P层进行数据分析，无法对采用了“拆包攻击"的入侵手段进行正确检测。WisdomandSense则有很多缺陷，包括：它的误警率非常高；在审计数据中产生已知无入侵的可靠学习集非常困难；原型系统由于管理容纳庞大的规则集所需的内存很困难而变得不稳定。在入侵检测的标准化制定方面，试图对IDS进行标准化的工作有两个组织：IETF的IntrusionDetectionWorkingGroup(IDWG)和CommonIntrusionDetectionFramework(CIDF)。CIDF由S．StanifordChen等人提出，定义了检测体系结构、入侵描述语言规范和应用程序接口规范。IDWG已经完成了入侵检测消息交换需求、入侵检测消息交换数据类型、入侵报警协议和基于XML的入侵检测消息数据模型等文档。上述检测协议只是草案，至于这些协议将来能否成为Intemet标准尚未确定。国内在入侵检测技术 lOIPv6环境下蜜罐系统的研究与应用方面的研究和系统开发还只是刚刚起步。虽然已经有一些单位开始从事入侵检测产品方面的研究并取得了一定的成果，但总的来讲，还没有达到国外同类技术的水平，也没有自己的核心技术。而且，我国计算机系统及网络以国外产品为主，软硬件系统中难免也存在各种潜在威胁和安全“陷阱"(诸如操作系统后门、路由器漏洞等)。利用这些设备建立的网络系统在其安全性方面得不到根本性的保障。因此，迫切需要在入侵检测方面进行基础理论的进一步研究以提高我国自主的网络安全保护水平。部分检测系统实用产品目前发展比较成熟的入侵检测系统主要有：国外产品：(1)Cisco公司的NetRanger1996年3月，meelGroup基于多年的业界经验推出了NetRanger。产品分为两部分：检测网络包和发告警的传感器，以及接收并分析告警消息和启动对策的控制器。NetRanger的一个强项是在其检测问题时不仅观测单个包的内容，而且还看上下文，即从多个包中得到线索。这是很重要的一点，因为入侵者可能以字符模式存取一个端口，然后在每个包中只放一个字符。如果一个监测器只观察单个包，它就永远不会发现完整的消息。(2)IntrusionDetection公司的KaneSecurityMonitor基于主机的KaneSecurityMonitor(KSM)forNT是1997年9月推出的。它在结构上由三部分组成，即一个审计器、一个控制台和代理。代理用来浏览NT的日志并将统计结果送往审计器。系统安全员用控制台的GUI界面来接收告警、查看历史记录以及系统的实时行为。KSM在TCP／IP检测方面特别强，但是IntrusionDetection的产品不是为较快的广域网设计的。(3)NetworkSecurityWizards公司的DragonIDSNetworkSecurityWizards是一家新进入IDS市场的公司。Dragon是一个非常原始的攻击，如果用户十分在意入侵检测的健壮性并且对易于使用要求不高的话，Dragon还是一个不错的选择。Dragon能够处理碎片重组。它不仅能够无错地重组碎片，而且即使当网络占用率打70"--80％时仍然性能不减。NSW声称它在Dragon中部署了许多功能盒，这些功能盒能够以130Mbps的速率运行。国内产品：(1)中科网威的“天眼"入侵检测系统中科网威信息技术有限公司的“天眼”入侵检测系统、“天眼”网络安全漏洞检测系统是国内少有的几个入侵检测系统之一。它根据国内网络的特殊情况，由中国科学院网络安全关键技术研究组经过多年研究，综合运用了多种检测系统成果研制成功的。它根据系统的安全策略作出反映，实现了对非法入侵的定时报警、记录事件，方便取证，自动阻断通信连接，重置路由器、防火墙，同时及时 第二章入侵检测技术及蜜罐系统发现并及时提出解决方案，它可列出可参考的全热链接网络和系统中易被黑客利用和可能被黑客利用的薄弱环节，防范黑客攻击。该系统的总体技术水平达到了“国际先进水平”(1998年的关键技术“中国科学院若干网络安全"项目成果鉴定会结论)。(2)启明星辰的SkyBell启明星辰公司的黑客入侵检测与预警系统，集成了网监听监控、实时协议分析、入侵行为分析及详细日志审计跟踪等功能。对黑客入侵能进行全方位的检测，准确地判断上述黑客攻击方式，及时地进行报警或阻断等其它措施。它可以在Intemet和Intranet两种环境中运行，以保护企业整个网络的安全。该系统主要包括两部分：探测器和控制器。探测器能监视网络上流过的所有数据包，根据用户定义的条件进行检测，识别出网络中正在进行的攻击。实时检测到入侵信息并向控制器管理控制台发出警告，由控制台给出定位显示，从而将入侵者从网络中清除出去。探测器能够监测所有类型的TCP／IP网络，强大的检测功能，为用户提高了全面有效的入侵检测能力。2．2．3遇到的问题作为网络安全的重要组成部分，网络入侵检测软件随着网络规模和复杂程度的不断增长，也面临着若干重要的挑战【14．161。由于攻击者不断增加的知识，日趋成熟的多样自动化攻击工具，以及越来越复杂细致的攻击手法，不断增大的网络流量对系统的要求提高，现有的网络入侵检测系统还存在相当多的问题。主要有：(1)还没有一个可以被广泛接受的网络入侵检测数学模型；(2)攻击者拆分口包会使传统的根据特征匹配的方法失效；(3)预警能力严重受限于攻击特征库，缺乏对未知入侵的预警能力；(4)还无法做到对分布式、协同式攻击等复杂手段的快速准确检测及攻击源定位；(5)对网络攻击作出反应的实时性有限。2．3IPv6入侵检测作为IPv6的一个组成部分IPsec协议实现了基于网络层的身份认证，但由于IPsec是网络层协议，它只负责其下层的网络安全，因此在IP层以上以及网络应用软件中存在的漏洞和缺陷仍然存在。IPv6只是在IP层对原有的网络协议进行了改造和扩展，而没有对其他协议层进行构造。在IPv6普及之后，其他协议层存在的攻击行为很容易移植 12IPv6环境下蜜罐系统的研究与应用到IPv6上来。例如，TCP层的Synfln等攻击行为，还有HITP服务器存在的漏洞等。所以需要基于IPv6网络的入侵检测系统协助实现网络安全。IPv6的安全机制也对现有的网络安全体系提出了新的要求和挑战：(1)IPv6下由于IPsec的加密功能提供的是端到端的保护，并且可以任选加密算法，且密钥不公开，所以入侵检测系统无法解密，更无法知道TCP／UDP端口号。因此，入侵检测系统对被加密的IPv6数据元法分析。(2)IPv6与IPv4相比，其报头位置发生了很大的变化。口报头与TCP／UDP报头之间常常还存在其它的扩展报头，如路由选项报头、AHlESP报头等。要对数据包进行过滤就必须逐个找到下一个报头，直到TCP／UDP报头为止，这对入侵检测系统的处理能力和护理速度会有很大的影响。综上所述，传统口V4环境下的入侵检测系统不能有效的检测IPv6数据包，这就需要提出一种高效的基于IPv6网络的入侵检测系统模型。针对IPv6的特点，文献[13]提出一种将协议分析技术与模式匹配技术进行融合的IPv6网络入侵侵检测系统框架。其基本思想是：捕获目标地址属于受保护网络的数据包，送往协议分析模块，通过具体协议字段判断各层协议，送往相应的协议解析器，解析数据包的数据部分，再根据特征库中的模式进行模式匹配，判断该数据包是否有入侵企图，最后由事件响应模块对该数据包做出相应的响应。由于协议分析技术是利用网络协议的高度规则性，对各层协议的解析结果进行逐层分析从而快速探测攻击的存在。这种高度有效的技术导致计算大量减少即使在高负载的网络上．也可以完全探测出各种攻击并对其进行更详细的分析而不会丢掉任何数据包。此结构与传统的模式匹配技术相比，协议分析技术在准确性和整体性等方面都有一定优势川所以在处理IPv6报头时采用协议分析技术，在处理数据部分时采用成熟的模式匹配技术，能够充分发挥二者的优点，提高监测效率。2．4网络欺骗与蜜罐蜜罐(HoneyPot)系统是放在网络中用来诱骗入侵者的一个程序，一台机器或一个系统。其思想就是通过设法使蜜罐看起来更象一个正常使用的系统而欺骗攻击者。它通常是虚拟机，通过模拟运行服务和开放端口来模拟真实机器。这些运行服务是用来吸引攻击者的注意力从而使得他们花费大量的时间和资源来试图攻陷该主机。与此同时，攻击者的行为已经处于监视之下而且被蜜罐系统所记录。蜜罐系统分为两大类：一种是只发现入侵者而不对其采取报复行动，另一种是同时采取报复行动。后者的例子如：有些蜜罐陷阱程序可以通过在防火墙中将入侵者的IP地址设置为黑名单来立即拒绝入侵者继续进行访问。拒绝不友好的访 第二章入侵检测技术及蜜罐系统问既可以是短期的，也可以是长期的。Linux内核中的防火墙代码非常适合于这样做。从原理上讲，每个有价值的网络系统都存在安全弱点，而且这些弱点都可能被入侵者所利用，而一般的入侵检测技术对没有先验知识的攻击方式的防护效果并不理剁17】。为了解决这一矛盾，近年来，网络欺骗技术作为入侵检测技术的重要组成部分而得到了迅速发展。它不仅可以迅速地检测到入侵者的攻击并获得其进攻技术和意图，而且可以影响入侵者的意志及消耗入侵者的资源。理想情况下，蜜罐系统能提供一种这样的欺骗环境，在入侵产生严重后果前让攻击者落入陷阱。蜜罐并不是使用它来直接抓获攻击者，而是通过它知道攻击者在无防备的情况下如何工作，攻击者在蜜罐中呆的时间越长，他们所使用的技术就暴露的越多，而这些信息可以被用来评估他们的技术水平，了解他们所使用的攻击工具【l81。通过学习他们使用的工具和思路，可以更好的保护系统和网络。网络欺骗的主要代表有早期的蜜罐和后来的分布式蜜罐。分布式蜜罐将欺骗散布在网络的正常系统和资源中，增大了入侵者遭遇欺骗的可能性。但分布式蜜罐也有它的局限性，主要表现在只对远程扫描有效。网络流量仿真、网络动态配置、多重地址转换、组织信息欺骗和P陷阱是有效增强蜜罐的网络欺骗质量的几种方法。然而，面对网络攻击技术的不断提高，一种网络欺骗技术肯定不能总是成功，必须发展新的网络欺骗技术提高欺骗质量才能更好的发挥蜜罐系统的功能0％22】。蜜罐提供了很多服务，但它们一般不会向外部互联网提供服务，因此也就不能由防火墙转发数据。蜜罐的部署位置有两种，如图2．1所示。一般将蜜罐放置于防火墙之内，如要允许来自互联网的访问，就要调整防火墙规则。一旦外部攻击者攻陷了内部的蜜罐，问题就会出现了，因为他可以通过蜜罐访问内部网络。防火墙也不会挡住这样的数据包，因为它认为这是蜜罐的数据，这样如何保证内部蜜罐的安全就显得尤为重要，尤其当采用高级别蜜罐时，更是如此。在防火墙之内放置蜜罐的好处，一个是可以检测出防火墙的错误配置，还有是它能够探测出内部攻击。这都能够加强内部网的安全性。．蜜罐在物理上是一台单独的机器，可能会运行着多个虚操作系统，但它不能控制外发的连接，因为数据包是直接进入网络的。在这种情况下，为了限制外发数据包就必须要使用防火墙，这种复杂些的环境被称为陷阱网络。一个典型的陷阱网络包含多个蜜罐和防火墙来限制和记录网络数据包。在这种陷阱网络里，经常用入侵检测系统来观察潜在的攻击，并将信息记录下来。蜜罐的拓扑结构示意图2．2所示。将蜜罐放在防火墙之内的部署这种方式，外部网络对蜜罐的危害就可以减少，防火墙可以控制网络的流量、进入和外出的连接，捕获的数据也可以不放在蜜罐上，这样也就不会被攻击者探测出这些数据。 一14IPv6环境下蜜罐系统的研究与应用 第三章IPv6蜜罐入侵检测系统解决方案旦本系统的实现是基于贵州大学CERNET2的IPv6网络环境下，搭建蜜罐入侵检测模型，并对该模型的特点进行分析。3．1搭建基于CERNET2下的IPv6试验床网络环境‘基于实验室现有设备和资金方面的考虑，在IPv6实验室主要以pc机模拟试验设备为主，这样既可以满足试验需要又可以以最小的资金投入实现小型IPv6试验室。IPv6网络的规划和IPv4网络的规划在内容上是基本一致的。规划应以层次结构的清晰为第一位的原则；注重对于规划的可扩展性的考虑——尤其对于试验网络，实践过程中的调整和变化几乎是一定存在的。构建IPv6蜜罐系统，首先要搭建IPv6试验床，根据本地试验床条件，采用贵州大学在CERNET2上已经获得了一个NLA2ID，本实验建立IPv6终端站点的地址向贵州大学网络中心申请，由贵州大学网络中心IPv6试验床提供。1．CERNET2简介CERNET2是我国下一代互联网研究与建设的先行者，近几年来承担了中国高速互联研究试验网NSFCNET，863一IPv6综合实验环境，CERNET—IPv6试验网，中日IPv6合作研究等一批我国下一代互联网的试验和研究项目，推动了我国下一代互联网的研究和技术进步。CERNET2主干网于2004年12月底初步建成。它的大部分采用了我国自主研制具有自主知识产权的世界上先进的IPv6核心路由器，连接了全国20个主要城市的25个CERNET2主干网的核心节点和近百所高校和科研单位，成为目前世界上规模最大的纯IPv6下一代互联网主干网，也为我国基于IPv6的下一代互联网技术研究提供了广阔的试验环境。如图3．1为CERNET2网络拓扑图结构。2．CERNET2关键技术开发试验大规模路由研究与试验；大规模、多种类网络终端接入试验；兼容性与互通性研究与试验；端到端高性能传输研究与试验；大规模组播服务研究与试验；端对端服务质量控制研究与试验； 16IPv6环境下蜜罐系统的研究与应用CERNET2Baokbone图3．1CERNET2网络拓扑图网络抗攻击和安全防护技术研究与试验；大规模无线和移动漫游研究与试验；网络测量研究与试验；网络管理研究与试验；下一代互联网的域名地址研究；网络过渡研究与试验；结算与计费管理技术研究与试验；国产网络和终端设备软硬件测试与试验。3．Ⅲv4overIPv6机制原理随着IPv6技术的快速发展和纯IPv6主干网络的建成，大量IPV4网络需要通过IPv6主干网来实现互联互通的需求也日益增多。在IPv4／v6互联的网络拓扑上，．一些只运行IPv6协议栈的P路由器构成了纯IPv6主干网。然而，由于现有大量IPV4应用将在一定时期内仍然广泛使用，因此该纯IPv6主干网需要向边界网络提供IPv4协议栈接入。图3．24over6机制进行传输的网络拓扑结构图 第三章IPv6蜜罐入侵检测系统解决方案旦PE路由器作为地址簇边界路由器AFBR，同时运行IPv6和口v4双协议栈。PE路由器在主干网内使用IPv6协议连接纯IPv6主干网，对接入网络则使用IPv4协议栈与边缘网络的口v4单协议栈CE路由器连接，从而对已有口v4网络提供接入服务。因此，需要设计一种机制，使得在CE路由器上只运行IPv4协议，而IPv6主干网作为传送IPv4分组的传输网络。目前，大多数IPv4／IPv6网络过渡方案主要是解决基于IPv4主干网的小规模IPv6接入网络之间的互联问题以及IPv4／IPv6网络之间的互联互通性问题。IPv6通用隧道、基于MPLS的隧道和DSTM技术等虽然能够在一定程度上实现DV4网络通过IPv6主干网进行互联，但由于存在可扩展性差、协议机制复杂或者对网络核心改动很大等问题，部署和实现这些机制是困难的，其管理维护负担己超出了可控范围。本标准提出了基于IPv6的IPv4网络互联机制(简称40ver6机制)，解决IPv4网络通过纯IPv6主干网络实现互联的问题。与其他类似机制相比，40ver6机制不需要手工配置端到端隧道，具备对网络和端系统的透明特性，能够自适应地动态选路，是一种IPv4／v6异构网络自动传输机制，具有较小的网络管理及维护负担，适应于大规模复杂网络拓扑结构。本标准提出的40ver6机制主要解决mesh问题，而不涉及对Hub&Spoke场景的支持。总体来说，40ver6机制包括两方面的问题：控制平面和数据平面。控制平面需要解决的问题是如何通过隧道端点发现机制来建立40ver6隧道。由于多个PE路由器连接到IPv6传输网上，为了准确地封装口v4分组并转发到某个出口PE路由器，入口PE路由器需要知道具体哪个PE路由器是出口路由器。本标准扩展MP．BGP协议，在IPv6主干网上携带IPv4目的网络的信息和隧道端点信息并发送到IPv6主干网的另一端，以此来在PE路由器上建立无状态的40ver6隧道。PE与CE之间可以通过域内或域间口V4路由协议来交互Pv4路由，也可以由CE路由器配置缺省路由到PE路由器，视具体使用场景而定。在建立40ver6隧道的基础上，数据平面主要关注包括封装和解封装的分组转发处理。在入口PE路由器找到恰当的出口路由器后，入口路由器需要采用某一特定的封装机制来封装并转发原始PV4分组。出口路由器从妒v6传输网络收到封装分组后，出口路由器对分组进行解封装，并转发到相应的口v4目的网络。由于40ver6机制主要运行在PE路由器上，且只涉及对PV4分组最外层头部的封装处理，因此也同样适用于IPv4网络中使用NAT机制的场景。CNGI．CERNET2已经建成为全球规模最大的纯IPv6主干网。但中国各大高校中还存在大量的口V4网络和Pv4用户。为了给这些IPv4网络用户提供更好的网络服务，在CNGI．CERNET2的边缘部署40ver6路由器，以CNGI．CERNET2作为承载网实现各高校IPv4网络之间的互访。 18IPv6环境下蜜罐系统的研究与应用40ver6路由器之间通过运行40ver6扩展的IBGP协议，交互目的网络和隧道端点信息，并以此建立非显式的40ver6隧道。各高校的IPv4网络之间不但能够通过CNGI．CERNET2实现互访，还能访问CERNET并经过CERNET进一步访问IPv4公网。40ver6路由器的部署并没有为CNGI．CERNET2带来额外的控制和管理开销。图3．3Pv40verIPv6过度技术部署在CNGI．CERNET2上的40ver6机制进行了丰富的测试，．发现各高校的IPv4网络之间不但能够成功地运行Web、FTP、Telnet、VPN、P2P等各种不同类型的应用，而且延时、丢包率、吞吐量等性能指标都接近于CNGI．CERNET2边缘主机之间互访的性能，而高于边缘主机通过CERNET进行通信的性能。这充分说明通过CNGI．CERNET2作为承载网提供PV4边缘网络之间的互访是有着巨大的优势的。在国际上首次提出了基于动态非显式隧道来实现的40ver6通信机制，该机制具有配置简单、不受限于特殊地址前缀、不依赖于组播技术支持、没有单一故障点、可扩展性好的优点。基于这一机制，可以方便地实现大规模的基于IPv6承载网的Pv4网络之间的通信。基于动态非显式隧道的40ver6机制的优点具体表述如下：’(1)配置简单：40ver6隧道通过BGP协议的40ver6扩展来动态配置，不需要手工配置。(2)不受限于特殊地址前缀：报文目的地址和隧道端点地址的映射关系是通过BGP协议来动态发现的，不需要对IPv6地址格式做特殊规定，不需要申请特殊的IPv6地址前缀。(3)不依赖于组播技术的支持：该机制可以对组播应用进行扩展，但在IPv4网络和IPv6网络不实现组播的情况下，该机制仍可正常使用。(4)没有单一故障点：该机制是纯分布式实现的，不依赖于任何单独的服务器，因此网络中没有单一故障点。 第三章IPv6蜜罐入侵检测系统解决方案旦(5)可扩展性好：由于隧道的建立是通过BGP协议来自动发现的，还可以通过配置RouterReflector来进一步简化BGP路由器之间的通信开销，因此该机制方便支持大规模的IPv4overIPv6应用，可扩展性很好。3．1．1申请地址空间和接入点由于地址和拓扑的关联，IPv6网络的设计者必须从他将要接入的链路提供者那里获得／Pv6网络地址空间；如果这个提供者变更的话，也必须更改所有节点的地址(renumbering)。所以，在选择接入点的时候，也应该尽可能慎重的考虑。当然，IPv6允许一机多址的机制使得人们有机会在不中断网络连接的情况下逐渐地替换地址。对于试验床而言，地址空间的申请者需要首先确定自身的定位——是作为一个IPv6网络的终端站点(1eaf-site)还是一个中间站点(transit．site)，并了解以下的信息：(1)IPv6地址的结构；．(2)IPv6全局可聚类地址的规范；(3)IPv6试验网络地址的分配；(4)试验床的地址分配规则；(5)所在地区、团体目前的IPv6网络环境。根据本地试验床条件，采用贵州大学已经获得了一个NLA2ID，本实验建立IPv6终端站点的地址向贵州大学网络中心申请，由贵州大学网络中心IPv6试验床提供。1．虚拟机安装IPv6协议采用windowxp操作系统，运行，输入CMD，在命令行模式下，安装IPv6协议，输入：IPv6install，如图3．4所示：2．ISATAPIPv6隧道接入在RFC1933(主机和路由器向IPv6过渡的机制)、RFC2185(I句IPv6过渡的选路问题)、RFC2O71以及RFC2072(路由器重新编号指导)等文档中都涉及有关向IPv6过渡的讨论。还有一些有关向IPv6过渡和商业环境中向IPv6升级的Intemet草案正在制订中。向IPv6过渡必定是渐进的。考虑到目前已经有大量网络和节点连接到Intemet，人们无法接受大量的切换形式的升级。这种升级要求网络管理员为Intemet上的每个主机和路由器都找到并安装新版本的网络软件，考虑到目前有很多不同的平台运行着IPv4，这种做法将很难实现。 20●_一IPv6环境下蜜罐系统的研究与应用图3．4IPv6协议安装与此相似，随着网络厂商和开发者逐渐将IPv6引入不同的平台，随着网络管逐渐确定自己所需要的IPv6功能，向IPv6过渡也将是一个相对缓慢的过程。口V4和IPv6将长期共存，也许将永远共存。大多数过渡策略都依靠协议隧道路方法，即至少在最初，将来自IPv6岛的IPv6包封装在IPv4包中，然后在分布的mv4海洋中传送。经过过渡的早期阶段，越来越多的IP网络和设备持IPv6。但即使在过渡的后期阶段，IPv6封装仍将提供跨越只支持IPv4的网和其他坚持使用IPv4的网络的连接能力。另一路策略是双栈方法，即主机由器在同一网络接口上运行IPV4栈和IPv6栈。这样，双栈节点既可以接受和Pv4包，也可以接受和发送IPv6包，因而两个协议可以在同一网络中共存。隧道方法用于连接处于IPv4海洋中的各孤立的IPv6岛，如图3．5所示。图3．5双栈路由器使用隧道链接此方法要求隧道两端的IPv6节点都是双栈节点，即也能够发送DV4包。将封装在IPv4中的过程与其他协议封装相似：隧道一端的节点把IPv6数据报作发送给隧道另一端节点的IPv4包中的净荷数据，这样就产生了包含IPv6数据IPv4数据报流。在图3．5中，节点A和节点B都是只支持IPv6的节点。如果A要向B发送包，A只是简单地把IPv6头的目的地址设为B的IPv6地址，传递给路由器X；X对IPv6包进行封装，然后将IPv4头的目的地址设为路由 第三章IPv6蜜罐入侵检测系统解决方案型器Y的IPv4地址；若路由器Y收到此口v4包，则首先拆包，如果发现被封装的IPv6包是发给节点B的，Y就将此包正确地转发给B。(1)与口V4兼容的IPv6地址包含口V4地址的口v6地址，这些地址有两类：口v4兼容地址和口v4映射地址。口v4兼容地址是指在l28位地址中，高阶的96位全部为0，而最后的32位包含IPv4地址。能够自动将IPv6包以隧道方式在IPv4网络中传送的IPv4／IPv6节点将使用这些地址。双栈节点则对于IPv4包和IPv6包都使用相同的地址。只支持IPv4的节点向双栈节点发送包时，使用双栈节点的IPv4地址；而只支持IPv6的节点则使用双栈节点的IPv6地址，即将原IPv4地址填充O后成为128位。总之，这类节点可以作为路由器链接IPv6网络，采用自动隧道方式穿越IPv4网络。该路由器从本地IPv6网络接收IPv6包，将这些包封装在IPv4包中，然后使用IPv4兼容地址发送给IPV4网络另一端的另一个双栈路由器。如此继续，封装的包将通过IPv4网络群转发，直至到达隧道另一端的双栈路由器，由该路由器对IPv4包拆包，释放出IPv6包并转发给本地的IPv6主机。(2)配置隧道和自动隧道配置隧道和自动隧道的主要区别在于：只有执行隧道功能的节点的IPv6地址是IPv4兼容地址时，自动隧道才是可行的。在为执行隧道功能的节点建立IP地址时，自动隧道方法无需进行配置；而配置隧道方法则要求隧道末端节点使用其他机制来获得其IPv4地址，例如采用DHCP、人工配置或其他IPv4的配置机制。(3)IPv6隧道类型可以作为隧道端点的节点有几种不同的组合类型，图3．6描述了这些不同隧道的操作情形。图中的互联网络由三个网络、两个路由器和两台主机组成，它使用了如下几种不同的隧道类型。但是，为了区别这些不同类型的隧道，根据所演示的隧道类型，图中的实体可能是只支持IPv4、只支持IPv6或者IPv4／IPv6双栈。图3．6IP隧道的不同类型(4)不同的隧道类型包括： 22IPv6环境下蜜罐系统的研究与应用路由器．路由器隧道。路由器X和路由器Y使用隧道方式来传送经过网络O的包，而网络O只支持Pv4。主机A可以透明地将IPv6包发送给主机B，这两个主机都不必考虑中间插入的IPv4网络(即网络O)。这种情况下，主机A和主机B都是只支持IPv6的节点。路由器．主机隧道。此时网络M只支持IPv4，但主机B同时运行IPv4和IPv6，网络的其他部分都只支持IPv6。这种情况下，隧道传送发生在路由器Y和主机B之间。在网络的其他部分，IPv6包可以自由传送。但是路由器Y必须将IPv6包封装在口v4包中，以便通过只支持IPv4的网络M。主机．主机隧道。假设此时只有主机A和主机B同时支持IPv4和IPv6，而网络的其他部分都只支持IPv4。这种情况下，隧道传送发生在主机A和主机B之间。对于发往主机B的IPv6包，主机A必须把它们封装在Ⅲv4包中，以便由只支持IPv4的路由器来运载。主机．路由器隧道。假设此时主机A和路由器X为双栈节点，网络N只支持IPv4，而网络的其他部分都只支持IPv6。这种情况下，主机A仅对发往路由器X的IPv6包采用隧道方式；_旦通过了只支持口V4的网络N，路由器X就对这些通过隧道传送的包拆包，然后按正常方式通过IPv6网络转发。由于贵州大学目前没有设置主机隧道，本试验采用的是上海交大的IPv6的ISATAP隧道和6t04主机隧道。校园网IPv6网络拓扑图如图3．7所示。图3．7CNGI驻地网大学节点IPv6主干网络拓扑ISATAP隧道点IP地址是isatap．sjtu．edu．cn用户设置isatap隧道的终结点router为isatap．sjtu．edu．caVMware下windowsserver2003设置如下：CADocumentsandSettings＼zhangxiaofeng>netshnetsh>intnetshinterface>IPv6netshinterface>IPv6>install 第三章IPv6蜜罐入侵检测系统解决方案netshinterfaceIPv6>isatapnetshinterfaceIPv6isatap>setrouterisatap．sjtu．edu．Cn配置过程如图3．8所示。静彩≥?：；磊。锄弋—；=“jt—●帮——?可⋯⋯嗍研㈣⋯”⋯“⋯⋯⋯⋯⋯⋯⋯?一⋯一E。剖_lc丁】L|盯’二I，⋯’{⋯jTr_1⋯——’于z7—口●司一f狮"I啊，。—％Ⅷ■__91目目％m■H圈■圈蟹■■___·______髓。。一————一．‘一圈j●煳麓麓麓熬燮鲎趁麓鬻黧鬻熬趱瓣鍪燮滋鍪璧麓tj图3．8IPv6的ISATAP隧道和6t04隧道测试3．1．2配置IPv6主机IPv6协议是下一代互联网的核心协议，他解决了IPv4协议所暴露的诸多缺陷，如地址稀缺、路由表庞大、对移动设备支持不足等。IPv6协议的一个突出特点是支持网络节点的地址自动配置，这极大地简化了网络管理者的工作。(1)IPv6地址格式及地址配置方式一个典型的IPv6主机单播地址由3部分组成：全局路由前缀、子网ID和接口ID(64位)。全局路由前缀用来识别分配给一个站点的一个地址范围。子网ID也称为子网前缀，一个子网ID与一个链接相关联，以识别站点中某个链接。接口ID用来识别链接上的某个接口，在该链接上是惟一的。IPv6地址配置可以分为手动地址配置和自动地址配置2种方式。自动地址配置方式又可以分为无状态地址自动配置和有状态地址自动配置2种。在无状态地址自动配置方式下，网络接口接收路由器宣告的全局地址前缀，再结合接口ID得到一个可聚集全局单播地址。在有状态地址自动配置的方式下，主要采用动态主机配置协议(DHCP)，需要配备专门的DHCP服务器，网络接口通过客户机朋艮务器模式从DHCP服务器处得到地址配置信息。(2)接口ID的生成在无状态地址自动配置方式下，接口ID通常可以通过EUl64转换算法得到。接口ID由48位MAC地址转换得到。EUl64是IEEE定义的一种基于64位的扩展惟一标示符。他是IEEE指定的公共24位制造商标示和制造商为产品指定的40位 IPv6环境下蜜罐系统的研究与应用值的组合。在IPv6地址中，接口ID的长度为64位，他由48位的以太网MAC地址转换得到，下面介绍EUl64转换算法。48位以太网MAC地址的格式固定为：ccccecOgcc⋯ccnlm⋯mm其中，c位表示厂商ID，m位表示厂商编号ID，g位表示是单个主机还是某个组。转换算法需将g位前的一位求反，并在c位和rn位(MAC地址的第3和第4个字节)之间插入2个字节FFFE，则接口ID为：cccccclgcc’·’cc1l···110mill。·。mm本实验IPv6的操作系统采用WindowsSever2003。WindowsSever2003下主机地址配置示例加图3．9所示。图3．9WindowsServer2003FPv6主机地址配置(1)Linklayeraddress是MAC地址(00．0e．af-02．bf-53)。(2)preferredlinklocal通过自动配置得到主机链路本地地址。其中，fe80是链路本地地址的固定前缀，20e：a6ff．fe02：bf53为从MAC地址转换得到的接口ID。(3)选择上海交大的tunnel的接入点，建立虚拟IPv6链路在周围只有IPv4的网络环境中，一个IPv6站点仿佛大海中的一座孤岛，需要建立到一个同试验床相连的站点的虚拟IPv6链路。通过tunnel互连的节点从逻辑上处于同一个IPv6子网。关于tunnel的概念，可以参考RFC2473；关于IPv6和各种网络接口的问题，可以参考相关的RFC． 第三章IPv6蜜罐入侵检测系统解决方案找到同试验床相连的合适站点之后，和它的管理员联系建立tunnel，双方需要互相通知各自的tunnel接入点的IPv6和IPv4地址，依据这些信息和IPv6软件包附带的文档定义tunnel。在一个IPv6虚拟局域网内，既可以有处于同一物理网络的链路，也可以有通过IPv4上的tunnel连接的虚拟链路。(4)配置路由静态的路由，包括缺省网关的指定，都不需要额外的软件。通过以上配置，获得的IPv6主机地址，如图3．10所示图3．10本地主机IPv6地址因为是双栈协议，所以既有口V4地址，又有IPv6地址。本机IPv6地址为：fe80：：5efe：210．40．22．6。通过PING6：：1，确认IPv6协议框架已安装成功，如图3．11所示。图3．11PING6：：l命令测试本机同上海交大IPv6协议下的ISATAP隧道和6t04隧道测试如图3．12所示(PING6WWW．6RANK．EDU．CN以及直接访问WWW．6RANK．EDU．CN)。 26IPv6环境下蜜罐系统的研究与应用图3．12PING6WWW．6RANK．EDU．CN以及直接访问WWW．6RANICEDU．CN测试3．2蜜罐入侵检测模型特点分析3．2．1对蠕虫请求的回应蠕虫想传播是随机攻击一些Ⅲ。当一个蠕虫攻击一个不存在的主机时，蜜罐就会伪装信息让蠕虫攻击它。比如，冲击波会随机选择攻击开了135端口的主机。对没有用的m，可以设置IPv6蜜罐来诱扑冲击波蠕虫。具体配置如下：createdefaultsetdefaultpersonality”WindowsXPPro”adddefaulttcpport135opensetdefaulttcpactionblocksetdefaultudpactionblock有了这个配置，冲击波蠕虫就会对不存在运行着蜜罐的P进行攻击，蠕虫会以为对方开着135端口的漏洞主机。通过这门技术，冲击波蠕虫就会被伪造的信息欺骗，达到拖延时间，进而通知管理员，采取措施，对进程中的程序进行清理。避免遭到冲击波的控制【23】。 第三章IPv6蜜罐入侵检测系统解决方案翌3．2．2基于IPv6的蜜罐入侵检测系统方案及其优点IPv6蜜罐技术提供了一种IPv6环境下对抗蠕虫的有效措施。把蠕虫的流量重定向到伪造的IPv6主机上，以至于扑获到蠕虫并分析它们的特征，来限制蠕虫在网络上的传播。本方案的立足点是基于异常的入侵检测系统，以异常行为为基础，首先预判断什么是正常的网络行为，对于正常网络行为不作反应，不正常的网络行为(包括攻击等)将触发本系统警报。本系统关键技术在于对异常网络行为的检测和定义。这也是本系统的难点。目前的蜜罐入侵系统中，对于正常网络行为定义比较简单，如果网络在～段长时间内没有发生数据流量的剧烈变化的话，那就是正常的。然而，随着互联网的飞速发展，新的应用和技术的不断被开发出来，大量的视频聊天程序，点对点传输网络，对现有协议的补充，对IP通信的动态性质，所有这一切使得很难建立一个度量正常的网络行为模型【241。基于目前的网络现状，本系统由被动地监控转向主动监控，对于几乎所有的网络活动都把它当作可以分析的可疑活动。所以，从本质上说，本系统是基于异常为基础的全面的网络入侵监控系统。但是本入侵检测系统将会面临以下的问题和挑战：1．数据过载网络入侵检测系统往往产生的警报数据量非常大。系统将耗费大量时间和资源，而且分析和审查所有生成数据的成本非常高，需要大量的人力来分析所有这些信息。2．误报，系统将会面临一个重要的难题，假警报。普通入侵检测系统很难区分合法活动和恶意流量。假警报会产生“狼来了"的后果，如果入侵检测系统一再产生误报，管理员可能会忽略检测。3．资源·网络入侵检测系统需要大量硬件资源。需要更快的网络速度和更多的数据存储空间，需要庞大的数据库来存储所有数据。 28IPv6环境下蜜罐系统的研究与应用3．3蜜罐入侵检测模型搭建3．3．1蜜罐系统体系结构该系统基于Windows操作系统所建立的，采用C语言开发的，系统向外界开放了虚拟的windowsserver2003操作系统下的Telnet服务，引诱黑客进入，这有利于保护真实的系统资源，同时获取黑客的攻击行为信息。整个系统由通信交互模块、响应模块和监听记录模块三部分组成，其中通信交互模块和响应模块构成了虚拟Telnet服务【25】。图3．13蜜罐系统体系结构1．提供服务模块该系统虚拟了Web服务、FTP服务、POP3服务、Telnet服务、DNS服务等大多数windowsserver2003系统下的服务，管理员可以根据选择启动这些服务对外界开放。提供服务实质上要实现两个方面的功能：(1)利用端口重定向技术打开虚拟服务相应的系统端口，启动服务时要判断该服务是否有相应的响应文件，如果没有则启动失败，然后等待黑客检测、入侵。(2)当黑客入侵后，建立连接接受黑客的攻击信息，同时发送响应模块的响应信息给黑客。2．响应模块主要实现对黑客的攻击做出相应的响应。包括以下几个方面的实现：(1)根据服务的端口号找到相应的响应文件。(2)根据黑客的攻击信息得到相应的响应内容。响应文件的内容包括群State、input、Next、Cont、CRLF、Message这六项，#State表示状态名，input表示输入的信息，除了START，ERROR，NIL，NOTICE，这些关键字，Next表示下一个状态名，Cont表示是否继续：0表示退出，1表示继续，CRLF表示套接字模块导出的常量，Message表示输出的消息即返回给黑客的响应信息。 第三章IPv6蜜罐入侵检测系统解决方案3．监听记录模块数据捕获能够获得所有入侵者的行动记录，这些记录最终将帮助分析黑客所使用的工具、策略以及攻击目的。这就实现监听记录模块的目的，它的主要功能就是监听和记录黑客的攻击行为。实现过程是捕获蜜罐和黑客之间通信的数据包、创建黑客的记录文件(记录文件名为黑客的IP地址)并记录数据包包含的信息。由于虚拟的服务不提供任何实际的作用，因此其收集到的数据很少，同时收集到的数据很大可能就是由于黑客攻击造成的，所以记录的信息有很高的价值，同时它不依赖于任何复杂的检测技术等，因此减少了漏报率和误报率。记录文件主要保存的信息为口地址，端口，服务提供端口，日期，时间，处理进程ID，处理者进程ID和现场号，处理程序名，处理服务的有穷状态机的状态号、输入等。3．3．2Honeyd虚拟蜜罐技术Honeyd是一个可以用于搭建虚拟蜜罐与蜜罐网络的轻量级守护进程，它可以模拟几乎任何类型的应用层服务与任何发行版的操作系统，是目前世界上最流行的蜜罐／蜜网程序1．蜜罐(honeypot)和蜜网(honeynet)技术蜜罐技术是一种欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标的诱骗技术。Honeypot不同与大多数传统安全机制，它的安全资源的价值是在于它被探测，被攻击，或者被威胁【2引。Honetpot能够是任何计算机资源，它能是工作站，文件服务器，邮件服务器，打印机，路由器，任何网络设备，甚至整个网络。Honetpot是故意被部署再危险的环境中，以便它被攻击，并且相对于部署honeypot的目的来说，honeypot没有合法的产品价值，即它不能用于对外的正常服务。如果你的webserver经常被访问，并且你分析服务器上的信息，这就不代表你把他配置成一个honeypot，而仅仅是一个缺乏安全防护措施的webserver．Hone)met是一组honeypot的集合，这些honeypot是在一个人或者一个组织的控制之下，一个honeynet上可以运行多种不同的操作系统，可以有一个或者多个不同的主题。．2．虚拟蜜罐(virtualhoneypot)虚拟蜜罐可以一种快速的方式配置若干个蜜罐，虚拟蜜罐软件能够模仿口栈，OS，和真实系统的应用程序，一旦你建立了你的虚拟蜜罐系统，在它被攻陷了后你也很容易重建。通常情况下，模仿是完全在内存中实现的。虚拟蜜罐软件也允许在单一的物理主机上配置一个完全的密网，一个虚拟蜜罐系统可被用来模仿成千上万个系统，每个系统使用成千上万个端口且使用不同的IP． 30●_一IPv6环境下蜜罐系统的研究与应用由于整个Honeynet可以部署在一台机器上，可以大大的减少费用，只要足够大的内存与虚拟软件的支持，可以在一台机器上安装任意多的操作系统。3．Honeyd对应用层协议的模拟Honeyd提供仿真服务脚本来对应用层的协议进行模拟，安装hormeyd后，可以在源代码包中的scripts目录下找到honeyd提供的脚本。Honeyd提供的脚本的语法并不复杂，基本的规则就是当黑客登陆后，输入命令，脚本会做出相应的输出回应，最简单就是通过case语句来区别命令，对不同的命令用echo命令来做出响应。对于要运行的其他端口的仿真服务脚本，可以在配置文件中的相应端口的语句中改。4．日志honeyd对黑客在终端的输入提供了完善的日志，该日志文件在运行honeyd时已经指定，即使用．f参数加指定的日志文件名。一般指定日志文件为／var／log／honeyd，可以通过查看该日志获得黑客登陆的信息和一些攻击的方法。honeyd的架构honeyd的软件架构由如下几个组件构成：一个配置数据库，一个中央包分发器，协议处理器，一个特征引擎，以及一个可选的路由器组件。如图3．14所示。正如图3．14所示，进来的包首先被中央包分配器处理，它首先检查IP包的长度并确认包的校验和。honeyd框架知道主要的3种Intemet协议：TCP，UDP，ICMP。其他协议的包将被日志记录并丢弃。在处理包之前，分配器必须查询配置数据库来找到一个与目的口相符合的蜜罐配置，如果没有指定的配置存在，一个默认的模板将被使用。给定一个配置，包和相应的配置将被分发给指定的协议处理器。ICMP协议处理器支持大多数ICMP请求。在默认情况下，所有的honeypot支持对echorequests和processdestinationunreachable消息的应答。对其他消息的响应决定与配置的个性特征。图3．14honeyd的软件架构 第三章IPv6蜜罐入侵检测系统解决方案卫对于TCP和UDP协议，honeyd框架能建立连接到任意的服务。服务是外部程序，能从标准输入获取数据，并把输入发送到标准输出。服务的行为完全取决于外部应用程序。当一个连接请求被收到，honeyd框架检查包是否是一个已经建立好的连接的一部分。如果是的话，任何新的数据都发往已经建立好的连接的应用程序。如果包是一个连接请求，一个新的进程将被创建来运行合适的服务。为了替代为每个连接建立一个进程，honeyd框架也支持subsystems和internalservices。一个subsysytem是一个能运行在虚拟蜜罐名字空间下的应用程序。当相应的虚拟蜜罐被初始化的时候，subsystem指定的应用程序就被启动了。一个subsystem能够绑定到端El，接受连接，发起网络通讯。当一个subsystem作为外部程序运行的时候，一个内部的服务就是一个能在honeyd中运行的python脚本。比起subsystem来，internalservice需要的资源更少【27|。UDP数据报直接传递给应用程序。当honeyd框架接受到一个发送给关闭端口的数据包的时候，如果配置的个性特征允许，它将发送一个ICMPportunreachable。在发送ICMPportunreachable的过程中，honeyd框架允许像traceroute一样的工具去发现被模仿的网络拓扑。另外，建立一个到本地服务的连接，honeyd框架也支持连接的重定向。连接的重定向可能是静态的，或者取决于连接的四个要素(源目的端口，源目的地址)。重定向可以把对虚拟蜜罐上的服务的连接请求定向到一个运行着的真实服务上。例如，可以重定向一个DNS请求到一个合适的名字服务器上。在一个包被发送到网络前，它会被个性引擎处理。个性引擎调整包的内容，以至于它看起来像被配置的操作系统的协议栈中产生的。honeyd是一款非常优秀的虚拟蜜罐软件，能完成蜜罐的大部分功能，花费的资源相对较少，并能完成对网络拓扑的模拟，对抗指纹探测。honeyd的使用也很方便，仅需要一个配置文件，就可以完成响应的部署。此外，honeyd的使用也是相当广泛。在引诱黑客攻击，反蠕虫，遏制垃圾邮件等方面都有广泛的应用。目前对于虚拟蜜罐的研究还处于起步阶段，以后对它的研究会越来越深入。尤其是基于VMware软件虚拟蜜罐系统得到很多网络安全爱好者的青睐，在很多文献中已对其配置方法与实验模型作了详细的介绍，本文不在作过多描述。3．4基于sniffer类监控的蜜罐入侵检测模型搭建本系统的实现是通过sniffer类监控工具或网络管理程序来完成的，直接通过镜像端口对入侵者接入端口或总出口进行sniffer监控。所有数据流量将被原封不动的转发到sniffer监控端，这样就可以仔细分析入侵者的网络流量以及相关数据信息了。 IPv6环境下蜜罐系统的研究与应用通过在虚拟机出口连接一台HUB设备，然后HUB一个接口连接上层设备(IPv6外网)，另一个接口直接连接安装了sniffer软件的监控主机，这样当入侵者连接到虚拟机设备后必然会有相关数据包转发到HUB上，由于HUB会复制相当数据到各个端口，所以在另一个接口直接连接安装了sniffer软件的监控主机上就能够查看到相应的网络数据，这些数据都是入侵者产生的，从而实现了对入侵者进行合理监控的目的。蜜罐网关图3．15基于sniffer类监控工具的蜜罐构架在以上网络中，所有通讯都是以广播方式工作，即任何主机发出的任意数据包，都会到达同一个网段内上的所有机器。每一个网络接口都有一个唯一的硬件地址，即MAC地址。在正常的情况下，一个网络接口只可能响应以下两种数据包：与自己MAC地址相匹配的数据包和发向所有机器的广播数据包。在实际的工作中，数据的收发一般都是由网卡完成的，网卡的工作模式有以下4种：(1)广播：这种模式下的网卡能接收发给自己的数据包和网络中的广播数据包。(2)组播：这种模式下的网卡只能够接收组播数据包。(3)直接：这种模式下的网卡只能接收发给自己的数据包。(4)混杂：这种模式下的网卡能接收通过网络设备上的所有数据包。从以上系统实验模型可知，虽然网卡在默认情况下仅能接收发给自己的数据和网络中的广播数据，但可以强制将网卡置于混杂模式工作，那么此时该网卡便会接收所有通过网络设备的数据，而不管该数据的目的地是谁。这样的实验方式对于贵州大学IPV6的实验平台而言是比较可行的。本系统模型采用sniffer类监控工具来进行监测，主要有以下4个功能：(1)流量分析 第三章IPv6蜜罐入侵检测系统解决方案丝流量分析是的主要功能之一，通过此功能，用户可以快速找定位通讯量最大的口主机点和物理主机。系统还支持每个网络协议的端点流量明晰统计排名，比如用户可以知道HTTP协议下前5个p主机。对于该系统的流量分析功能，可以分析出网络中的具体流量占用情况，如总流量最大的主机、发送流量最大的主机、接收流量最大的主机、收发数据包数最多的主机、发送数据包最多的主机、接收数据包最多的主机、内部流量、以及广播流量最大的主机等信息。通过这些信息，可以确定网络中是否广播／组播风暴，并帮助用户排查网络速度慢、网络时断时续、蠕虫病毒攻击、DOS攻击、以及用户无法上网等网络故障。(2)协议分析根据实际的网络协议封装顺序，层次化展现给用户，每个协议有自己的色彩，除了全局的协议统计，还可提供每个网络端点下的协议统计数据。协议视图可以有效显示网络中数据通讯所使用的协议，协议采用树状层级方式显示，对每一种协议，都对其占用的流量、使用此协议的数据包个数、此协议的流量在总流量中的百分比、以及使用此协议的数据包在总数据包中的百分比进行了统。通过协议视图对各视图占用流量及百分比的统计，用户可以得出当前网络中占用流量最多的协议，即当前网络中占用流量最多的服务类型；并帮助用户排查网络速度慢、邮件蠕虫病毒攻击、网络时断时续以及用户无法上网等网络故障。(3)数据包解码同时，系统可以对捕获到的数据包进行实时解码，解码的格式包括概要解码、字段解码、十六进制解码，ASCII和EBCDIC解码。通过查看数据包解码信息，用户可以更全面地了网络中传输的原始解数据包信息，并确定是否伪造网络攻击。(4)会话分析另外，系统还具备会话功能，可以统计会话的源地址、目标地址、该会话收发的数据包及这些数据包的大小等信息。通过对会话视图的查看，管理人员可以查看两台MAC主机和IP主机之间的通讯内容；分析网络中是否存在TCP端口扫描攻击；，分析网络中是否存在基于TCP协议的服务的账户用户名密码破解攻击；分析网络中是否存在邮件蠕虫病毒攻击；．分析网络中是否存在长时间连接且流量小的TCP连接(QQ,q、，ISN等程序使用HTTP代理即为此现象)；网络中是否存在UDP端口扫描攻击。 IPv6环境下蜜罐系统的研究与应用 第四章蜜罐入侵检测分析系统的实现本系统的实现是通过sniffer类监控工具或网络管理程序来完成的，直接通过镜像端口对入侵者接入端口或总出口进行sniffer监控。所有数据流量将被原封不动的转发到sniffer监控端，这样就可以仔细分析入侵者的网络流量以及相关数据信息了。通过在虚拟机出口连接一台HUB设备，然后HUB一个接口连接上层设备(口v6外网)，另一个接口直接连接安装了sniffer软件的监控主机，这样当入侵者连接到虚拟机设备后必然会有相关数据包转发到HUB上，由于HUB会复制相当数据到各个端口，所以在另一个接口直接连接安装了sniffer软件的监控主机上就能够查看到相应的网络数据，这些数据都是入侵者产生的，从而实现了对入侵者进行合理监控的目的。4．1漏洞扫描测试图4．1XScan对虚拟机蜜罐进行漏洞扫描测试在攻击机(即宿主主机)上运行XScan漏洞扫描工具对虚拟机蜜罐实施漏洞扫描。在蜜网网关上对XScan漏洞扫描过程中的每个网络连接都进行了完备的记录，从图4．2蜜网网关数据摘要视图可发现正在扫描的攻击机口地址、MAC地址，图4．3则显示了其扫描的每个网络连接详细信息。 一36IPv6环境下蜜罐系统的研究与应用bluter0)■按协议崩冀盘’；x茹搿目哩蕊点_口l箕6)；3，本地网段椰)。ot本机【1)’蚴“∞汪蝎幄"￡■M∞·IT·ch∞Bc-，·■∞2I虻∞8sn’●∞16：7612：“ll，一00lDTDl5P574+I●lhl柑·lT-d177^：Eealp^cct帆T．e．h．19黯‘I●lh蛘·lT·吐l^砷：c口■抽it∞IC髓(I】一∞1DoP“∞∞矗粉∞21醒73TB3^Ialp∞∞cD?窜39帅t+■^wt吐船∞邛Qt■∞1921cT12∞I，■∞1921∞D2nI，一∞192l“∞聃I，十一nlt·Fm：驼旭：卅，■∞1921珏∞弱I十l曩bl蛆018^∞a)，■，㈣03蛇艘(1"一∞：1l∞帆：∞：弛tv"；×束使用O刀杈0据包j：澹器瀑熬冕色获的数据包失的教姑包C鞭蔓蛲计叠■簟点协议会话矩阵教鸯包日毒碾撮寰喀静盛·’itg称计嚣|，D嚣主机或域名不；芋在I妇D嚣服再嚣偿响应2硌Km-服务器籼⋯jp"盯P语求投育找到8b售输屡3．∞6钳TcP复位非活动莲擅∞童tcP太多置倍1上TcH璺应答10且TcP枝验和情谡2J钉2知m匿藩捷复位H移TcP置倍数据包¨jTcP零窗口持霹时问太长“”⋯2=■善薯l辱⋯⋯～●一一^-H_--^●^_●n-__^●^-^h●________H____-●_●-________，H_●H●H-●-●-^__-●●__●●●_-_-_●H-_●H-_●_H-_●-●___________●u‘，-^u^-^一事件《一目-强i￡争{73妇}2贾l峦3叮r}o}口奉■、新有的叠■●件：1．61e／3．协议屡事件蠢疆蔫口目标抟输屡T口数据包搔驺相§●谩哺看蠡露色106皤1210．o2Il卸t．1h。‘t．642∞l的．1倍输屡TcP剪冕包梭若和嚣谭储看窈据包l∞a7)210如21l∞I．eff?0-sM233I∞l传输屡t口如量包轻k和觜谬埔看静冕乜106∞)210∞2Il∞I．毋r0-5翻2∞l∞l情毓屡To徽量雹枝驻柏I誊盘诣音教冕包10612)2lo402II∞t·‘h"tH2∞l∞i倍筑屡T吨据雹梭馨靶错谋‘语看疗据包11]616)2lo402ll∞t．ih¨t．H233189l应用屡耵行艋务器值日向应·与荭据色1㈣帽噶麓0蠢秒)2lO加21l∞I．c8TO_5H2∞l∞l侍输最Tc煳雹移链和镣儡蜡看数据色10621)210柏21i∞l·effm-5H2∞l的l倍辘层碱冕俚梭链祁错氓：麝看教冕雹10B笠)210402l1∞口p．q砒r．．H233189l倍毓屡T凹静奄雹经验和错善’溏毛窭据包10B∞)210柏21l∞t．1h--t¨2∞l钾l传毓层瑚冕色移缸靶谨谬镰看毅冕包1∞“)210帕2i1∞t·lk·st队233l∞1信毓屡册觳羹雹控齄靶瞎误稿看数据色1∞巧，210∞2ll∞1．c8T0-s．6‘2∞l∞l佶辅璧TcP连接膂蔓在(语看嚣据包1∞26)210402Il∞t．1h．1t“233l∞1堇堕曼——F惋鞠I辖曹佑f醅莉■}佃’r嗍’，1n柏，I"m"．th．1t“，钧t黼t图4．2蜜网网关捕获的漏洞扫描过程的摘要视图严重．卫量茧囊薮ZI鼻协议层传输层信输层传输层应用层传输屡传输层佶输层传输层倍输层事件酒TcP数据包梭验和．．．210402l托P数据包铰验和．．．210．4021TCt"数据包校验和．．210402ltcP数据包梭验和．．2104021TcP数据包杉验和2104021j，搬背职务嚣馒啊应。。．t210∞．2lTC蛙9据包梭验和．2104021TcP数据包铰验和．．21040．2l兀P数据包授验和．．．2104021TcP数据包校验和．．．210．∞21TcP数据包授验和．．．2104021Tc罐接被复位诣．．210．40．2lT∞连接被复位谨．．．21040．21懑端口目标160ttsh&st．．．64．233l∞147160iteST0—5⋯M．233189i4T160iec870-唔．．．64．233．1∞143"160t“h“t．．．64233．1∞147160tash“t．．似23318914Tl∞ii-c87瞄⋯：铋．233189．147160ieeST0-5．．．64．233189147IN)opener⋯64233189147l∞ttsh“t．．．84．2331∞117l∞ttshl“t⋯64233．1∞．143"160i·c870-s．．．84233．189147160t·shttt．．．M233．1∞．143"l∞t●；h0=t．．．54．233．1∞14了目标端口数据包瞥_智一htt，10605_n-httpl嘶研冒，rhttp10608f’m—http10612"w—http10616；：7_M“协，10619w—口肯一http10t521_"htt口10622"n-http10623*w—http10￡垃4冒_’r-http10625”_一http1∞26-w—txttp1062B图4．3扫描网络连接视图4．2IMCP扫描测试4．2．1基于IMCP协议的PING6测试问在宿主机(攻击机)上运行P1NG6扫描命令，在本论文中，向目标主机长时连续、大量地发送512Kbyte的ICMP数据包。如图4．4所示。擎隧卫占卫点点移盘矗立。也耖奎盘囊如扩耖 一～—————————————～————————————————————————————————————————一一一_图4．4宿主机(攻击机)攻击过程。4．2．2攻击数据捕获通过蜜罐网关对IMCP攻击的数据进行测通过图4．5蜜罐网关对攻击测试的摘要视图可以看到攻击所采用的协议为IMCPv6协议。由于是采用双栈协议，所以目标地址和源地址仍然显示的是IPv4下的地址。但是在图4．5下方的解包数据中可以看到IPv6的源地址。一伊国ol皇ljl翌l稳-鼍。《V圈-瓤，黝易蕾藏话包：30，20l／46，222编号匏对时间法目标协议大小数据宦^36J．210王：24：4已。52e3722工0．4口．2i．工疗0210．40．21。i6《：：≥：}o岳5争ezol3睁-13E．22Oi：24：49。529563210．40．21．i64210．40。21．160：黧}v￡S982009．-】36：2301：24：49。5291税2le．40．2i．16e21r．,．40．21．i64Z铡Pv《S9e2009-13E22401-24：S0．2IC,1472i0．40．21．162：：004255．255．-"55．255：i004∞P852009-13E"-25Oi：24：50．244",,292i0．40。2l。160：9357119．145．130．21：i=7ee∞P992009-136：．2601：24：50．2449412i0．4C．2王。16C-9367125．4∈．S々．工7：i7728疆)P992009-『I36：．27ol：24：50．4912巧￡00：10：0F：2’：59：1SFF：盯：FF：露：矬：玎般P642009--】36"--2201：24：50．S2207￡210。40．2i．16毒210。40．21．1E0I笾}丫659e2009‘】36：29口1：24：50．S2e1822i0．40．2王．1EC2iO．40．21．i64工：}斯65争e200。孽一】3613001：24：S0．56C72EHo：乞e1葛}e：：AF：22：0BfT：f．F：订’：f下：F}：lT疆P642009-1，：3613101：24：51。S2e01璺216。40．2i．164210。40．2i．工60：：》I～55拿e20I口‘9一】3613201：24：51。52￡121210．40．22．16C230．40．21．164joj飘r559e21109-J36：3301：24：52．2341"’5基∞垤工：毒0h：11：00：C0FF：!了：礤’：摹了：童I}：l?￡囊le=勰己622009_】36二3401：24：52。S2111221r．。4e．21．1岳42二C．40．21．160：=X；～：5争￡2009_-】爹，3613501：24：52．5Z嚣2162王0，《昭，2王．i茌8；，，2王啦．碡0。2王．L64：j。。搿磁能：，，耘?，磐孽蟊瓣】～{‘一j‘～“甜：ji．‘；，正d一‘■萌Fi^；1—1丢蠢i；磊⋯⋯玉。1‘s1n‘1，三。再弓茹——一≮五丢一～矗州1i1鼍《～。’礤曩二；嚣：j：s：‘：。eIP：：2Io·40·21·160曼翟叠?i：}悫袋：麓。c：强：i。nIP】：210-{o·2i．164o曼二i注≯：：i：：}钵：二：二：：C3470：国rIPV6一互联礴协议岩6簸[IPV6一Int,口"net"lkstP∞tocolⅦrsi∞6】：f34，s603o砖茗：～e：5二：o!：5．t尹甓杰蠡f?：e：：2cao：5：：oo≯呼篓：?二owL§姥lj：0l《争皇蕺磐携盘羔：}＆yl。嚣jL∞茹h{：520oo上警。议：lieKt#ea趣：j：58o黔!般[最op：墟：：j：64：乒i≯鼍警：。!o‘j=：它盖曩苎}?!$’：2001：Oa鱼e：0200：奎!《，；：7．j。，。!≯OOOO00i321cA30驺00O三AE02Bi530800{50002{{55罐OOOO4029．．!．o，．．．．．s．．￡．．嫩．．●)!00工eS3，1。：2鲁i5酗。：：亭i5A{占000口OOO020e3A40200100A昱0200占．．f．．．《．．‘⋯．．二l⋯．．。0030e00窆0000与Zj罩0：2e：SA0200i00五e020090O三0000S三疆j：2e·．．f一．一{图4．5蜜网网关对攻击测试的摘要视图 IPv6环境下蜜罐系统的研究与应用通过图4．6蜜罐主机概要统计可看到蜜罐机的网络数据流量。三篓诗信量”二二==Z互===互=三=：互====乏==乏=乏互：i二二二。。开始日期2009-II-30开始时间0l：16：12持续时间OO：36：33∈。同铬瓷量苹第熬爨茂聱j露墅每移位寥簿秒总共流量I．680粕4，3400．000％obps0输入流量812．033硒1．4010．000％0bpz0输出流量907．981IO)2．9390．000％0bpz0发送广播流量97．245站1，5450．000％0bps0发送组播流量0B00．000％0bp：0善数据包大小分布．葶节磐撂雹裁臻麓每秒怠熬每秒G849B．563Ⅻ1．5450．000％0bpz065—1272．027硒200．000％，0bps{0128—2552．124I(B90．000％0bps’0256-511’0B00．000％0bpsO512—1023I．573啊B2，7580．000％0bp=01024—15178．672硒80．000％50bps0)"=151B0B00．000％0b=0邑TCI"数据包掌第熬鬟雹．剽鼋麓每秒旺麴每秒．TCP同步数据包0B00．000％0bp％0TCP结束连接数据包0B00．000％0b=0TCP复位数据包0B00．000％0bD=0图4．6蜜罐主机概要统计图4．7蜜罐主机协议解析。从图上可以清楚看到IP协议、IPv6协议，ICMPv6协议等网络协议的数据总流量、数据包数、发送流量／接受流量等信息。图4．7蜜罐主机协议解析从图4．8物理会话过程中可以看到宿主机和蜜罐主机的物理地址，及两天主机之间的数据流量情况。聱镪·旁圆学·登翻，葱·引．．21：_!!wa：M：叭鲔：；j盒葛甍．占l一>⋯0稿点2一荇棼时问“疆量敬鸯包．>(-数据包每秒字节一>·每杪字节量早发tj爹l霉ol：杈∞+静；缪：档二拍睨，罅。鼯：i：!ll§荔：!∞算铃；；霪：：髦”零辊缗鼢⋯一!，，璺i二山鳓。i～弱5藏谚I■奠熙礁t。弗，l磁OK)1921：C^30髓盯FF"”即盯00篱巧针245in,l，5450艏B，t0B，sOl15．1图4．8物理会话过程图4．91CMPv6数据包捕获为宿主机和蜜罐主机间用ICMPv6协议传输数据的 第四章蜜罐入侵检测分析系统的实现详细列表。394．3攻击事例分析图4．9ICMPv6数据包捕获网络上的数据如果是以IPv6协议传输的，数据经过IPv6协议解析模块后，就进入检测模块，首先数据送到预处理器，预处理器是在数据送到主检测之前提供一个报警、丢弃数据包、修改数据包的框架。下面是对虚拟蜜罐主机的IMCPPING6攻击实例还有相关分析。首先解释一下IMCP协议。英文原义：InternetControlMessageProtocol：中文释义：(RFC．792)Internet控制报文协议(网际控制报文协议)ICMP协议是一个非常重要的协议，它对于网络安全具有极其重要的意义。它是TCP／IP协议集中的一个子协议，属于网络层协议，主要用于在主机与路由器之间传递控制信息，包括报告错误、交换受限控制和状态信息等。当遇到D数据无法访问目标、P路由器无法按当前的传输速率转发数据包等情况时，会自动发送ICMP消息。IPv6实验环境下可以通过Pin96命令发送ICMP回应请求消息并记录收到ICMP回应回复消息。通过这些消息来对网络或主机的故障提供参考依据【281。 ICMP用于在m主机、路由器之间传递控制消息。控制消息是指网络通不通主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。。本文虚拟的攻击正是利用了ICMP协议的PING6命令对目标机进行扫描。(1)宿主机上进行PING6扫描，运行命令：PING6001：da8：200：900c：0·5efe：d228·15a0图4．10这时宿主机(攻击机)会宿主机向目标机发生IMCP数据包通过IMCPv6协议向目标机发送IMCP数据包，当然这个包也会被目标机蜜罐系统所捕获。如图4．11所示。00i9F二：二二i．i五：二二z=+o五‘-2二：二：：二：二2Og3A40200l00A童020090OZ．．⋯．一．．．．．：1．．．．．．．0032OO5Z霓∞：e15A020Oi0D船0200900宅OOOO5皇您02281S点48：．．‘．．{．．．．．．．．．．．‘．．{．．．03哇aOOO拿AA0000工毒皇0E工E2E3岳4E5E‘E7善gE奎EA6B6C∞往EF?O7172．．．．．．．-bod●fghl3klo日op《r00若{73々‘●57E776i￡2五364岳5gEE7E8￡j铯EB6：￡0言辜EF707172’3’Il￡uvw&bcdefghl：k1强opqr_：007D，暑7￡77EiE2E3EtS暑岳6676兮69{蕊铝ECE0EZ6F707l7273747S76uw量oc锵±gh：：k1锄：pq：5tuv009E776162E3E4656‘钉Ee￡拿n珏船。娃EF707i727374757E77E三wabcdefghl3zkop：fr2：u．，wo00AFE2E3f《E5￡若6"-善eE奎6AEB6C60程毫P，07i727374757E77古1E2E3bcdef49h：3k工：E品op皇rg=u二^f量．t：c00C童64岳S≤E岳7E85号￡A铝EC蔷oEZ6F707i72"3’‘7S7￡77￡i‘2若3E4E§defgh：二k1：EnoPq：stu二Ⅸ出c西t00Zi6667E8E9aE暮6C60蓐Z6亨707172737t7暑?677E1E2E3E465E6‘7fghl3kl立nmpq=ssuvwabcdefg00强EeE9娃6B6C60EEEF70717273747576776王E2￡36{ES6EE"EeE9hi]kli=nop可r5tuvwabcde!奢t垃0li3EA珏EC∞靠EF707i727374757E77E1E2636哇6566E7E窖E，张日]k1：Enop譬r0：u仰ibcdefghl3tO：2C蔷C∞EE5F707i72737t757‘7761￡253蔷tE5EE676eE，SAE呈EC回工jmopq：50州盂bcd自：g乜i3k1霉0145E￡5F7071727a7‘757677E1E2￡36465EEE7E8若弓E量EBEC{ED￡Z6Fnopq：stu似心cdef鲁∞]王：bE≈_。OlS￡々O7工72了374757677EiE2E3E{￡SEEE76aE9缸靠ECE。￡ESF707ipqr5=uw&bcde!啦]kmopqO工7772737‘?57E77EiE2E36‘65EE67E8E拿E矗6BEC￡0EZEF707工7273rs=uvw&bcdefghl3klrancpqzsOi90’t757E7’若t62E3与tE55毛钉5e毫3娃毛呈Ec∞鳃暑?"O’i，273’t’5tlzVw暑：bcae±口hi)t1_mopq：5tu0工A，7677E162∞6tE56EE7E8五亭5矗铝sc6D程EF70717273747S7E77VVibcdef窜hi]to皿-opqrgtuw0二02E1E2E3EtE5EEE7EaE9缸珏E06D韶若亨707王7273747S7E々7EIE2●bcde!ghl3王王墨己opqzj：uwtbO：：哩E3E‘E56E￡7EeE，娃罐scED靠EF707l72737‘75，S77蔷iE2￡3E4odefghl3k】．髓opqrstuvvibcdOl亨●E毛66钉6eE，EA船5c∞钷EF，O7172o,3，4757羞776i6253若‘6556efgzi]kIsulcpqrstu％-wabcdef0203E7EgE，娩￡暑酡让程EF7071’27374，S"E77毛iE25364ES岳￡钉E8q虹13to口∞pqrj℃uw§D2dt￡售h0226E9{A￡BE0606毫EF70，1727374757677EiE2￡35‘556￡67E8E拿娃i3k1E巴口。；，qzg：uvwtbodefq士uL]023F稆鲒ED娃EF707i72’3，‘75"677El62E3ElE5￡岳t1正n口pqrstqwBbcdef图4．11捕获到Pv6数据包解包的结果分析该数据包，可以发现主要数据为大量重复字母，是典型的IMCPv6PING6类型扫描。对数据包解码分析。 第四章蜜罐入侵检测分析系统的实现41●_一图4．12ICMPv6数据包解码分析上面显示的分别是数据包信息，以太网II，因特网协议，互联网协议第6版，互联网控制消息协议6，帧校验序列等。(2)对宿主机的攻击包进行分析‘数据包信息：数据包编号：数据包长度：捕获长度：时间戳：以太网-II[EthemetTypeII】：目标地Jqk[DestinationAddress]：源地址[SourceAddress]：协议类型[Protoc01]：m．因特网协议[iv-IntemetProtoc01]：版本[Version]：头部长度[HeaderLength]：0361355985942009．11．3001：24：52．52821600：19：21：CA：30：BB【0／6】00：0E：A6：02：BF：53【6／6】Ox0800(IntemetIP(n,v4))【12／2】4【14／1】0x00F05(20字节)[14／1】0x000F区分服务字段[DifferentiatedServicesField]：00000000【15／1】0x00FFIPV6．互联网协议第6版[IPV6-IntemetTestProtocolVersion6】：版本[Version]：6【34／1】0x00F0优先级[TrafficClass]：0【34／2】0x0FF0流标签[FlowLabel]：0【35／3】0xFFFFF负载数据长度[PayloadLength]：520【38／2】上层协议[NextHeader]：58【40／1】跳数[HopLimit]：64【41／1】 42IPv6环境下蜜罐系统的研究与应用源地址[SourceAddress]：2001：ODA8：0200：900E：0000：5EFE：210．40．21．160目的地JaL[DestinationAddress]：2001：0DA8：0200：900E：0000：5EFE：21O．40．21．164ICMPv6一互联网控制消息协议6[ICMPv6-InternetControlMessageProtocolVersion6]：[74／520】类型[Type]：子类[Code]：校验和[Checksum]：标识[Identifier]：序列号[SequenceNumber]：任意数据[Arbitrarydata]：FCS．帧校验序列：FCS：129(回放回应)【74／1】0【75／1】3347【76／2】0[78／2】4436【80／2】512字节[82／512】0xC5144426(计算出的)通过对宿主机(攻击机)的IMCP扫描分析发现，MAC地址为00：19：21：CA：30：BBIP地址为2001：0DA8：0200：900E：0000：5EFE：210．40．21．164的宿主机(攻击机)，对MAC地址为00：0E：A6：02：BF：53，IP地址为2001：ODA8：0200：900E：0000：5EFE：210．40．21．160的目标机进行扫描，包数据为512字节。总的来说，本系统对基于IPv6环境下的这次IMCPv6攻击的数据捕获，数据分析是成功的，结果的可视化显示也给出对攻击动作和场景的分析提供了更直观，方便的途径。攻击机在IPv6蜜罐系统下完全透明，无所遁形。 第五章总结与展望43●-一相比现有网络而言，下一代(IPv6)网络安全是一个复杂的问题，只依靠有限网络安全产品是不能解决问题的。必须综合应用多种安全技术，并将其功能有机地整合到一起进而构成统一的网络安全基础设施。蜜罐技术的出现为整个安全界注入了新鲜的血液。它不仅可以作为独立的信息安全工具，还可以与其它安全工具协作使用，从而取长补短地对入侵者进行检测。蜜罐可以查找并发现新型攻击和新型攻击工具，从而解决了入侵检测系统和防火墙中无法对新型攻击迅速做出反应的缺点。5．1论文的主要工作本论文主要针对下一代(IPv6)网络协议、安全主动防御中的入侵诱骗技术进行了研究，系统分析了IPv6协议并与IPv4进行比较，介绍了网络安全防御技术、网络入侵检测技术和蜜罐技术，对己有入侵诱骗技术进行了分类研究，对网络入侵诱骗的体系结构和模型进行了分析，在此基础上提出了一个基于IPv6网络的蜜罐入侵系统的网络安全解决方案，最后就系统进行了测试与分析。作者所做的主要工作包括：(1)通过贵州大学实验室网络配置共享IPv6资源，IPv6主机，搭建了小型的纯IPv6试验网，并且在此基础上进行了IPv6网络系列试验，如IPv6Router、IPv6／IPv4tunnel、双栈协议、DNS服务器等，获得了大量的实践经验和试验数据(2)通过贵州大学实验室网络连通CERNET2，共享IPv6资源。并研究分析IPv6的安全协议IPsec，完成m认证标头和封装安全载荷的测试，完成IPv6互联网安全隐患和脆弱性机理分析报告，同时研究IPv6ISPEC以及IPv4与IPv6在协议上的区别和联系(3)分析Honeyd虚拟蜜罐入侵检测模型，并简要介绍基于VMware虚拟机软件环境实现虚拟蜜罐原理，并在在此模型基础上，采用sniffer类监控工具搭建蜜罐系统。本系统的实现是通过sniffer类监控工具或网络管理程序来完成的，直接通过镜像端口对入侵者接入端口或总出口进行sniffer监控。所有数据流量将被原封不动的转发到sniffer监控端，这样就可以仔细分析入侵者的网络流量以及相关数据信息了。 44●_一IPv6环境下蜜罐系统的研究与应用(4)在IPv6环境下搭建蜜罐模型，就蜜罐陷阱进行攻击。在攻击实验中，在攻击机(即宿主主机)上运行XScan漏洞扫描工具对虚拟机蜜罐实施漏洞扫描。在蜜网网关上对XScan漏洞扫描过程中的每个网络连接都进行了完备的记录，从蜜网网关数据摘要视图可发现正在扫描的攻击机口地址、MAC地址等详细信息。在拒绝服务攻击实验中，采用在宿主机(攻击机)上运行PING6扫描命令，向目标主机长时间、连续、大量地发送512Kbyte的ICMP数据包。该IMCP数据包被目标机蜜罐系统所捕获，并进行解包。通过对数据包的解码分析可以判断攻击类型并对宿主主机进行锁定。5．2对后续工作的展望本文对IPv6下的蜜罐诱骗技术的网络安全系统的研究还不够深入，未能提出一个比较好的对网络安全系统进行评价的指标体系。运用蜜罐技术将攻击转向的方法只是对telnet和FTP等～些常用的攻击行为进行诱骗的试验，对蜜罐模拟网络功能没有完整的进行实现。同时，所构建的蜜罐模型的实现还有待进一步完善，对蜜罐模型诱导控制入侵行为、保护目标网络安全性的作用和效果还有待进一步的研究和分析。蜜罐的原理和设计、实现相对于其他网络信息安全防护技术比较简单，但是它自身就面临巨大的安全风险，如何保障蜜罐自己的安全同时避免被入侵者利用作为攻击其他系统的跳板，是设计、实现蜜罐时不可忽视的一个重要方面。同时蜜罐够不够甜是它能否发挥其作用的关键，攻击诱骗技术和保障蜜罐自身安全的数据控制的目前蜜罐技术研究的重点，此外一个完备的应用和部署策略也是蜜罐能否体现其价值的关键。对蜜罐收集的数据进行充分、系统的分析是目前蜜罐技术的一个薄弱环节。对蜜罐捕捉的数据进行分析，但是分析还很不完善，还没有达到对多层数据的有机融合，这需要进一步改进和完善。在对网络攻击行为实施诱骗的过程中，蜜罐只是捕捉网络攻击行为的一种比较常用的工具，在本对系统评估和反思中，还发现存在比如数据过载、误报和资源不足等问题129-321o因此，还需要对网络攻击行为进行细致的学习和研究，最终调整安全策略、部署以及从根本上改善信息安全现状才是基于IPv6下的“蜜罐"入侵检测系统的真正目的。网络攻击者、攻击目的意图以及使用的手段多种多样、层出不穷，对网络攻击行为进行明确的划分是对网络攻击行为研究和进行诱骗的必要前提。 致谢45本文是在导师权义宁副教授的悉心指导下完成的。在攻读硕士学位期间，权老师在学习、工作、生活等多方面给了我精心的指导和极大的关怀。权老师严谨的治学态度、为人师表的品格一直感染并激励着我，并将使我终身受益；在生活和工作上的关怀，学生将终生难忘。值此论文完成之际，谨向导师致以最衷心的感谢。在论文撰写过程中，曾得到许多老师和同学的帮助，在此同时要向关心我学业的同学、亲友和师长表达真挚的谢意。最后，要感谢评阅、评议硕士论文和出席硕士论文答辩会的各位专家学者，感谢他们在百忙的工作中能给予指导。 一46IPv6环境下蜜罐系统的研究与应用—————————————————————————————————————————————————————一一 参考文献【l】P．Sfisuresh，G．Tsirtsis．NetworkAddressTranslation-ProtocolTranslation(NAT-PT)．RFC2766，February2000．【2】S．Deering，A．Conta．GenericPacketTunnelinginIPv6Specification．RFC2473．December1998．[3]S．Hanks，T．Li，D．Farinaccieta1．GenericRoutingEncapsulation(Ged三)．RFC1701．October1994．[4]Honeyd[EM／OL]http：／／www．Honeyd．org．[5]夏春和，吴震，赵勇等．入侵诱骗模型的研究与建立[J]．计算机应用研究，2002，v01．19(4)：76-79．[6】宋如顺，钱刚，陈波．网络系统安全技术[M】．南京：东南大学出版社，2000．261·265[7】吴震．入侵诱骗技术中诱骗环境的研究与实现[J]．计算机应用研究，2003，v019(5)：16．19[8】周逊，口v6-下一代互联网的核心[M】，成都电子工业出版社，2003．8．[9】张飒兵等，IPv6／IPv4的迁移，IPv62003中国高峰会，2003．4．[10】傅光轩等，IPv6技术及其实验床的实现，贵州大学学报，2003，5．P165-P168．[11]B．Mukherjee，L．T．Heberlein，andK．N．Levia，NetworkIntrusionDetection，IEEENetwork，pages26—41，May／June1994．[12]Denning．D，AnIntrusionDetectionModel，IEEEIranscfionsonSoftwareEngineering，1987，13(2)：222-232．[13]雷震洲，从IPv4到IPv6的过渡[J]，现代电信科技，2002，10【14]阮耀平，易江波，赵战生．计算机入侵检测模型与方法．计算机工程，1999，V01．25(9)：63—65．[15】AndersonD，Frivold，Th．andValdes，A．Next—generationIntrusion—DetectionExpertSystem(NIDES)：ASummary．SRL—CSL-95—07，SILlInternational，MenloPark，CA，May1995．[16]AurobindoSundaram．AnIntrusiontoIntrusionDetection．http：／／www．CS．purdue．edu／homes／sundararn／papers／intrus．htm．[17]刘晨、张槟．黑客与网络安全，航空工业出版社1999．【18]唐正军等．网络入侵检测系统的设计与实现，电子工业出版社，2002．[19]李腊元．通信协议形式化模型的研究计算机学报，1998，v01．21(5)：419--√427[20]NetworkBasedIntrusionDetection—Areviewoftechnologies．DENMAC 48IPv6环境下蜜罐系统的研究与应用SYSTEMS，INCNOVEMBER1999[21】HartleyBruce．"Honeypots：AnewDimensiontoIntrusionDetection"’August2000URL：http：／／www．advisor．corn／MIS[22]LanceSpitzner．HoneypotsDefinitionsandValueofHoneypots．29September2001URL：http：／／www．enteract．com／～lspitz[23】柳亚鑫，吴智发，诸葛建伟．基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析，北大狩猎女神项目组技术报告。2005．【24]F．Pouget，T．Holz．APointillistApproachforComparingHoneypots，2005．[25】EdwardBalasandCamiloViecco．TowardsaThirdGenerationDataCapture‘ArchitectureforHoneynets，2005．[26]ThorstenHolzandFredericRaynal，DetectingHoneypotsandOtherSuspiciousEnvironments，2005．[27]AndersonJP．Computersecuritythreadmonitoringandsurveillance[R]．FortWashington，PA：JamePAndersonCo，1980．【28】TenerWT．Discovery：anexpertsysteminthecommercialdatasecurityenvironment[R]．NorthHolland：ProcFourthJFIPTC1InternationalConferenceonComputerSecurity,1986．[29]赵海波，李建华，杨宇航．《网络入侵智能化实时检测系统》[J]．上海交通大学学报，1999，v0136(1)：76．79．[30】杨弈．基于入侵诱骗技术的网络安全研究与实现[J]．计算机应用研究，2004，vol10(3)：231．233【31】杨学刚，王传，陈云芳．基于诱捕方式的网络安全系统的研究与实现[J]．南京邮电学院学报，2005．vol15(2)：80．85【32]陈伟．网络攻击行为及蜜罐技术研究．广西：电子科技大学，2004：28．3