基于蜜網(wǎng)技術(shù)的校園網(wǎng)數(shù)據(jù)控制的實現(xiàn)

摘 要：數(shù)據(jù)控制主要是對于流經(jīng)系統(tǒng)的數(shù)據(jù)包進行控制，這一蜜網(wǎng)系統(tǒng)的第一核心功能是由蜜網(wǎng)網(wǎng)關(guān)Honeywall實現(xiàn)的。數(shù)據(jù)控制的策略是對于流入系統(tǒng)的數(shù)據(jù)不做任何限制，使得非法入侵者能夠順利攻入系統(tǒng)，非法入侵者的任何的掃描、探測、連接對于Honeynet來說都是受歡迎的，它們正是我們蜜網(wǎng)系統(tǒng)需要捕獲的對象。對于流出系統(tǒng)的數(shù)據(jù)則要進行嚴(yán)格的控制，防止非法入侵者攻入系統(tǒng)后把系統(tǒng)作為跳板發(fā)送非法信息或者入侵其他的機器，同時我們還要盡可能的做到讓非法入侵者不會察覺自己已經(jīng)被監(jiān)控。

關(guān)鍵詞：數(shù)據(jù)控制；入侵包抑制

我們采用入侵包抑制和連接數(shù)限制兩種方式進行嚴(yán)格控制。這樣數(shù)據(jù)控制其實是解決兩個方面的問題，一是對外連接數(shù)限制，一是入侵包抑制。只有連接數(shù)限制是不夠的，因為在連接數(shù)所允許的范圍內(nèi)放行的少量數(shù)據(jù)包有可能是有害的入侵?jǐn)?shù)據(jù)包，一旦這些數(shù)據(jù)包通過網(wǎng)關(guān)流出到校園網(wǎng)絡(luò)中，我們的安全系統(tǒng)也便成為了入侵源，會對整個校園網(wǎng)絡(luò)造成威脅甚至是很大的破壞，因此對這些數(shù)據(jù)包內(nèi)容要進行檢測，即不僅要使用對外連接數(shù)限制還要使用入侵包抑制手段來進行數(shù)據(jù)控制。

1 對外連接數(shù)限制

對外連接數(shù)限制我們是通過Honeywall的防火墻Iptables來實現(xiàn)的，主要是針對網(wǎng)絡(luò)掃描和Ddos入侵等入侵活動。部署者事先設(shè)置防火墻，設(shè)定蜜罐主機在單位時間內(nèi)可允許向外發(fā)起的連接數(shù)，如果非法入侵者利用攻破的蜜罐向外發(fā)起掃描及Ddos入侵等，這時Iptables將按照事先設(shè)置的規(guī)則對超出連接數(shù)限制上限的數(shù)據(jù)包進行丟棄或修改，將其記錄在防火墻日志上，中斷其以后的連接，另外還可以通過響應(yīng)模塊進行報警來通知和提醒安全人員，從而避免對其他網(wǎng)絡(luò)造成危害。

具體的做法是利用Iptables的-mlimit-limit來實現(xiàn)外出連接數(shù)限制功能，通過limit我們可以事先設(shè)置各種類型協(xié)議的連接數(shù)據(jù)限制規(guī)則，來限制外出連接數(shù)的上限，指定單位時間內(nèi)所允許的最大連接數(shù)，單位時間可以使秒、分鐘、小時等，單位時間內(nèi)（周期），外出連接數(shù)超出限制最大值則把相關(guān)信息記錄在防火墻日志文件中，并發(fā)出警告通知安全人員，Iptables則可以根據(jù)事先定制的規(guī)則選擇丟棄或修改這些數(shù)據(jù)包。通過limit可以控制各種類型協(xié)議的數(shù)據(jù)包發(fā)送，如常見的TCP，UDP，ICMP包。外出連接數(shù)的限制規(guī)則通過c.firewall腳本文件實現(xiàn)，如下圖所示規(guī)則：

通過設(shè)置這樣的連接數(shù)限制規(guī)則，就可以很好地限制對外連接數(shù)量。

通過Honeywall的字符界面直接使用命令行來實現(xiàn)這一功能，如我們可以通過限制TCP包的連接，UDP、ICMP等數(shù)據(jù)包也一樣。通過管理機Web管理界面遠(yuǎn)程設(shè)置，這種方法相對前兩種較為簡單。

2 入侵包抑制

入侵包抑制主要針對那些沒超出外出連接數(shù)限制最大值的數(shù)據(jù)包，按照數(shù)據(jù)控制規(guī)則，這也數(shù)據(jù)包符合放行條件，但是它們卻有可能是有害的惡意入侵包，有些入侵方法使用很少的連接便可以發(fā)起入侵，如權(quán)限提升入侵等，之所以這樣是因為這些數(shù)據(jù)在通過防火墻時只是進行了連接數(shù)的限制，并沒有檢測數(shù)據(jù)包的內(nèi)容，無法辨別數(shù)據(jù)包是否有害。

在Honeywall中使用入侵檢測snort-inline工具作為入侵包抑制器，利用特征檢測來檢測現(xiàn)有的已知的惡意數(shù)據(jù)包。從系統(tǒng)出境的數(shù)據(jù)一般都要通過snort-inline的檢測無異常后才能放行，當(dāng)然這也不能完全杜絕惡意數(shù)據(jù)包通過，因為不包含在snort-inline規(guī)則庫里的任何數(shù)據(jù)包依然是能夠通過的。值得一提的是，Snort_inline并不知道如何充當(dāng)路由器的功能，必需借助于和IPTables的交互才能完成，通過IPTables的QUEUE選項把數(shù)據(jù)包發(fā)送給Snort_inline進行檢測。入侵包抑制策略能最大限度的提高校園網(wǎng)絡(luò)的安全性，降低部署蜜網(wǎng)系統(tǒng)的安全風(fēng)險，當(dāng)然也并不能夠完全消除，某些特殊情況還是需要人工干預(yù)。整個數(shù)據(jù)控制策略如下圖所示。

參考文獻

[1]劉松.基于蜜網(wǎng)技術(shù)的校園網(wǎng)絡(luò)安全防御研究[J].科技與創(chuàng)新，2016，（16）：92-93.

[2]王龍江.基于蜜網(wǎng)技術(shù)的校園網(wǎng)安全系統(tǒng)的研究與實現(xiàn)[D].安徽大學(xué)，2011.

（作者單位：宿州職業(yè)技術(shù)學(xué)院）