不同的网络操作系统在处理网络信息时是不完全相同的,存在着各自的特点,这些特点就称为系统的“指纹”。通过识别这些指纹就可以实现网络系统的识别。操作系统指纹的存在是一把双刃剑。一方面可以利用它进行网络拓扑的主动发现,辅助管理人员对整个网络的监控、管理,提高效率和管理水平;另一方面,操作系统指纹泄漏了自己的“身份”,如操作系统类型和版本号,为网络安全埋下了极大的隐患。对于一个黑客来说,知道了网络上一台主机的操作系统类型和版本号,那么攻破这台主机只是时间上早一点或迟一点的问题。
蜜罐的存在价值就是被探测和被攻击,甚至被攻陷。如果蜜罐因为指纹问题很容易被发现,蜜罐就无法起到诱骗作用,失去了布置的意义。
为了在被探测的时候表现得跟真实的系统一样,虚拟蜜罐要模拟给定操作系统的网络栈行为,这是虚拟蜜罐的一部分特征。不同的特征能被设计成不同的虚拟蜜罐。特征引擎通过改变协议数据包头部来匹配特定的操作系统,从而表现出相应的网络协议栈行为,这一过程成为指纹匹配。Honeyd运用NMAP的指纹数据库作为TCP和UDP行为特征的的参考;用XPROBE指纹数据库作为ICMP行为的参考。
Honeyd逻辑上的特征引擎是由相关的函数参考配置数据库中的参数,然后分别对各自的数据包进行指纹处理得到的。这些被处理的数据包主要由TCP数据包、UDP数据包和ICMP数据包。其中tcp_send(),tcp_personality()负责处理TCP数据包的指纹;udp_send()负责处理UDP数据包的指纹;icmp_send()数据包
负责处理ICMP数据包的指纹。
阅读(1107) | 评论(0) | 转发(0) |