School – 基于 HFish 的网络威胁捕捉与诱骗分析

本文用来水暑假的研究性学习报告

摘要 本文给出了一种基于 HFish 的网络威胁捕捉与诱骗系统的简单搭建模式,并通过此系统捕捉了当今互联网上的部分网络攻击,通过这些数据进行简单的整理分析,透漏出网络中的潜在威胁。

关键词 网络安全 黑客攻击 网络攻防 密码破译

研究背景

作为一个小型个人网站的站主,可能并不会感觉到自己的网站被扫描与攻击,但实际上,互联网中有不少潜在的威胁。网站在明处,潜在威胁在暗处,并不容易对潜在威胁做定性定量分析,所以就需要威胁捕捉与诱骗系统通过模仿真实网站的行为,捕捉潜在的网络威胁,并进行统计分析。

研究内容

通过 蜜罐 技术对互联网上的潜在威胁进行捕捉和分析。

蜜罐 技术本质上是一种对攻击方进行 欺骗的技术,通过布置一些作为 诱饵的主机、网络服务 或者 信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行 捕获 和 分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

框架设计

graph LR

蜜罐-SSH --- 节点端-A
蜜罐-FTP --- 节点端-A
蜜罐-MySQL --- 节点端-A
蜜罐-Telnet --- 节点端-B
蜜罐-WordPress --- 节点端-B
蜜罐-其他 --- 节点端-B

节点端-A --- 控制端
节点端-B --- 控制端

蜜罐 – 指虚假伪造的服务端程序,用于模拟不同服务类型。
节点端 – 接受控制端的控制并负责构建蜜罐服务。
控制端 – 生成和管理节点端,并接收、分析和展示节点端回传的数据。

实现方法与步骤

  1. 使用 天翼云 服务器搭建节点端
  2. 使用 群晖 Docker 搭建控制端
  3. 配置 HFish 并开始诱捕

出现的问题与解决过程

受到群晖性能限制,加上 HFish 默认使用的数据库性能低下,导致控制端在运行一段时间后进入无响应状态,解决办法是不使用 HFish 的默认数据,而是通过 Docker 网桥连接到装有 MySQL 的容器,通过 MySQL 管理记录。

项目创新点

运用网络威胁捕捉与诱骗技术使网站可以提前预知潜在网络威胁,提前部署防护。

研究结果

实物展示

结果分析

  • 各蜜罐被攻击次数占比

  • 捕捉期间攻击趋势

  • 常见试探账户

  • 攻击来源地理位置

结论

攻击数量是真 TM 多

本次捕捉从 8月1日 到 8月20日 一共 20 天时间,一共被扫描攻击了上万次,可以看出互联网上的潜在威胁的严重性, SSH 服务最容易被盯上。通过账户可以了解到一些不安全的用户名和密码。受到节点服务器地理位置影响,本次捕捉到的攻击源主要来自国内。

这些数据提醒我们用户名和密码一定不能使用默认值,要加强密码的复杂度,要关闭不需要的服务与端口,设置好服务器防火墙。看似平静的互联网背后,有无数的人虎视眈眈的盯着我们的服务器,网络威胁捕捉与诱骗系统可以让我们形象的看到他背后的威胁。

参考文献

[1] Docker Documentation. docker.readthedocs.org. 2014-01-04.
[2] HFish Documentation. hfish.io.
[3] Synology Knowledge Center – Docker www.synology.com.
[4] Synology Knowledge Center – Virtual Machine Manager www.synology.com.

发表回复