虚拟蜜罐软件Honeyd(v1.0)简介、安装与使用文档资料.pdf

虚拟蜜罐软件Honeyd(v1.0)简介、安装与使用文档 Honeyd 是一款优秀的开源虚拟蜜罐软件，由 Google 公司软件工程师 Niels Provos 于 2003 年开始研发，2005 年发布 v1.0 正式版，目前已发布了 v1.5b。Honeyd 能让一台主机在一个模拟的局域网环境中配有多个地址（曾测试过的最多可以达到 65536 个），外界的主机可以对虚拟的蜜罐主机进行 ping、traceroute 等网络操作，虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟，也可以为真实主机的服务提供代理。 Honeyd 的主要功能是提供威胁检测与评估机制来提高计算机系统的安全性，也可以通过将真实系统隐藏在虚拟系统中来阻止外来的攻击者。由于 Honeyd 只能进行网络级的模拟，不能提供真实的交互环境，能获取的有价值的攻击者的信息比较有限，因此 Honeyd 所模拟的蜜罐系统常常是作为真实应用的网络中转移攻击者目标的设施，或者是与其他高交互的蜜罐系统一起部署，组成功能强大但花费又相对较少的网络攻击信息收集系统。 Honeyd 的设计与实现主要分为两个部分：网络数据收集和软件体系结构。在网络数据收集中，Honeyd 需要正确的配置网络，以便让路由器将发送给虚拟蜜罐的数据包传递到 Honeyd 主机上。有几种方法可以实现网络的配置，如为指向 Honeyd 主机的虚拟 IP 建立特殊的路由、使用代理 ARP 或者使用网络隧道等。 Honeyd 的软件体系结构由几个组件构成，这些组件是配置数据库、中央包分发器、协议处理器、个性引擎和可选路由构件。系统接受到的数据会由中央包分发器进行处理，首先中央包分发器会检查 IP 包的长度，修改包的校验和。Honeyd 框架响应的是最主要的 3 种互联网协议：ICMP、TCP 和 UDP，其他协议的包在被记入日志后会被悄悄丢弃。 在处理数据包之前，分发器会查询配置数据库以查找到一个符合目标地址的蜜罐配置。如果没有特定的配置存在，系统会采用默认配置模板。给定配置后，数据包和相应的配置会被转交给相应的协议处理器处理。ICMP 协议处理器支持多数的 ICMP 查询。默认情况下，所有的蜜罐配置都会响应 echo 请求，并且处理“destination unreachable”消息。其他请求的处理主要依赖于个性引擎的配置。 对于 TCP 和 UDP 包，Honeyd 可以建立到任意服务的连接。这些服务是外部的应用程序，可以通过标准输入输出来接收和输出数据。不同于为每个连接创建一个新进程，Honeyd 支持子系统 (subsystem) 和内部服务 (internal service)，子系统是一个运行在某个虚拟蜜罐的名称空间下的应用程序，子系统的特定应用是在相应的虚拟蜜罐实例化的时候创建的。一个子系统可以绑定端口、接收连接和创建网络连接。子系统是作为外部进程运行的，而内部服务则是一个 Honeyd 内部运行的 Python 脚本。内部服务要求的资源比子系统更少，但只能接收连接，不能创建网络连接。 Honeyd 是一个功能强大且灵活的虚拟蜜罐软件，可以模拟多个地址，提供威胁检测与评估机制，提高计算机系统的安全性，并且可以与其他高交互的蜜罐系统一起部署，组成功能强大但花费又相对较少的网络攻击信息收集系统。