-
網絡欺騙
鎖定
- 中文名
- 網絡欺騙
- 外文名
- Network cheating
- 含 義
- 侵者相信信息系統存在有價值的
- 目 的
- 可利用的安全弱點
- 要 求
- 具有一些可攻擊竊取的資源
網絡欺騙簡介
當今世界,計算機網絡遍佈世界每個角落,深入各個領域,它正在對我們的生活方式和工作方式產生着前所未有的影響,如同交通工具和水利、電力一樣日益成為人們生活中不可缺少的組成部分,同時網絡的多元化,複雜化,人們對網絡知識的瞭解也越來越深入,網絡上的攻擊行為變得越來越多,已經嚴重威脅到網絡信息安全,網絡欺騙已經越來越多的引起了人們的注意與警惕。
[1]
網絡欺騙就是使攻擊者可以相信網絡信息系統存在有價值的、可利用的安全弱點,並具有一些可攻擊竊取的資源,通過隱藏,偽造信息或安插錯誤信息,從而將攻擊者引向這些錯誤的資源,它能夠顯著地增加攻擊者的工作量,複雜度以及不確定性,從而使攻擊者不知道其攻擊是否奏效或成功。
[1]
網絡欺騙主要技術
網絡欺騙蜜罐技術
網絡欺騙一般通過隱藏和安插錯誤信息等技術手段實現,前者包括隱藏服務、多路徑和維護安全狀態信息機密性,後者包括重定向路由、偽造假信息和設置圈套等等。綜合這些技術方法,最早採用的網絡欺騙是Honey Pot技術,它將少量的有吸引力的目標(我們稱之為Honey Pot)放置在入侵者很容易發現的地方,以誘使入侵者上當。
[2]
這種技術的目標是尋找一種有效的方法來影響入侵者,使得入侵者將技術、精力集中到Honey Pot而不是其它真正有價值的正常系統和資源中。Honey Pot技術還可以做到一旦入侵企圖被檢測到時,迅速地將其切換。
網絡欺騙分佈式蜜罐技術
分佈式蜜罐技術將欺騙(Honey Pot)散佈在網絡的正常系統和資源中,利用閒置的服務端口來充當欺騙,從而增大了入侵者遭遇欺騙的可能性。它具有兩個直接的效果,一是將欺騙分佈到更廣範圍的IP地址和端口空間中,二是增大了欺騙在整個網絡中的百分比,使得欺騙比安全弱點被入侵者掃描器發現的可能性增大。
儘管如此,分佈式Honey Pot技術仍有侷限性,這體現在三個方面:一是它對窮盡整個空間搜索的網絡掃描無效;二是隻提供了相對較低的欺騙質量;三是隻相對使整個搜索空間的安全弱點減少。而且,這種技術的一個更為嚴重的缺陷是它只對遠程掃描有效。如果入侵已經部分進入到網絡系統中,處於觀察(如嗅探)而非主動掃描階段時,真正的網絡服務對入侵者已經透明,那麼這種欺騙將失去作用。
網絡欺騙蜜網技術
蜜罐技術是一個故意設計的存在缺陷的系統,可以用來對檔案信息網絡入侵者的行為進行誘騙,以保護檔案信息的安全。蜜網技術是一個用來研究如何入侵系統的工具,是一個設計合理的實驗網絡系統。蜜網技術第一個組成部分是防火牆,它記錄了所有與本地主機的聯接並且提供 NAT 服務和DOS 保護、入侵偵測系統(IDS)。IDS 和防火牆有時會放置在同一個位置,用來記錄網絡上的流量且尋找攻擊和入侵的線索。第二個組成部分是遠程日誌主機,所有的入侵指令能夠被監控並且傳送到通常設定成遠程的系統日誌。
[2]
網絡欺騙空間欺騙技術
空間欺騙技術就是通過增加搜索空間來顯著地增加檔案系統網絡入侵者的工作量,從而達到安全防護的目的。該技術運用的前提是計算機系統可以在一塊網卡上實現具有眾多 IP 地址,每個 IP地址都具有它們自己的 MAC 地址。這項技術可用於建立填充一大段地址空間的欺騙,且花費極低。當網絡入侵者的掃描器訪問到網絡系統的外部路由器並探測到這一欺騙服務時,還可將掃描器所有的網絡流量重定向到欺騙上,使得接下來的遠程訪問變成這個欺騙的繼續。當然,採用這種欺騙時,網絡流量和服務的切換必須嚴格保密,因為一旦暴露就將招致入侵,從而導致入侵者很容易將任一個已知有效的服務和這種用於測試網絡入侵者的掃描探測及其響應的欺騙區分開來。
[2]
網絡欺騙網絡信息迷惑技術
網絡動態配置和網絡流量仿真。產生仿真流量的目的是使流量分析不能檢測到欺騙的存在。在欺騙系統中產生仿真流量有兩種方法。一種方法是採用實時方式或重現方式複製真正的網絡流量,這使得欺騙系統與真實系統十分相似 ,因為所有的訪問聯接都被複制。第二種方法是從遠程產生偽造流量,使網絡入侵者可以發現和利用。面對網絡入侵技術的不斷提高,一種網絡欺騙技術肯定不能做到總是成功,必須不斷地提高欺騙質量,才能使網絡入侵者難以將合法服務和欺騙服務進行區分。
[2]
網絡欺騙主要形式
網絡欺騙增強欺騙質量
面對網絡攻擊技術的不斷提高,一種網絡欺騙技術肯定不能做到總是成功,必須不斷地提高欺騙質量,才能使入侵者難以將合法服務和欺騙區分開來。
網絡欺騙網絡流量仿真
產生仿真流量的目的是使流量分析不能檢測到欺騙。在欺騙系統中產生仿真流量有兩種方法。一種方法是採用實時方式或重現方式複製真正的網絡流量,這使得欺騙系統與真實系統十分相似,因為所有的訪問連接都被複制了。第二種方法是從遠程產生偽造流量,使入侵者可以發現和利用。
網絡欺騙網絡動態配置
真實網絡是隨時間而改變的,如果欺騙是靜態的,那麼在入侵者長期監視的情況下就會導致欺騙無效。因此,需要動態配置欺騙網絡以模擬正常的網絡行為,使欺騙網絡也象真實網絡那樣隨時間而改變。為使之有效,欺騙特性也應該能儘可能地反映出真實系統的特性。例如,如果辦公室的計算機在下班之後關機,那麼欺騙計算機也應該在同一時刻關機。其它的如假期、週末和特殊時刻也必須考慮,否則入侵者將很可能發現欺騙。
網絡欺騙多重地址轉換
(multiple address translation)