computer 版 (精华区)

发信人: Aug (如风~冻死了~), 信区: network
标  题: 网络欺骗技术
发信站: 听涛站 (Fri Sep  8 02:26:34 2000), 转信

◆ 网络欺骗技术 
 
作者：谷雨 
出处：《YESKY》 
日期：2000-8-15 

    


什么是网络欺骗？

计算机系统及网络的信息安全将是新世纪中各国面临的重大挑战之一。在我国，这
一问题已引起各方面的高度重视，一些典型技术及相关产品如密码与加密、认证与访
问控制、入侵检测与响应、安全分析与模拟和灾难恢复都处于如火如荼的研究和开发
之中。近年来，在与入侵者周旋的过程
中，另一种有效的信息安全技术正渐渐地进入了人们的视野，那就是网络欺骗。

网络欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点，并具有一
些可攻击窃取的资源（当然这些资源是伪造的或不重要的），并将入侵者引向这些错
误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入
侵者不知道其进攻是否奏效或成功。而
且，它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞
。

从原理上讲，每个有价值的网络系统都存在安全弱点，而且这些弱点都可能被入侵
者所利用。网络欺骗主要有以下三个作用：

　　影响入侵者使之按照你的意志进行选择；

　　迅速地检测到入侵者的进攻并获知其进攻技术和意图；

　　消耗入侵者的资源。

一个理想的网络欺骗可以使入侵者感到他们不是很容易地达到了期望的目标（当然
目标是假的），并使其相信入侵取得了成功。



网络欺骗的主要技术


Honey Pot和分布式Honey Pot

网络欺骗一般通过隐藏和安插错误信息等技术手段实现，前者包括隐藏服务、多路
径和维护安全状态信息机密性，后者包括重定向路由、伪造假信息和设置圈套等等。
综合这些技术方法，最早采用的网络欺骗是Honey   Pot技术，它将少量的有吸引力的
目标（我们称之为Honey 
Pot）放置在入侵者很容易发现的地方，以诱使入侵者上当。

这种技术的目标是寻找一种有效的方法来影响入侵者，使得入侵者将技术、精力集
中到Honey Pot而不是其它真正有价值的正常系统和资源中。Honey Pot技术还可以做
到一旦入侵企图被检测到时，迅速地将其切换。

但是，对稍高级的网络入侵，Honey Pot技术就作用甚微了。因此，分布式Honey Po
t技术便应运而生，它将欺骗（Honey 
Pot）散布在网络的正常系统和资源中，利用闲置的服务端口来充当欺骗，从而增大
了入侵者遭遇欺骗的可能性。它具有两个直接的效果，一是将欺骗分布到更广范围的
IP地址和端口空间中，二是增大了欺骗在整个网络中的百分比，使得欺骗比安全弱点
被入侵者扫描器发现的可能性增大。

尽管如此，分布式Honey 
Pot技术仍有局限性，这体现在三个方面：一是它对穷尽整个空间搜索的网络扫描无
效；二是只提供了相对较低的欺骗质量；三是只相对使整个搜索空间的安全弱点减少
。而且，这种技术的一个更为严重的缺陷是它只对远程扫描有效。如果入侵已经部分
进入到网络系统中，处于观察（如嗅探）而非主动扫描阶段时，真正的网络服务对
入侵者已经透明，那么这种欺骗将失去作用


欺骗空间技术

欺骗空间技术就是通过增加搜索空间来显著地增加入侵者的工作量，从而达到安全
防护的目的。利用计算机系统的多宿主能力（multi－homed 
capability），在只有一块以太网卡的计算机上就能实现具有众多IP地址的主机，
而且每个IP地址还具有它们自己的MAC地址。这项技术可用于建立填充一大段地址空间
的欺骗，且花费极低。实际上，现在已有研究机构能将超过4000个IP地址绑定在一台
运行Linux的PC上。这意味着利用16台
计算机组成的网络系统，就可做到覆盖整个B类地址空间的欺骗。尽管看起来存在许
许多多不同的欺骗，但实际上在一台计算机上就可实现。

从效果上看，将网络服务放置在所有这些IP地址上将毫无疑问地增加了入侵者的工
作量，因为他们需要决定哪些服务是真正的，哪些服务是伪造的，特别是这样的4万个
以上IP地址都放置了伪造网络服务的系统。而且，在这种情况下，欺骗服务相对更容
易被扫描器发现，通过诱使入侵者上当，增加了入侵时间，从而大量消耗入侵者的资
源，使真正的网络服务被探测到的可能性大大减小。

当入侵者的扫描器访问到网络系统的外部路由器并探测到一欺骗服务时，还可将扫
描器所有的网络流量重定向到欺骗上，使得接下来的远程访问变成这个欺骗的继续。

当然，采用这种欺骗时网络流量和服务的切换（重定向）必须严格保密，因为一旦
暴露就将招致攻击，从而导致入侵者很容易将任一已知有效的服务和这种用于测试入
侵者的扫描探测及其响应的欺骗区分开来。



增强欺骗质量

面对网络攻击技术的不断提高，一种网络欺骗技术肯定不能做到总是成功，必须不
断地提高欺骗质量，才能使入侵者难以将合法服务和欺骗区分开来。

网络流量仿真、网络动态配置、多重地址转换和组织信息欺骗是有效增强网络欺骗
质量的几种主要方法，下面分别予以介绍。

网络流量仿真

产生仿真流量的目的是使流量分析不能检测到欺骗。在欺骗系统中产生仿真流量有
两种方法。一种方法是采用实时方式或重现方式复制真正的网络流量，这使得欺骗系
统与真实系统十分相似，因为所有的访问连接都被复制了。第二种方法是从远程产生
伪造流量，使入侵者可以发现和利用。


网络动态配置

真实网络是随时间而改变的，如果欺骗是静态的，那么在入侵者长期监视的情况下
就会导致欺骗无效。因此，需要动态配置欺骗网络以模拟正常的网络行为，使欺骗网
络也象真实网络那样随时间而改变。为使之有效，欺骗特性也应该能尽可能地反映出
真实系统的特性。例如，如果办公室的
计算机在下班之后关机，那么欺骗计算机也应该在同一时刻关机。其它的如假期、
周末和特殊时刻也必须考虑，否则入侵者将很可能发现欺骗。

多重地址转换（multiple address translation）

地址的多次转换能将欺骗网络和真实网络分离开来，这样就可利用真实的计算机替
换低可信度的欺骗，增加了间接性和隐蔽性。其基本的概念就是重定向代理服务（通
过改写代理服务器程序实现），由代理服务进行地址转换，使相同的源和目的地址象
真实系统那样被维护在欺骗系统中。右
图中，从m.n.o.p进入到a.b.c.g接口的访问，将经过一系列的地址转换——由a.f.c
.g发送到10.n.o.p再到10.g.c.f，最后将数据包欺骗形式从m.n.o.p转换到真实机器
上的a.b.c.g。并且还可将欺骗服务绑定在与提供真实服务主机相同类型和配置的主机
上，从而显著地提高欺骗的真实性。还可以尝试动态多重地址转换。

创建组织信息欺骗

如果某个组织提供有关个人和系统信息的访问，那么欺骗也必须以某种方式反映出
这些信息。例如，如果组织的DNS服务器包含了个人系统拥有者及其位置的详细信息，
那么你就需要在欺骗的DNS列表中具有伪造的拥有者及其位置，否则欺骗很容易被发
现。而且，伪造的人和位置也需要有伪
造的信息如薪水、预算和个人记录等等。



结束语

  
本文阐述了网络欺骗在信息系统安全中的作用及实现的主要技术，并介绍了增强欺
骗质量的具体方法。高质量的网络欺骗，使可能存在的安全弱点有了很好的隐藏伪装
场所，真实服务与欺骗服务几乎融为一体，使入侵者难以区分。因此，一个完善的网
络安全整体解决方案，离不开网络欺骗
。在网络攻击和安全防护的相互促进发展过程中，网络欺骗技术将具有广阔的发展
前景。

 
版权所有，未经许可，不得转载
1999-2000 Nsfocus Corporation. All rights reserved. 
- -    从今不问江湖事,琴剑相伴自逍遥 

--
※ 修改:．Aug 于 Sep  8 02:33:21 修改本文．[FROM: 匿名天使的家]
※ 来源:．听涛站 cces.net．[FROM: 匿名天使的家]