共计 3636 个字符,预计需要花费 10 分钟才能阅读完成。
蜜罐的简介
置信大家对于“蜜罐”的概念,都是理解的。这里简略介绍一下:蜜罐(Honeypot)是指一种平安机制,通过诱骗攻击者进入一个看似实在的零碎环境,从而让攻击者裸露本人的攻击行为和办法,以便分析攻击伎俩并进步网络安全防护的能力。能够将蜜罐比喻为钓饵,就像钓鱼时应用的鱼饵一样,攻击者会被蜜罐中看似易攻打的指标所吸引,进入其中后就会被拦挡或者留下攻打痕迹,为平安人员提供对攻打伎俩和威逼的更深刻理解。
蜜罐的利用模式
低交互蜜罐
低交互蜜罐(Low-interaction honeypots):它们是一种虚拟环境,其次要性能是诱骗攻击者,让其置信它们是实在的零碎环境。这种蜜罐通常只模仿了大量服务或利用,例如 HTTP 服务或者 DNS 服务,以保障攻击者进入蜜罐后对实在零碎的影响最小。
低交互蜜罐通常是一些轻量级的虚拟机或容器,次要用于模仿网络服务或应用程序,例如 HTTP、FTP、SMTP、SSH、Telnet 等。这些服务通常只提供了基本功能,仅仅用来吸引攻击者。以下是一个应用 Docker 容器创立 HTTP 低交互蜜罐的示例代码:
# Dockerfile
FROM httpd:2.4
# Create a fake admin directory
RUN mkdir -p /usr/local/apache2/htdocs/admin
# Copy index.html to the fake admin directory
COPY index.html /usr/local/apache2/htdocs/admin/index.html
这个 Dockerfile 创立了一个基于 Apache HTTP Server 的容器,该容器在 /admin 目录下创立了一个名为 index.html 的文件。这个目录是一个虚伪的目录,用于吸引攻击者。容器启动后,攻击者能够通过拜访 http://[容器 IP 地址]/admin/index.html 拜访到该文件,然而在此之后所有的申请都将被记录下来,用于平安剖析。
高交互蜜罐
高交互蜜罐(High-interaction honeypots):这种蜜罐是实在的零碎环境,能够齐全模仿一个实在零碎,包含操作系统、应用程序等。攻击者在进入高交互蜜罐后,能够在其中执行实在攻击行为。这种蜜罐能够提供更多的攻打信息和数据
高交互蜜罐通常是一个实在的零碎环境,其中运行着一个残缺的操作系统和应用程序。攻击者能够在其中执行实在攻击行为,这样能够收集到更多的攻打信息和数据。以下是一个应用 VirtualBox 创立 Windows 高交互蜜罐的示例代码:
# Vagrantfile
Vagrant.configure("2") do |config|
config.vm.box = "microsoft/windows10"
config.vm.provider "virtualbox" do |v|
v.memory = 2048
v.cpus = 2
end
# Enable RDP
config.vm.provision "shell", inline: "Set-ItemProperty -Path'HKLM:\\System\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp'-Name'UserAuthentication'-Value 1 -Force"
# Enable Windows Firewall logging
config.vm.provision "shell", inline: "Set-NetFirewallProfile -LogFileName C:\\Windows\\firewall.log -LogAllowed True -LogDropped True -LogMaxSizeKilobytes 102400"
# Install honeypot software
config.vm.provision "shell", path: "honeypot-install.ps1"
end
这个 Vagrantfile 创立了一个 Windows 10 的虚拟机,并且应用了 VirtualBox 作为虚拟化平台。虚拟机配置了 2GB 内存和 2 个 CPU 外围,以保障运行效率。蜜罐装置了 RDP 和 Windows 防火墙,并且装置了一些蜜罐软件,以收集攻打信息和数据。
蜜罐在加固技术中的作用
模仿攻击者:蜜罐能够模仿攻击者的攻击行为,例如尝试暴力破解明码、扫描端口等,这样能够帮忙企业理解本人的弱点并加以改进。
检测攻打:蜜罐能够检测攻击行为,例如针对某些服务或应用程序的攻打,这样能够让企业及时发现并阻止攻击行为,保障系统安全。
收集攻打数据:蜜罐能够收集攻击者的行为数据,例如攻击方式、攻打指标、攻打工夫等,这样能够帮忙企业更好地理解攻击者的攻打伎俩和习惯,以更好地进行平安防护。
以下是一个应用 Honeyd 创立多个虚拟机作为蜜罐的示例代码:
# honeyd.conf
create 10.0.0.2
set 10.0.0.2 personality "Windows XP SP1"
add 10.0.0.2 tcp 80 http
add 10.0.0.2 udp 53 dns
create 10.0.0.3
set 10.0.0.3 personality "Windows Server 2003"
add 10.0.0.3 tcp 22 ssh
add 10.0.0.3 tcp 143 imap
add 10.0.0.3 tcp 443 https
create 10.0.0.4
set 10.0.0.4 personality "Linux 2.4.20"
add 10.0.0.4 tcp 21 ftp
add 10.0.0.4 tcp 23 telnet
add 10.0.0.4 tcp 25 smtp
add 10.0.0.4 tcp 80 http
add 10.0.0.4 udp 53 dns
这个 honeyd.conf 配置文件创立了三个虚拟机,别离运行在 10.0.0.2、10.0.0.3、10.0.0.4 这三个 IP 地址上。每个虚拟机运行不同的操作系统和服务,例如 Windows XP SP1、Windows Server 2003、Linux 2.4.20,并且应用了不同的端口号和协定,例如 HTTP、SSH、IMAP、FTP 等,以模仿多种攻打指标和场景。
蜜罐对加固技术的作用
加固技术能够对 App 进行加密、混同、防篡改、防反编译等操作,以加强 App 的安全性,进步防护能力。以下是一些常见的加固技术及示例代码:
- Dex 加固:将 Dex 文件中的代码进行加密或混同,避免反编译和代码透露。
示例代码:
java -jar baksmali.jar classes.dex -o classes.smali
java -jar smali.jar classes.smali -o classes.dex- Native 加固:将 Native 代码进行加密和混同,以避免被动静反编译和歹意调用。
示例代码:
ndk-build APP_CFLAGS="-O2 -D__ANDROID__ -fPIC -Wno-unused-variable -Wno-unused-function -fvisibility=hidden -fvisibility-inlines-hidden -fstack-protector-strong -fPIE -D_FORTIFY_SOURCE=2 -DANDROID -DNDEBUG -DNEON -march=armv7-a -mfloat-abi=softfp -mfpu=vfpv3-d16 -Wl,-z,relro,-z,now,-z,noexecstack" APP_ABI=armeabi-v7a
- 加固资源文件:对 AndroidManifest.xml、res/values/strings.xml、res/layout/main.xml 等文件进行加密或混同,以避免被篡改或透露。
示例代码:
aapt package -f -m -J gen -M AndroidManifest.xml -S res -I /path/to/android.jar
aapt crunch -v -S res -C assets
aapt add -v -f app.apk assets/*
- 数字签名:应用数字证书对应用程序进行签名,确保应用程序没有被篡改,并进步用户的信任度。
示例代码:
keytool -genkey -v -keystore my-release-key.keystore -alias alias_name -keyalg RSA -keysize 2048 -validity 10000
jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore my-release-key.keystore my_application.apk alias_name
不过,加固技术并不能完全避免应用程序被攻打或被破解,但能够减少攻击者的攻打老本和难度,从而进步应用程序的安全性。
iOS 及安卓加固产品:收费试用