2023年11月18日發(fā)(作者:最浪漫的詩句)
2012年第O1期
基于蜜罐網(wǎng)絡(luò)的
郵件捕獲系統(tǒng)分析與部署
李秋銳
(中國人民公安大學(xué)����,北京100038)
摘要:散布釣魚網(wǎng)站的方式多種多樣��,由于大多數(shù)的釣魚網(wǎng)站鏈接都是通過垃圾郵件傳播的,因此該
文從垃圾郵件傳播的角度入手,通過分析垃圾釣魚郵件發(fā)布者使用的網(wǎng)絡(luò)安全漏洞�,建立一個基于Honeyd
的郵件捕獲系統(tǒng)����,從而獲取大量垃圾郵件���,以便于以后通過郵件分析達到主動探測釣魚網(wǎng)站的目的����。
關(guān)鍵詞:蜜罐;Honeyd����;垃圾郵件�;網(wǎng)絡(luò)釣魚
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1671—1122(2012)O1—0064—04
Analysis and Deployment for the Honeypot—based
Mail Capture System
LI Oiu��。rui
(Chinesepeople public security university���,Beo'ing 100038���,China)
Abstract:There are many ways for disseminate of phishing sites.Since most of the phishing website link are
spread through spam��,SO this article is focus on the spread of spam.By analyzing network security vulnerabilities,
we establish a Honeyd-based mail capture system,the target of this system is to gain a lot of spam�,for detecting
phishing sites by analysis mail captured later.
Key word:honeypot��;Honeyd�;spam�;Phishing
0引言
網(wǎng)絡(luò)釣魚是伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而產(chǎn)生的,根據(jù)中國反網(wǎng)絡(luò)釣魚聯(lián)盟的2011年4月報告�,4月份該聯(lián)盟處理釣魚網(wǎng)站數(shù)
量達2635個�,截止到2011年3月底�,中國反釣魚網(wǎng)站聯(lián)盟累計認定處理的釣魚網(wǎng)站數(shù)量為43842個。盡管網(wǎng)絡(luò)釣魚收到多方重
視����,但釣魚網(wǎng)站的數(shù)量還是有增無減nl。
釣魚網(wǎng)站的鏈接傳播方式主要有垃圾郵件、即時通訊和媒體傳播����,本文主要研究與垃圾郵件有關(guān)的傳播方式����,由于常規(guī)的
釣魚探測系統(tǒng)雖然可以很有效的對郵件進行分析�����,但卻不能實時的獲取郵件�,所以構(gòu)建一個郵件捕獲系統(tǒng)通過建立蜜罐網(wǎng)絡(luò)達
到欺騙垃圾郵件發(fā)布者���,獲取大量垃圾郵件的目的���,以便于為隨后的郵件分析提供樣本�����,從而主動探測釣魚網(wǎng)站的有關(guān)信息[2-41���。
1蜜罐系統(tǒng)
蜜罐系統(tǒng)是一種用于捕捉探測����,攻擊和漏洞掃描行為的安全工具����,其本身是一個包含漏洞的系統(tǒng),由于蜜罐系統(tǒng)沒有提供
任何實質(zhì)性的服務(wù),所以可以認定每一個試圖主動與其進行連接交互數(shù)據(jù)的行為都是可疑的。目前很多款優(yōu)秀的蜜罐軟件����,如
KFSensor���、Honeyd等,本文將使用Honeyd軟件構(gòu)建蜜罐系統(tǒng)。
Honeyd是一款強大的開源虛擬蜜罐軟件,屬于低交互式的蜜罐系統(tǒng),可運行在UNIX和Windows操作系統(tǒng)中,并在虛擬的
網(wǎng)絡(luò)環(huán)境中模擬多個地址�����,虛擬蜜罐主機可以根據(jù)具體的配置文件模擬多種網(wǎng)絡(luò)服務(wù)�����,外部的主機可以對虛擬蜜罐主機進行常
規(guī)的Ping�、Tracert等操作���,回應(yīng)數(shù)據(jù)包時�,Honeyd的個性化引擎使回應(yīng)包與被配置的操作系統(tǒng)特征相適應(yīng),同樣Honeyd也可以
為真實的主機提供代理���。
●
收稿時間:2011-12—15
作者簡介:李秋銳(1987一),男����,湖北�����,碩士研究,主要研究方向:信息安全與計算機犯罪偵查��。
防
議 一
自選路由
蟄
個 匪化
1引擎 1
嘉 -¨ 中央包分配器
自選路由
一 一~~———
�����!———一
1UDP I 1TCP
r
服務(wù)
圖1 Honeyd軟件結(jié)構(gòu)
Honeyd軟件結(jié)構(gòu)由配置數(shù)據(jù)庫���,中央包分配器���,協(xié)議處
理器�����,個性化引擎和自選路由組件組成。Honeyd軟件結(jié)構(gòu)如
圖1所示���。
如圖1所示,Honeyd接收到請求方的數(shù)據(jù)會由中央包分
配器處理����,中央包分發(fā)器首先會檢查IP長度��、校驗和。然后
根據(jù)配置數(shù)據(jù)庫的數(shù)據(jù)查找到符合目標位置的蜜罐主機配置���。
確定具體的配置后,數(shù)據(jù)包就會交付給相應(yīng)的協(xié)議處理器進
行處理�����。
協(xié)議處理器具體分為三部分:ICMP處理器����、UDP處理器、
TCP處理器���。ICMP處理器支持多數(shù)的ICMP查詢,一般情況下��,
都會響應(yīng)Echo請求����,并處理“destination unreachable”的消息�����。
對于分配到TCP處理器和UDP處理器的數(shù)據(jù)包��,Honeyd可
以為其與任意的服務(wù)建立連接[51。
在對具體的請求命令做出應(yīng)答后��,需要隱藏蜜罐主機的
身份�,由于不同蜜罐主機處理方式也各不相同,這就導(dǎo)致蜜
罐主機發(fā)送的數(shù)據(jù)包也就具有的不同的特點�����,所以個性化引
擎組件的工作內(nèi)容就是模擬不同系統(tǒng)的網(wǎng)絡(luò)棧行為�。具體來
說,Honeyd利用Nmap的指紋庫來作為TCP和UDP連接的
個性化參考,利用Xprobe指紋庫來作為ICMP連接的個性化
參考��。由此就可以做出一個與真實主機相同的應(yīng)答包��,最后再
發(fā)送給t ̄Tyo
自選路由用于模擬有關(guān)的路由信息��,其可以模擬任意的
網(wǎng)絡(luò)路由拓撲,通常虛擬的拓撲結(jié)構(gòu)為樹結(jié)構(gòu),每一個節(jié)點
和每一條邊都分別代表著路由器和損失權(quán)值。當(dāng)Honeyd接到
包時,從根節(jié)點開始到發(fā)現(xiàn)目的IP的節(jié)點為結(jié)束,將經(jīng)過的
邊的損失權(quán)值累加起來,確定是否拋棄該包和其延遲應(yīng)該有
多少�。數(shù)據(jù)包每通過一個虛擬路由器�,就相應(yīng)的減少生存期
TTL值����,當(dāng)TTL為零時,Honeyd發(fā)出ICMP超時信息。因為
自選路由組件Honeyd也可以將真正的系統(tǒng)加入到虛擬的路由
2012年第O1期
拓撲之中��,當(dāng)收到一個真實系統(tǒng)的包時�,包沿著網(wǎng)絡(luò)拓撲行走
直到發(fā)現(xiàn)與真實系統(tǒng)所屬的網(wǎng)絡(luò)空間直接連接的虛擬路由器。
當(dāng)真正的系統(tǒng)發(fā)出ARP請求時�����,網(wǎng)絡(luò)虛擬結(jié)構(gòu)通過相應(yīng)的虛
擬路由器ARP回復(fù)進行響應(yīng)���。
2垃圾郵件所使用漏洞分析
由于制造����、傳播垃圾郵件的行為都是不合法的,所以很
多垃圾郵件發(fā)布者都會想著隱藏自己的行為。圖2是垃圾郵
件發(fā)布者隱藏自己蹤跡的常用方法�。
垃圾郵件發(fā)布者
服務(wù)器
受害用戶
圖2垃圾郵件商常用技術(shù)
2.1開放中繼轉(zhuǎn)發(fā)
SMTP協(xié)議就是簡單郵件傳輸協(xié)議�����,與25端口和TCP協(xié)
議聯(lián)系在一起,主要用于可靠的并有效的進行郵件傳輸。
在SMTP協(xié)議中具有中繼轉(zhuǎn)發(fā)服務(wù)����,即通過別人的郵件
服務(wù)器將郵件遞送到目的地址�,一般來說���,中繼轉(zhuǎn)發(fā)服務(wù)針
對的對象都是有選擇的并通過認證的用戶��。然而一些具有安
全漏洞的SMTP服務(wù)器都會無限制的開放中繼轉(zhuǎn)發(fā)服務(wù)���,這
種服務(wù)器就有可能被垃圾郵件發(fā)布者發(fā)現(xiàn)并進行濫用���。
2_2開放代理
代理服務(wù)器是介于客戶端與服務(wù)器之間的另一臺服務(wù)器���,
其用于獲取某種特定的服務(wù)�����,允許多于一臺的主機共用一個
IP地址連接互聯(lián)網(wǎng),代理就像是一個中間人,與其他客戶端
進行連接。
一
個有安全漏洞的代理服務(wù)器允許任意一個IP地址連接
任意一個IP地址或端口�����,這種代理服務(wù)器稱之為開放代理���。
垃圾郵件發(fā)布者會持續(xù)的掃描開放代理的代理服務(wù)器���,一旦
發(fā)現(xiàn)就建立代理服務(wù)器與垃圾郵件服務(wù)器之間的連接�,然后
使用代理與其他正常的郵件服務(wù)器連接����,最后通過發(fā)送特定
的Smtp指令即可發(fā)送垃圾郵件 ]。
3基于Honeyd構(gòu)建虛擬網(wǎng)絡(luò)與部署
在本文中基于Honeyd軟件模擬兩種服務(wù):具有開放中
繼轉(zhuǎn)發(fā)漏洞的郵件服務(wù)器和具有開放代理漏洞的代理服務(wù)器���。
2012年第O1期
圖3給出本文配置的郵件捕獲系統(tǒng)Mail capture的整體結(jié)構(gòu)。
selLpush(”250 Hello%s.pleased to meet you.����、r\n”%whom)
童罐. ̄m�����,ail captm
圖3配置的Mail capture整體結(jié)構(gòu)
在Mail capture內(nèi)存在有兩臺實際存在的主機和三臺虛擬
主機,其中實際存在的主機是Honeyd主機和郵件服務(wù)器��,這
兩臺主機與路由器直接連接����,其余三臺提供的服務(wù)都是基于
Honeyd主機虛擬的,其本身也是由Honeyd主機配置文件虛擬
出來的�����。
對于具體的Mail capture配置�����,其中Honeyd主機的IP地
址為192.168.0.1,郵件服務(wù)器的IP地址為192.168.0.2���,兩臺
主機均使用的Ubuntu操作系統(tǒng)。
具體每一臺虛擬主機的配置如下:v1�����,操作系統(tǒng)版本
為Linux 2.6.6����、IP地址為192.168.0.5�、主機模擬的服務(wù)為
Smtp服務(wù)����;V2,操作系統(tǒng)版本為Linux 2.6.6��、IP地址為
192.168.0.4�、主機模擬的服務(wù)為開放代理服務(wù);V3���,操作系統(tǒng)
版本為Linux 2.6.6、IP地址為192.168.0.3�、主機模擬的服務(wù)
為web服務(wù)�����。
具體的配置操作以開放中繼轉(zhuǎn)發(fā)的虛擬郵件服務(wù)器v1為例
create Linux
set Linux personality“Linux 2.6 6’’
add Linux proto tcp port 25“./script/spam.PY’’
bind Linux 192.168.0.5
至此開放中繼轉(zhuǎn)發(fā)的虛擬郵件服務(wù)器就設(shè)置成功,其他
兩個虛擬服務(wù)的設(shè)置方法與其類似 ��。
其中兩個模板是整個系統(tǒng)的核心——sMTP開放中繼轉(zhuǎn)發(fā)
模擬器和開放代理模擬器�����。
對于SMTP模擬器�����,Honeyd接受來自25端ISl���、TCP協(xié)議
的數(shù)據(jù)包����,并且以一個SMTP服務(wù)的角色進行回應(yīng),每接受
一
份信息,其表現(xiàn)的都像一個開放中繼轉(zhuǎn)發(fā)的郵件服務(wù)器進
行轉(zhuǎn)發(fā)�����,其實際上信息不會被發(fā)送出去而是存儲在當(dāng)?shù)胤?wù)
器里面�����。下面給出SMTP模擬器的局部配置���。
if command in【”HELO”��,”EHLO”]:
whom=data[5:].strip()
self.hello=whom
elif command==’MAIU:
whom=data[10:].strip(1
self.mailfrom=whom
self.push(”250%8…Sender ok\r\n”%whorn1
elif command==’RCPT’:
whom=data[8:].strip()
self.rcptto.append^vho m1
selLpush(”250%s…Recipient ok\rkn”%whom1
elifcommand==’DA_rA’:
self.set
—
terminator( I,In.1rIn'
self.foundterminator=self.data
——
foundterminator
self.push( 354 Enter mail���,end with”.”on a line by itself ̄r\n’)
elif command==’QUIT‘?
selLpush(”221%s closing connection\r\n”%self.host)
self.closewhen
_
done()
elif command=:’RSET’?
self.reset()
self.push(’250 Reset state\r\n’)
else:
self.push(”500 Command unrecognized n’’)
通過配置,虛擬服務(wù)器根據(jù)接收的具體名稱,做出相應(yīng)
的響應(yīng)。例如當(dāng)接受到“HELO”或“EHLO”指令后��,需向指
令發(fā)送人回應(yīng)“Hello�����,pleased to meet you”這些回應(yīng)與正常的
郵件服務(wù)器完全相同�����。
對于開放代理模擬器�����,具體分為兩種:Http代理模擬器
和SOCKS代理模擬器�。
Http代理模擬器其正常接收多個TCP端口的數(shù)據(jù)并提供
代理服務(wù)�����,當(dāng)垃圾郵件商連接該模塊時����,垃圾郵件商就會要
求代理服務(wù)器連接到受害者的郵件服務(wù)器上���,代理服務(wù)器收
到該請求后���,不會直接響應(yīng)該請求,其會連接到自己的郵件服
務(wù)器上,并發(fā)送給垃圾郵件商一個回應(yīng)包���,使之以為連接成
功。垃圾郵件商就會認為其已經(jīng)成功連接到目標sMTP服務(wù)器,
從而發(fā)送垃圾郵件�。
SOCKS代理模擬器其接受多個TCP端口的數(shù)據(jù)并提供
SOCKS代理服務(wù)��,該模擬行為表現(xiàn)的像一個不需要認證的代
理,允許來自任意IP地址的連接。在成功連接到該模擬器后,
垃圾郵件商就要求連接到外部的一個TCP端口和地址�。如果
要求連接的TCP端口號不是25的話��,就回應(yīng)一個錯誤信息;
如果TCP端口號為25端口的話,隨后的行為與Http代理模
擬器類似�����。
4部署中存在的問題及解決方案
4.1蜜罐系統(tǒng)對系統(tǒng)的影響
由于蜜罐的特殊性���,其難免會與系統(tǒng)造成一定的影響���,
蜜罐部署工作重點之?就是降低對系統(tǒng)的影響���。具體即根據(jù)自
己的需求選擇合適的蜜罐�����,對于要求不高的系統(tǒng)可部署安全
性較高的低交互式蜜罐,然后就是做到對蜜罐進行實時的監(jiān)
督和控制�,由于蜜罐需要對外交互數(shù)據(jù)才能獲取價值����,所以
可以在防火墻端進行一些設(shè)置來平衡交互程度和安全性之間
~ ��,�,. .���,.. . ................................................................................................................................................................
/2012年第01期
��,
的關(guān)系����,Mail capture采用限制蜜罐系統(tǒng)同時連接數(shù)�����,周期性
的允許定量的數(shù)據(jù)傳出等方法來降低對系統(tǒng)的影響�����。
5結(jié)束語
蜜罐在安全領(lǐng)域的應(yīng)用已經(jīng)越來越廣泛,相對于其他機
制�����,蜜罐系統(tǒng)部署簡單��,配置靈活,收集到的數(shù)據(jù)有很大的
針對價值�����,本文就是根據(jù)蜜罐技術(shù)模擬出SMTP的開放中繼
服務(wù)和開放代理服務(wù)��,然后構(gòu)建出一個用于收集垃圾郵件的
系統(tǒng)����,用于反網(wǎng)絡(luò)釣魚探測系統(tǒng)的研究����。 (責(zé)編張巖)
4.2 Honeyd部署位置的選取
Mail capture配置的位置選取在防火墻的DMZ區(qū),相對
于防火墻外來說���,這樣可以有效與防火墻內(nèi)部的系統(tǒng)進行數(shù)據(jù)
交互并且處于相對安全的環(huán)境中,而相對于防火墻內(nèi)部來說,
這樣會接受到更多的信息�,因為防火墻的保護�,內(nèi)部的主機只
能接受到很少的攻擊信息��,不利于蜜罐的正常工作��。綜上所
述����,最為合適的位置應(yīng)該部署在防火墻的DMZ內(nèi)��。但部署在
參考文獻:
[1】中國反釣魚網(wǎng)站聯(lián)盟.2011年4月釣魚網(wǎng)站處理簡報[R】.2011 4.
【2]孫言.g-N絡(luò)釣魚技術(shù)研究[D】.北京:中國人民公安大學(xué)����,2009.
【3劉曉娟31基于郵件信息提取與分析的反網(wǎng)絡(luò)釣魚技術(shù)研究【D1北
京:中國人民公安大學(xué)�,2010.
[4】孫言��、杜彥輝反網(wǎng)絡(luò)釣魚中UNICODE字符相似度評估算法研
究Ⅱ]計算機工程與應(yīng)用��,2008,(26):86—87.
DMZ內(nèi)的難度很大�����,一旦蜜罐被攻陷����,攻擊者會使用蜜罐作
為跳板來攻擊其他的服務(wù),所以要使其他服務(wù)與蜜罐安全的
隔離,這樣也會增加DMZ部署的負擔(dān)���。
4.3 Honeyd采集數(shù)據(jù)的方式
Mail capture所使用的數(shù)據(jù)采集方式為ARP欺騙方式,
相對而言以ARP欺騙方式進行數(shù)據(jù)采集的蜜罐系統(tǒng)更容易配
[5]翟繼強,葉飛.利用Honeyd構(gòu)建虛擬網(wǎng)絡(luò)U].計算機安全����,
2006�,(03):46—48.
置在一個現(xiàn)有的網(wǎng)絡(luò)之中��。Honeyd采集數(shù)據(jù)的方式大體上分
為兩種���,第一種方法稱之為Blackholing��,一般用于一個沒有
任何活動系統(tǒng)的完整網(wǎng)絡(luò),這意味著攻擊者所瞄準的是特定
[6】Steding-Jessen,K.,Vijaykumar�����,N.L.����,and Montes�����,A.Using low—
interaction honeypots to study the abuse of open proxies to send spam[J].
INFOCOMP J0uma1 of Computer Science 2008.
網(wǎng)絡(luò)中的任意IP地址,都可以視為攻擊����。因此這種方法就是
將整個網(wǎng)絡(luò)的流量都直接路由到Honeyd主機上:第二種方法
為ARP欺騙�����,這種方法應(yīng)用在一個網(wǎng)絡(luò)中同時具有實際存在
的系統(tǒng)和虛擬的系統(tǒng)����,其目的在于將所有非存在的系統(tǒng)的流量
【7 Roshen Chandran����,Sangit7Ja Pak ̄a.Simulating Networks with Honeyd【
EB/OL].http://www.paladion net/paper/simulating_networks_with
Honeyd.pdf,2011—12—15
[8]Lance Spitzner honeypots:追蹤黑客【M].北京:清華大學(xué)出版社����,
2004
都轉(zhuǎn)發(fā)給Honeyd主機 ]�����。
上接第25頁
[7]Tyler Moore����,Richard Clayton.The Impact of Incentives on Notice
and Take—down[C1.In Proc of the 7th workshop on the Economics of
Information Security,New Hampshire USA
Tune 25-28 2007:1-24.
�����,
Learning to Detect Malicious Web Sites from Suspicious URLs[C】.In
Proc.ofthe KDD’09
,
Paris France���,June 28-July 1�,2009:1245—1254.
[1 5】Justin Ma�,Lawrence K.Saul,Stefan Savage,et a1.Identifying
Suspicious URLs:an Application of Large—scale Online Learning[C】.
InProc.of the 26th International Conference on Machine Learning�����,
[8】Christian Ludl,Sean McAUister����,Engin Kirda���,et a1..On the Effectiveness
ofTechniques to Detect Phishing Sites[C]In Proc.ofthe 4th International
Confe-rence on Detection of Intrusions and Malware
and Vulnerability
����,
Montreal Canada,June,14—18����,2009.
Assessment�����,Lucerne Switzerland���,July 12-13 2007:20-39.
[16]Kurt Thomas�����,Chris Grier,Justin Ma,et a1.Design and Evaluation
of a Real—Time URL Spam Filtering Service[C]In Proc of the IEEE
Symposium on Security and Privacy,Califomia USA,Mav,22—25,201 1.
[9】Steve Sheng����,Brad Wardman����,Gary Warner����,et a1.An Empirical
Analysis of Phishing Blacklists[C].In Proc.of the sixth Conference on
Email and Anti—Spare,Califomia USA���,july 16-17 2009.
【17]Aaron Blum,Brad Wardman�����,Thamar Solorio�����,et a1.Lexical Feature
based Phishing URL Detection using online Learning[C].In:Proc.of the
AISec’10�,Chicago USA�,Oct.8 2010:54-60.
[10]Pawan Prakash,Manish Kumar�,Ramana Rao Kompella�����,et a1.
PhishNet:Predictive Blacklisitng to Detect Phishing Attacks[C].In Proc.
ofthe IEEE INFOCOM,San Diego Canada
March 14—19 201011—5.
.
[18]Yue Zhang����,Jason Hong����,Lorrie Cranor.CANTINA:A Content—
Based Approach to Detecting Phishing Web Sites[C】.In Proc.of
WWW2007�����,Mbema Canada����,M 8—12����,2007:639—648.
[11]YeCao,weiliHan��,YueranLe.Anti-phishingBasedonAutomatedIndividual
whjte—List[C].In Proc.ofthe DIM'08�����,Vi ̄nia�����,usA,Oct.31���,2008:51—59
[1 2]sujata Garera,Niels Provos�����,Monica Chew�����,et a1..A Framework
for Detection and Measurement of Phishing Attacks[C].In Proc.of the
WORM’07,Virginia USA
Nov.2.2007:1—8.
,
[19]Anthony Y.Fu Liu Wenyin,Xiaotie Deng���,et a1..Detecting Phishing
Web Pages with Visual Similarity Assessment Based on Earth Mover’s
Distance(EMD)U】.IEEE Transaction on Dependable and Secure
Computer,2007,3(04):301—311
[20】Chih—Chung Chang���,Chih-Jen Lin.LIBSVM:a Library for Suppo ̄
[13]Colin Whittaker,Brian Ryner,Marria Nazi ̄Large-Scale Automatic
Classiifcation ofPhishing Pages[c].In Proc.of 17th Annual Network and
Distibuted rSystem,California USA
Feb 28一March 3 2010.
,
Vector Machines[J】.ACM Transactions on Intelligent Systems and
Technology���,2011,3(02):1—27.
【14]Justin Ma,Lawrence K.Saul���,Stefan Savage,et a1.Beyond Blacklists:
67 IL—一
