网 络 欺 骗 技 术

什么是网络欺骗？

计算机系统及网络的信息安全将是新世纪中各国面临的重大挑战之一。在我国，这一问题已引起各方面的高度重视，一些典型技术及相关产品如密码与加密、认证与访问控制、入侵检测与响应、安全分析与模拟和灾难恢复都处于如火如荼的研究和开发之中。近年来，在与入侵者周旋的过程中，另一种有效的信息安全技术正渐渐地进入了人们的视野，那就是网络欺骗。
0 Y( z" [& l# Q2 m; H( F3 E- A
1 S; \+ H: F% R# k: W+ c网络欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源（当然这些资源是伪造的或不重要的），并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功。而且，它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。
. X+ K2 `* n) s" u4 w9 v
8 m" m% x* p3 D/ n- N# E从原理上讲，每个有价值的网络系统都存在安全弱点，而且这些弱点都可能被入侵者所利用。网络欺骗主要有以下三个作用：

　　影响入侵者使之按照你的意志进行选择；

( y( b6 {" f" n　　迅速地检测到入侵者的进攻并获知其进攻技术和意图；

　　消耗入侵者的资源。
  g8 r3 }2 T; U7 B  x! b
一个理想的网络欺骗可以使入侵者感到他们不是很容易地达到了期望的目标（当然目标是假的），并使其相信入侵取得了成功。
# A8 T# K& f' z' z+ c# A5 I9 r; `$ L
网络欺骗的主要技术

  n1 f8 X1 {: J) N1 G* O7 \Honey Pot和分布式Honey Pot

网络欺骗一般通过隐藏和安插错误信息等技术手段实现，前者包括隐藏服务、多路径和维护安全状态信息机密性，后者包括重定向路由、伪造假信息和设置圈套等等。综合这些技术方法，最早采用的网络欺骗是Honey Pot技术，它将少量的有吸引力的目标（我们称之为Honey Pot）放置在入侵者很容易发现的地方，以诱使入侵者上当。

这种技术的目标是寻找一种有效的方法来影响入侵者，使得入侵者将技术、精力集中到Honey Pot而不是其它真正有价值的正常系统和资源中。Honey Pot技术还可以做到一旦入侵企图被检测到时，迅速地将其切换。

但是，对稍高级的网络入侵，Honey Pot技术就作用甚微了。因此，分布式Honey Pot技术便应运而生，它将欺骗（Honey Pot）散布在网络的正常系统和资源中，利用闲置的服务端口来充当欺骗，从而增大了入侵者遭遇欺骗的可能性。它具有两个直接的效果，一是将欺骗分布到更广范围的IP地址和端口空间中，二是增大了欺骗在整个网络中的百分比，使得欺骗比安全弱点被入侵者扫描器发现的可能性增大。

* o) _$ U: _# O$ M9 L* v7 }尽管如此，分布式Honey Pot技术仍有局限性，这体现在三个方面：一是它对穷尽整个空间搜索的网络扫描无效；二是只提供了相对较低的欺骗质量；三是只相对使整个搜索空间的安全弱点减少。而且，这种技术的一个更为严重的缺陷是它只对远程扫描有效。如果入侵已经部分进入到网络系统中，处于观察（如嗅探）而非主动扫描阶段时，真正的网络服务对入侵者已经透明，那么这种欺骗将失去作用。

% I. j- A: }# P" J欺骗空间技术
* d+ J  L$ x7 m, J. `% W4 y4 q
2 `$ `, D. A  w欺骗空间技术就是通过增加搜索空间来显著地增加入侵者的工作量，从而达到安全防护的目的。利用计算机系统的多宿主能力（multi－homed capability），在只有一块以太网卡的计算机上就能实现具有众多IP地址的主机，而且每个IP地址还具有它们自己的MAC地址。这项技术可用于建立填充一大段地址空间的欺骗，且花费极低。实际上，现在已有研究机构能将超过4000个IP地址绑定在一台运行Linux的PC上。这意味着利用16台计算机组成的网络系统，就可做到覆盖整个B类地址空间的欺骗。尽管看起来存在许许多多不同的欺骗，但实际上在一台计算机上就可实现。

8 I& K; \' ~# @- i* d) o" ^+ c从效果上看，将网络服务放置在所有这些IP地址上将毫无疑问地增加了入侵者的工作量，因为他们需要决定哪些服务是真正的，哪些服务是伪造的，特别是这样的4万个以上IP地址都放置了伪造网络服务的系统。而且，在这种情况下，欺骗服务相对更容易被扫描器发现，通过诱使入侵者上当，增加了入侵时间，从而大量消耗入侵者的资源，使真正的网络服务被探测到的可能性大大减小。

% i/ q' g- ]0 y: ]当入侵者的扫描器访问到网络系统的外部路由器并探测到一欺骗服务时，还可将扫描器所有的网络流量重定向到欺骗上，使得接下来的远程访问变成这个欺骗的继续。

) ^& Y: o6 ^0 E0 J* }7 K" I当然，采用这种欺骗时网络流量和服务的切换（重定向）必须严格保密，因为一旦暴露就将招致攻击，从而导致入侵者很容易将任一已知有效的服务和这种用于测试入侵者的扫描探测及其响应的欺骗区分开来。
% M6 ?' f1 t6 m6 R/ f9 W
增强欺骗质量

面对网络攻击技术的不断提高，一种网络欺骗技术肯定不能做到总是成功，必须不断地提高欺骗质量，才能使入侵者难以将合法服务和欺骗区分开来。

网络流量仿真、网络动态配置、多重地址转换和组织信息欺骗是有效增强网络欺骗质量的几种主要方法，下面分别予以介绍。

0 G# ]9 n# m# }! _$ S6 E' t# P& q网络流量仿真
. q( i3 g! N0 X- k- ^$ V- _8 k
产生仿真流量的目的是使流量分析不能检测到欺骗。在欺骗系统中产生仿真流量有两种方法。一种方法是采用实时方式或重现方式复制真正的网络流量，这使得欺骗系统与真实系统十分相似，因为所有的访问连接都被复制了。第二种方法是从远程产生伪造流量，使入侵者可以发现和利用。
! z/ Q( E4 J- ^9 R! m/ k1 T
( F* g) B1 I, V$ e0 ]* g$ f网络动态配置
; h4 B9 q- E0 K, T4 r7 `$ G" ?
8 A1 g; R7 K/ u+ e' S. p真实网络是随时间而改变的，如果欺骗是静态的，那么在入侵者长期监视的情况下就会导致欺骗无效。因此，需要动态配置欺骗网络以模拟正常的网络行为，使欺骗网络也象真实网络那样随时间而改变。为使之有效，欺骗特性也应该能尽可能地反映出真实系统的特性。例如，如果办公室的计算机在下班之后关机，那么欺骗计算机也应该在同一时刻关机。其它的如假期、周末和特殊时刻也必须考虑，否则入侵者将很可能发现欺骗。
' E. r6 I8 e7 Y% C2 U
, z- T( `( |1 N多重地址转换（multiple address translation）

( |0 l& f. s5 }. d0 ~. G( l' N地址的多次转换能将欺骗网络和真实网络分离开来，这样就可利用真实的计算机替换低可信度的欺骗，增加了间接性和隐蔽性。其基本的概念就是重定向代理服务（通过改写代理服务器程序实现），由代理服务进行地址转换，使相同的源和目的地址象真实系统那样被维护在欺骗系统中。右图中，从m.n.o.p进入到a.b.c.g接口的访问，将经过一系列的地址转换——由a.f.c.g发送到10.n.o.p再到10.g.c.f，最后将数据包欺骗形式从m.n.o.p转换到真实机器上的a.b.c.g。并且还可将欺骗服务绑定在与提供真实服务主机相同类型和配置的主机上，从而显著地提高欺骗的真实性。还可以尝试动态多重地址转换。
$ ]2 j8 O, ?+ ]' n$ t  k" ?# a9 U
创建组织信息欺骗
8 w1 ~: r- @' u9 b# l; A5 B4 B
如果某个组织提供有关个人和系统信息的访问，那么欺骗也必须以某种方式反映出这些信息。例如，如果组织的DNS服务器包含了个人系统拥有者及其位置的详细信息，那么你就需要在欺骗的DNS列表中具有伪造的拥有者及其位置，否则欺骗很容易被发现。而且，伪造的人和位置也需要有伪造的信息如薪水、预算和个人记录等等。
0 V1 `' m: A  f. R8 K( e* T  Z' n
  x! ~) u; F2 S2 W' s结束语
; g% w* S# S/ j% Q# G
# |) I, J2 X0 w: l1 K3 e本文阐述了网络欺骗在信息系统安全中的作用及实现的主要技术，并介绍了增强欺骗质量的具体方法。高质量的网络欺骗，使可能存在的安全弱点有了很好的隐藏伪装场所，真实服务与欺骗服务几乎融为一体，使入侵者难以区分。因此，一个完善的网络安全整体解决方案，离不开网络欺骗。在网络攻击和安全防护的相互促进发展过程中，网络欺骗技术将具有广阔的发展前景。