Giả lập mạng với bẫy Honeypot

Chương I : Tổng quan về mạng và cách bẫy

Trong những năm gần đây, các cuộc xâm nhập mạng gia tăng đáng kể, do sự
phổdụng của các công cụtấn công được tự động hoặc được lập kịch bản. Điều này đã
thúc đẩy sựquan tâm đến các hệthống Honeypots, hệthống này có thể được dùng để
“bẫy” và giải mã các phương pháp tấn công.


Các chuyên gia bảo mật cho biết: các kẻtấn công hiện đều đang rất ngán ngẩm
khi phải tấn công vào một hệthống Linux dạng trung bình. Chi phí cho một cuộc đột
nhập thành công vào một hệthống sửdụng Linux cao hơn nhiều so với chi phí bỏra
để đột nhập vào hệthống sửdụng Windows.


Dựán mang tên Honeypots được tạo ra với mục đích giảlập các hệthống mạng
Linux bình thường đểcâu nhửcác cuộc tấn công nhằm nghiên cứu độan toàncủa các hệ
thống máy chủLinux. Các kết quảnghiên cứu do Honeypots đưa ra cho biết: khoảng thời
gian tồn tại an toàncủa các hệthống máy chủchạy Linux đã gia tăng đột ngột trong 2 năm
gần đây.


Honeypots đã chỉ rarằng: Trong giai đoạn hiện nay, một hệthống máy chủLinux
chưa được cài đầy đủcác bản sửa lỗi vẫn có thể“chịu đựng” an toàn trung bình là 3 tháng
trước các cuộc tấn công, khi so sánh với giai đoạn 2001-2002 chỉlà 72 giờ. Một sốhệ
thống máy chủcủa dựán đã an toàn trong suốt 9 tháng trời trước mọi cuộc tấn công.
Dựán Honeypots được thiết kế đểnhằm mục đích nghiên cứu, dò tìm và thu hút
mọi cuộc tấn công bất kỳcủa Internet vào các hệthống máy chủLinux, Windows. Từ
xưa đến nay mọi cuộc tấn côngtrên Internet dường nhưchưa bao giờgiảm. Các nhà
nghiên cứucủa dựán đã chỉra rằng: hầu hết mọi cuộc tấn côngtrên đời đều nhằm vào
các hệthống sửdụng Windows, đơn giản chỉvì mức độphổbiến quá mứccủa hệ điều
hành này và độbảo mật “ngon ăn” đến mức mà mọi kẻtấn công đều không thểcưỡng
lại được.

Lance Spitzner, chủtịchcủa dựán Honeynet, cho biết: “Tấn công vào một người
dùng bất kỳtỏra dễdàng hơn nhiều so với tấn công vào một hệthống máy tínhcủa
ngân hàng. Ngân hàng được bảo vệrất tốt nhưng người dùng thì không. Chừng nào
không còn đủngười dùng đểtấn công thì hãy tấn công ngân hàng”.

Dựán này không đưa ra các nghiên cứu so sánh với Windows, nhưng Spitzner đã
chỉra rằng các cơquan chuyên vềbảo mật nhưSymantec hoặc Internet Storm Center
(ISC) đã công nhận rằng có rất nhiều cuộc tấn công vào các hệthống Honeynet Windows.
Một dựán khác của ISC đã đo lường thời gian tồn tại của các hệthống Windows trước
các cuộc tấn công và cho ra nhiều kết quảkhá thú vịnhưsau:


Thời gian tồn tại trung bình trước các cuộc tấn công của một sốhệthống chạy
Windows trong các thửnghiệm của ISC đã giảm nhanh từ55 phút trong giai đoạn mùa
thu 2003 xuống chỉcòn 20 phút vào dịp cuối năm 2004. Thảm hại nhất là vào giai đoạn
mùa xuân 2004, một hệthống Windows chỉ“kịp sống” có 15 phút trước khi bịhạgục.
Microsoft vớt vát rằng thời gian tồn tại ngắn nhưthế- ởngay cảtrong Windows XP
Service Pack 2 - là do có quá nhiều người sửdụng.


Dựán Honeynet đã cân nhắc kỹtrước khi phân bốcác hệthống khắp mọi
nơi trên thếgiới đểthu hút các cuộc tấn công. Các máy tính chuyêncâu nhử của Honeynet
được phân bố đều trong các mạng gia đình đến các doanh nghiệp vừa và nhỏ.
Dựán đã triển khai 12 trạm honeynet ở8 quốc gia là Mỹ, Ấn Độ, Anh, Pakistan, Hy
Lạp, Bồ Đào Nha, Brazil và Đức. Bao gồm 24 hệthống Unix và giảlập Unix, 19 hệthống
Linux hầu hết là Red Hat bao gồm: 1 hệthống Red Hat 7.2, 5 hệthống Red Hat 7.3, 1
Red Hat 8.0, 8 Red Hat 9.0 và 1 hệthống Fedora Core. Các hệthống khác nữa bao gồm: 1
chạy Suse 7.2, 1 Suse 6.3, 2 Solaris Sparc 8, 2 Solaris Sparc 9 và 1 hệthống chạy Free-BSD 4.4.
Dựán Honeynet là một cuộc nghiên cứu phi lợi nhuận do các công ty bảo mật thành
lập nên, bao gồm các công ty tầm cỡnhư: Foundstone, Counterpane, Security Focus và
SourceFire.