z


BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TPHCM
KHOA CÔNG NGHỆ THÔNG TIN


BÁO CÁO ĐỒ ÁN MÔN HỌC
ĐỀ TÀI : TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG
HONEYPOT
Giáo viên hướng dẫn: Nguyễn Thị Hồng Thảo
Sinh viên thực hiện:
- Phan Tiến Phương Giao 2033181018
- Lục Lê Khả Vi

2033181108

TPHCM, 20 tháng 6 năm 2021.

2


Nhận Xét/ Đánh Giá
Sinh viên thực hiện gồm:
- Phan Tiến Phương Giao 2033181018
- Lục Lê Khả Vi
2033181108
Nhận Xét của Giảng Viên:

Đánh Giá:

Ngày

Tháng

Năm

3


MỤC LỤC

4


Danh mục hình ảnh:

5


LỜI CẢM ƠN
Trước tiên với tình cảm sâu sắc và chân thành nhất, cho phép chúng
em được bày tỏ lòng biết ơn đến tất cả các cá nhân và tổ chức đã tạo
điều kiện hỗ trợ, giúp đỡ chúng em trong suốt quá trình học tập và
nghiên cứu đề tài này. Trong suốt thời gian từ khi bắt đầu học tập tại
trường đến nay, chúng em đã nhận được rất nhiều sự quan tâm, giúp đỡ
của quý Thầy Cô và bạn bè.
Với lòng biết ơn sâu sắc nhất, chúng em xin gửi đến cô Nguyễn Thị
Hồng Thảo thuộc khoa Công Nghệ Thông Tin– Trường Đại học Công
Nghiệp Thực Phẩm đã giúp chúng em hồn thành bài báo cáo này. Nhờ

có những lời hướng dẫn, chỉ bảo của cô nên đề tài nghiên cứu của
chúng em mới có thể hồn thiện tốt đẹp.
Bài báo cáo này đã được hoàn thành. Với điều kiện thời gian cũng
như kinh nghiệm còn hạn chế của một sinh viên, nên bài báo cáo này
không thể tránh được những thiếu sót, chúng em rất mong nhận được
những ý kiến đóng góp quý báu của quý Thầy Cô để kiến thức của
chúng em trong lĩnh vực này được hồn thiện hơn đồng thời có điều
kiện bổ sung, nâng cao kiến thức của mình.
Chúng em xin chân thành cảm ơn !

6


7


CHƯƠNG I. TỔNG QUAN VỀ HỆ THỐNG HONEYPOT
1. Honeypot
1.1 Khái

niệm Honeypot

1.1.1 Honeypot

là gì ?

Honeypot chúng ta có thể hiều rằng nó khơng giống như tường lửa
firewall, hay hệ thống phát hiện xâm nhập(IDS), Honeypot cũng không
giải quyết cụ thể một vấn đề nào đó. Thay vào đó, Honeypot là một hệ
thống gắn liền với mạng được thiết lập như một mồi nhử để thu hút

những kẻ tấn công mạng và phát hiện. Cũng giống như các tổ ong được
sử dụng để thu hút ong, thì một Honeypot được sử dụng như để thu hút
tin tặc. Mặc dù có nhiều định nghĩa cho Honeypot, nhưng định nghĩa sau
đây là định nghĩa được chấp nhận cho mục đích của nghiên cứu này:
“Honeypot là một tài nguyên bảo mật có giá trị nằm ở việc bị thăm dị,
tấn cơng hoặc xâm phạm”. Do đó, nó chỉ đơn giản là một hệ thống hoặc
tài ngun được mở và có sẵn cho cơng chúng để nó có thể lơi kéo
người dùng với mục đích xấu. Tài nguyên này sau đó có thể được giám
sát để tìm hiểu mọi thứ, chẳng hạn như các cơng cụ được sử dụng để
truy cập vào tài nguyên và các công cụ được sử dụng sau khi tài nguyên
bị xâm phạm. Hệ thống tài ngun thơng tin có nghĩa là Honeypot có thể
giả dạng bất cứ loại máy chủ, tài nguyên nào như là: Mail Server,
Domain Name Server, Web Server,… Honeypot sẽ trực tiếp tương tác
với tin tặc và tìm cách khai thác thơng tin về tin tặc như hình thức tấn
công, công cụ tấn công hay cách thức tiến hành hay gì bị tấn cơng.

8


Hình 1.1 Honeypot trong mạng
Theo hình 1.1 có thể thấy honeypot chỉ nằm trong vùng dmz, honeypot
cũng có thể nằm trước hoặc sau firewall

9


Hình 1.2 Quá trình hình thành của Honeypot
Theo hình 1.2 thì Honeypot được phát minh vào năm 1998, honeypot là
tốt nhất ứng dụng đã biết của hệ thống của honey. Nó là một máy chủ,
thiết bị mạng hoặc daemon duy nhất dụ những kẻ tấn công tiềm năng

đánh lạc hướng chúng khỏi các nguồn cung cấp mạng có giá trị. Một hệ
thống bao gồm các honeypots có tính tương tác cao là honeynet được
phát triển dựa trên honeypot vào năm 2000. Nó được thiết kế để thu thập
thơng tin rộng rãi về các mối đe dọa (hành động của kẻ tấn công) bằng
cách tạo ra một mạng lưới các hệ thống.Đến năm 2003 thì xuất hiện
HoneyToken,là một honeypot khơng phải là một máy tính. Thay vào đó
nó có thể là bất kỳ loại thực thể kỹ thuật số nào. Honeytoken có thể là số
thẻ tín dụng, Excel bảng tính, bản trình bày PowerPoint, mục nhập cơ sở
dữ liệu hoặc thậm chí là đăng nhập khơng có thật.Và sau đó Honeypot
2.0 ra đời và phát triển hơn. Và gần nhất là Deception Platform có thể
hiểu rằng là các hệ thống cho phép phân phối, cấu hình và giám sát các
phần tử lừa dối, về cơ bản là mồi nhử
1.1.2 Ưu điểm của Honeypot


Honeypot là cơng nghệ đơn giản, ít có những sai sót hoặc cấu hình
sai.



Chỉ tập trung vào lưu lượng độc hại giúp việc điều tra dễ dàng hơn
rất nhiều.



Không cần lưu trữ dữ liệu khổng lồ



Bất kỳ máy tính nào cũng có thể được sử dụng như một hệ thống

honeypot. (tiết kiệm chi phí để xây dựng honeypot)



Honeypot có thể nắm bắt các cuộc tấn công và cung cấp thơng tin về
loại tấn cơng.
Ngồi ra Honeypot cịn có những lợi ích sau:



Quan sát hành động và tìm hiểu hành vi của tin tặc



Thu thập thông tin, phần mềm độc hại và khai thác sau đó báo về cho
người quản trị. Sử dụng thơng tin đó để đào tạo nhân viên IT của bạn.
10




Tạo hồ sơ của tin tặc đang cố gắng truy cập vào hệ thống của bạn.



Cải thiện tình trạng bảo mật.



Chúng cho bạn thấy rằng bạn đang bị tấn công và dữ liệu đó có giá trị

khi cố gắng tăng ngân sách để bảo mật.
1.1.3 Nhược điểm của Honeypot



Cần có chi phí để bảo trì và giám sát.



Chúng ta chỉ có thể nắm bắt dữ liệu khi hacker chủ động tấn cơng hệ
thống.



Nếu có một cuộc tấn cơng xảy ra trong một hệ thống khác, honeypot
sẽ không thể xác định được nó



Honeypot có thể được sử dụng như một hình thức tấn công để tiếp
cận các hệ thống khác và xâm phạm chúng



Tất cả các công nghệ bảo mật đều có nguy cơ, Honeypot cũng khơng
ngoại lệ. Honeypot có nguy cơ được thực hiện trên hệ thống của kẻ
xấu và được sử dụng để gây hại cho hệ thống khác.




Một nhược điểm lớn khác của việc sử dụng honeypots là nó chỉ có
thể phát hiện ra sự xâm nhập khi nó bị tấn cơng trực tiếp. Tuy nhiên,
nếu kẻ tấn cơng xác định được honeypot để làm gì, chúng có thể trốn
tránh hệ thống và xâm nhập vào mạng.
1.2 Phân

loại Honeypot

Gồm hai loại : Tương tác thấp và tương tác cao
Tương tác thấp: Honeypot tương tác thấp ít tốn tài nguyên hơn và thu
thập thông tin thô sơ về loại mối đe dọa và nguồn gốc của nó. Chúng
tương đối đơn giản để thiết lập và chúng sử dụng Giao thức điều khiển
truyền (TCP), Giao thức Internet (IP) và các dịch vụ mạng. Tuy nhiên,
khơng có gì bên trong honeypot để thu hút sự chú ý của kẻ tấn công
trong một khoảng thời gian đáng kể. Mô phỏng giả các dịch vụ, ứng
dụng, và hệ điều hành. Mức độ rủi ro thấp, dễ triển khai và bảo dưỡng
nhưng bị giới hạn về dịch vụ..
11


Tương tác cao: Nó mang lại trải nghiệm thực tế hơn cho những kẻ tấn
công và thu thập thêm thông tin về các cuộc tấn công dự định. Mức độ
thông tin thu thập được cao. Honeypot tương tác cao thường phức tạp và
tốn thời gian hơn để thiết kế và quản lý cũng như bảo dưỡng.

Hình 1.3 Các loại hình Honeypot
BackOfficer Friendly (BOF)
BOF là một honeypot tương tác thấp. Nó chạy trên Windows hoặc Unix,
mặc dù nó chủ yếu được triển khai trên các hệ thống dựa trên Windows.
BOF có thể chạy trên hầu hết mọi nền tảng Windows, nhưng chỉ tương

tác được với một số dịch vụ đơn giản như FTP, Telnet, SMTP…
Specter
Là loại hình Honeypot tương tác thấp nhưng khả năng tương tác tốt hơn
BOF, giả lập trên 14 cổng, có thể cảnh báo và quản lý từ xa. Tuy nhiên
giống BOF thì specter bị giới hạn số dịch vụ và cũng không linh hoạt.
Honeyd
Honeyd lắng nghe trên tất cả các cổng TCP và UDP, những dịch vụ mơ
phỏng được thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn
công, tương tác với kẻ tấn cơng với vai trị một hệ thống nạn nhân.
Honeyd có thể mô phỏng cùng một lúc nhiều hệ điều hành khác nhau.
12


Hiện nay, Honeyd có nhiều phiên bản và có thể mơ phỏng được khoảng
473 hệ điều hành.
Honeyd là loại hình Honeypot tương tác thấp có nhiều ưu điểm tuy
nhiên Honeyd có nhược điểm là khơng thể cung cấp một hệ điều hành
thật để tương tác với tin tặc và không có cơ chế cảnh báo khi phát hiện
hệ thống bị xâm nhập hay gặp nguy hiểm.
Hiện tại, có 3 giải pháp phần mềm Honeypot nổi bật là: Keyfocus’s
KFSensor, MicroSolved’s HoneyPoint Security Server, và mã nguồn mở
Honeyd.
Một số loại honeypot khác:
Malware Honeypot: bắt chước các ứng dụng phần mềm và API để mời
các cuộc tấn công phần mềm độc hại. Sau đó, các đặc điểm của phần
mềm độc hại có thể được phân tích để phát triển phần mềm chống phần
mềm độc hại hoặc để đóng các lỗ hổng trong API.
Database Honeypot: Chúng tạo ra cơ sở dữ liệu mồi nhử để đánh lừa kẻ
tấn công bằng cách sử dụng các phương pháp đơi khi bị tường lửa bỏ
sót, chẳng hạn như đưa vào ngơn ngữ truy vấn có cấu trúc (SQL)

Client Honeypot: Những honeypots này thường hoạt động như máy chủ,
lắng nghe các kết nối đến. Honeypots máy khách tích cực tương tác với
các máy chủ độc hại tấn công máy khách. Họ đóng vai một khách hàng
để giám sát và ghi lại bất kỳ sửa đổi nào
Email Honeypot: là một danh sách các địa chỉ email được các nhà cung
cấp dịch vụ email sử dụng để phát hiện những kẻ gửi thư rác. Thông
thường, các tài khoản không hoạt động trong một thời gian dài được sử
dụng cho mục đích này.
Spider Honeypot: Những honeypot này được sử dụng để bẫy những
trình thu thập thơng tin web bằng cách tạo các trang web giả mạo và các
liên kết mà chỉ những trình thu thập thơng tin mới có thể truy cập được.
Việc phát hiện những trình thu thập thơng tin này có thể hữu ích trong
việc chặn hoạt động của bot.
1.3 Cách

hoạt động honeypot
13


Honeypot trơng giống như một hệ thống máy tính thực sự, với các ứng
dụng và dữ liệu, đánh lừa tội phạm mạng nghĩ rằng đó là một mục tiêu.
Ví dụ, một honeypot có thể bắt chước hệ thống thanh tốn khách hàng
của một công ty - một mục tiêu tấn cơng thường xun của bọn tội phạm
muốn tìm số thẻ tín dụng. Sau khi tin tặc xâm nhập, chúng có thể bị theo
dõi và đánh giá hành vi của chúng để tìm manh mối về cách làm cho
mạng thực an toàn hơn.
Honeypots trở nên hấp dẫn đối với những kẻ tấn công bằng cách tạo ra
các lỗ hổng bảo mật có chủ ý. Ví dụ, một honeypot có thể có các cổng
phản hồi quét cổng hoặc mật khẩu yếu. Các cổng dễ bị tấn cơng có thể bị
bỏ ngỏ để lôi kéo những kẻ tấn công vào môi trường honeypot, thay vì

mạng trực tiếp an tồn hơn.
Honeypot khơng được thiết lập để giải quyết một vấn đề cụ thể, chẳng
hạn như tường lửa hoặc chương trình chống vi-rút. Thay vào đó, nó là
một cơng cụ thơng tin có thể giúp bạn hiểu các mối đe dọa hiện có đối
với doanh nghiệp của bạn và phát hiện ra sự xuất hiện của các mối đe
dọa mới. Với thơng tin tình báo thu được từ honeypot, các nỗ lực bảo
mật có thể được ưu tiên và tập trung.
2. Honeynet
2.1 Khái

niệm Honeynet

Honeynet là hình thức honeypot tương tác cao. Khác với các honeypots,
Honeynet là một hệ thống thật, hoàn toàn giống một mạng làm việc bình
thường. Honeynet cung cấp các hệ thống, ứng dụng, các dịch vụ thật.
Quan trọng nhất khi xây dựng một honeynet chính là honeywall.
Honeywall là gateway ở giữa honeypots và mạng bên ngồi. Nó hoạt
động ở tầng 2 như là Bridged. Các luồng dữ liệu khi vào và ra từ
honeypots đều phải đi qua honeywall.

14


Hình 1.4 Mơ hình kiến trúc Honeynet (Gen II)
2.2 Các

chức năng của Honeynet

Điều khiển dữ liệu
Khi hacker sử dụng các mã độc (như :virus, trojan, spyware, worm,…)

để thâm nhập vào hệ thống Honeynet, thì hai cơng cụ IDS Snort và
Firewall Iptable ở trên Honeywall sẽ thực hiện kiểm soát các hoạt động
của các loại mã độc này, cũng như các hành vi mà hacker thực hiện trên
hệ thống, đồng thời đưa ra các cảnh báo cho người quản lý hệ thống biết
để kịp thời xử lý.
Các luồng dữ liệu khi đi vào không bị hạn chế, nhưng khi đi ra ngồi thì
sẽ bị hạn chế. Chính vì vậy mà hacker sẽ rất khó khăn, thậm chí nếu hệ
thống Honeynet được cấu hình tốt thì hacker sẽ khơng thể thu thập được

15


đầy đủ thông tin về hệ thống, điều này cũng có nghĩa là hacker sẽ khơng
thể xâm nhập thành cơng vào hệ thống mạng.
Thu nhận dữ liệu
Khi dữ liệu đi vào thì Honeynet sẽ xem xét và ghi lại tất cả các hoạt
động có tính phá hoại và sau đó sẽ phân tích các động cơ hoạt động
của tin tặc và chính cơng cụ Snort trên Honeywall thực hiện chức
năng này. Dựa trên các luật (rule) định nghĩa dấu hiệu tấn cơng mà
Snort sẽ cho rằng một hoạt động có được coi là hoạt động có tính phá
hoại hay khơng, nếu phải nó sẽ thực hiện ghi lại log và đưa ra các
cảnh báo. Nhờ vậy, mà toàn bộ quá trình tấn cơng của hacker đều sẽ
được ghi lại một cách chi tiết.
Phân tích dữ liệu
Mục đích chính của honeynet chính là thu thập thơng tin. Khi đã có
thơng tin thì người dùng cần phải có khả năng để phân tích các thơng
tin này. Để thực hiện tốt cơng việc này, địi hỏi người phân tích phải
có một kiến thức rất tốt về an ninh mạng, phải am hiểu về các kỹ
thuật tấn công mạng.
Thu thập dữ liệu

Trong tường hợp hệ thống triển khai nhiều Honeynet thì phải thu
thập dữ liệu từ các honeynet về một nguồn tập trung. Thường thì chỉ
có các các tổ chức, trung tâm an ninh mạng lớn có quy mơ tồn cầu
thì họ mới triển khai nhiều honeynet, đặc biệt là các công ty cung cấp
các sản phẩm diệt virus như: Trend Micro, Symantec,… Còn đa số
các tổ chức chỉ có một Honeynet.
2.3 Một


số mơ hình triển khai Honeynet trên thế giới

Mơ hình triển khai Honeynet của Đại học Bắc Kinh - Trung Quốc

16


Hình 1.5 Sơ đồ triển khai dự án Artemis Đại học Bắc Kinh, Trung
Quốc
Hình 1.5 là sơ đồ triển khai Honeynet tại đại học Bắc Kinh, Trung Quốc
trong một dự án có tên là Artemis. Hiện tại, dự án đang triển khai trên
nền Honeynet thế hệ thứ III, mơ hình triển khai gồm ba honeypot với
các hệ điều hành khác nhau: Red Hat Linux9.0, Windows XP, Windows
2000 và các honeypot ảo được giả lập chương trình honeyd. Và ở mơ
hình này, Honeywall gồm có 3 card mạng:
• Card thứ 1 được kết nối với 1 Router bên ngồi
• Card thứ 2 được kết nối với các Honeypot bên trong
• Card thứ 3 thì được kết nối an tồn với máy Console
Khi hacker tấn cơng vào thì ba Honeypot và Honeypot ảo sẽ tương tác
với hacker, và tiến hành thu thập các thông tin của Hacker như: địa chỉ
IP của máy hacker sử dụng, các tool mà hacker dùng, cách thức Hacker

xâm nhập vào hệ thống,..Tồn bộ q trình tấn cơng của Hacker sẽ được
Honeywall ghi lại và đưa ra các cảnh báo ( Alert ) cho người dùng biết


Mơ hình triển khai Honeynet trong dự án Honeynet tại Hy Lạp

17


Hình 1.6 Sơ đồ triển khai Honeynet của Greek Honeynet Project
Hình 1.6 là sơ đồ triển khai Honeynet trong dự án Honeynet tại Hy Lạp,
hệ thống Honeynet này sử dụng Honeywall phiên bản roo-1.0.hw-189,
một honeypot với hệ điều hành Red Hat 9.0 và bốn honeypot ảo giả lập
bằng honeyd các hệ điều hành: MS Windows XP Pro SP1, Linux 2.4.20,
Solaris 9 và Cisco 1601R IOS 12.1(5). Ở mơ hình này, Honeywall cũng
có ba card mạng, và sơ đồ triển cũng gần giống với mơ hình triển khai
của Đại học Bắc Kinh nhưng chỉ khác ở chỗ giữa máy Console (Remote
Management and Analysis Network ) và bốn máy Honeypot ảo có thêm
một tường lửa ( Firewall). Tường lửa này sẽ đảm bảo việc an toàn cho
máy Consle ngay cả khi kẻ tấn cơng kiểm sốt được các Honeypot ảo
này.

18


Hình 1.7 Sơ đồ triển khai Honeynet của UK Honeynet Project
Hình 1.7 mơ tả sơ đồ triển khai Honeynet của dự án Honeynet tại Anh.
Ở mơ hình này, họ đã triển khai bốn Honeypot với các hệ điều hành: Red
hat 7.3, Fedora Core 1, Sun Solaris 7, Sun Solaris 9. Mơ hình này cũng
gần giống với hai mơ hình ở trên; chỉ khác nhau ở chỗ máy console

ngoài kết nối tới Honeywall thì cịn kết nối với router và được bảo vệ
bằng một tường lửa đứng giữa.
3. Vai

trò và ý nghĩa của Honeynet

Honeynet là mơi trường thử nghiệm có kiểm sốt an tồn giúp sớm phát
hiện ra các lỗ hổng bảo mật tồn tại trên các sản phẩm công nghệ thông
tin đã triển khai và cài đặt trên hệ thống thật (đặc biệt là các lỗ hổng
Zero – day). Từ đó, chúng ta sớm có biện pháp ứng phó và khắc phục
kịp thời. Đồng thời bên cạnh đó, honeynet cũng giúp kiểm tra được độ
an toàn của hệ thống mạng, các dịch vụ mạng ( như : Web, DNS, Mail,
…), và kiểm tra độ an toàn và tin cậy, chất lượng của các sản phẩm
thương mại công nghệ thông tin khác (đặc biệt là các Hệ điều hành như:
Unix, Linux, Window,…).
19


Thu thập các thông tin, dấu vết của Hacker ( như : địa chỉ IP của máy
Hacker sử dụng tấn cơng, vị trí địa lý của Hacker, thời gian Hacker tấn
cơng,…). Từ đó, giúp chun gia an ninh mạng truy tìm thủ phạm.

20


CHƯƠNG II. MƠ HÌNH KIẾN TRÚC HONEYNET
1. Honeynet thế hệ I
1.1 Kiến trúc
Kiến trúc của loại Honeynet này bao gồm máy (được gọi là tường lửa)
chịu trách nhiệm về dữ liệu kiểm soát và một hệ thống phát hiện xâm

nhập thành phần khác (IDS), chịu trách nhiệm thu thập dữ liệu, nhằm chỉ
cho Hacker tấn công vào Honeynet và ngăn chặn không cho Hacker tấn
công vào vùng mạng sản xuất, hay không cho Hacker biến Honeynet
làm công cụ để tấn cơng các hệ thống mạng bên ngồi. Tường lửa có 3
giao diện mạng (một giao diện được sử dụng để kết nối với Internet, một
mạng khác để kết nối với Honeynet và mạng cuối để liên hệ với máy chủ
nhật ký). Cấu hình của tường lửa là yếu tố chính của bảo vệ thế hệ
Honeynet này. Thế hệ I Honeynet có tường lửa với địa chỉ IP hoạt động
trên layer 3, có thể nhìn thấy đối với những kẻ xâm lược.
1.2 Điều khiển dữ liệu
Q trình này có hai mục tiêu. Đầu tiên là hiển thị một kịch bản đủ thực
và an toàn cho những kẻ xâm nhập để chúng cảm thấy rằng họ có tồn
bộ cuộc tấn cơng trong tầm kiểm soát và họ hành động như họ làm tại
thời điểm thỏa hiệp máy nạn nhân khác. Thứ hai là làm cho một môi
trường đảm bảo rằng thiệt hại gây ra không thể vượt qua môi trường của
Honeynet. Việc kiểm sốt dữ liệu được chia thành hai loại:
• Chặn kết nối: ngăn kết nối quá mức từ Honeynet. Mức độ chấp nhận
hoặc từ chối có liên quan trực tiếp đến những gì người ta muốn học và
rủi ro rằng nó có khả năng giả định vì cho phép kết nối mạnh mẽ hơn
mang lại khả năng học tập nhiều hơn nhưng cũng tạo ra nhiều rủi ro hơn.
• Giới hạn kết nối: có mục đích giảm thiểu ngập lụt cho các kết nối đi và
giới hạn băng thông.
1.3 Thu thập dữ liệu
Thu thập dữ liệu là một chức năng cho phép thu thập và lưu trữ bằng
chứng về hoạt động của mạng lưới và của những cỗ máy can thiệp vào
các cuộc tấn công mà chúng để lộ ra. Việc thu thập dữ liệu không chỉ lưu
trữ nhật ký hoặc mạng giao thơng; thay vào đó, nó là sự kết hợp của việc
21



giám sát hoạt động, quan sát "mơ đun tốn hạng" của kẻ tấn công và khả
năng nhận dạng một số cấu hình để diễn giải cuộc tấn cơng hoặc các cuộc
tấn cơng hiệu quả hơn. Nếu khơng có khóa, các công cụ thu thập dữ liệu
trên mạng sẽ không thể xem kênh nếu các dịch vụ đáng tin cậy như
Secure Shell (SSH), một ứng dụng khách được mã hóa hoặc một Secure
Sockets Layer (SSL) được cài đặt trên máy của nạn nhân.
2. Honeynet thế hệ II
2.1 Kiến trúc
Honeypot thế hệ II được phát triển vì Thế hệ I dễ dàng để phát hiện. Thế
hệ II được cải thiện phương thức hoạt động để giữ những kẻ tấn công
trong Honeynet để thời gian dài hơn và nó cho phép nhiều thơng tin hơn
về hoạt động cần đạt được. Cổng Honeynet (honeywall) là quan trọng
nhất trong thành phần của kiến trúc, nó có 3 giao diện mạng: mạng sản
xuất, Honeynet và giao diện quản lý. Honeywall là sự kết chức năng của
hai hệ thống tường lửa Firewall và hệ thống phát hiện xâm nhập IDS của
mơ hình kiến trúc Honeynet I. Nhờ vậy chúng ta dễ dàng triển khai và
quản lý hơn.
2.2 Điều khiển dữ liệu
Tất cả lưu lượng truy cập đến Honeynet đều đi qua honeywall, cho phép
can thiệp vào tường lửa và trên IDS hoặc hệ thống ngăn chặn xâm nhập
(IPS) các thành phần cho dữ liệu truyền qua Internet. Lớp điều khiển đầu
tiên bao gồm việc xử lý kết nối gửi đi thơng qua tường lửa; nó cho phép
kết nối để đi đến một ngưỡng cửa xác định, không giống như Honeynet
thế hệ I, chỉ cho phép các giá trị thấp, khiến nơi trú của những kẻ tấn
công ngắn lại. Lớp kiểm soát dữ liệu thứ hai bao gồm IDS/IPS
2.3 Thu thập dữ liệu
Honeynet thế hệ II áp dụng các chiến thuật tương tự như Honeynets thế
hệ I nhưng cải tiến các phương pháp và công cụ, bộ sưu tập thông tin
được thực hiện ở lớp 3. Những cải tiến là tường lửa, IDS / IPS và
Honeypots. Thu thập dữ liệu được thực hiện cho IDS thường trú và

tường lửa. Nhật ký của tường lửa cung cấp thông tin về tất cả các kết nối
đến và đi; ngoài ra, IDS cung cấp cảnh báo về các kiểu tấn công đã biết.
3. Honeynet thế hệ III
3.1 Kiến Trúc
22


Honeywall thế hệ III có các cơng cụ như Hflowd, pcap_api và Walleye
hỗ trợ mối tương quan của dữ liệu thu được. Walleye là một giao diện
Web cho phép quản trị hệ thống và cung cấp giao diện cho Hflowd và
pcap api để thực hiện phân tích dữ liệu và cung cấp khả năng báo cáo tự
động
3.2 Điều khiển dữ liệu
Mục tiêu là xác minh những gì kẻ tấn cơng có thể làm khi vào và ra khỏi
Honeynet. Honeywall là rất linh hoạt và bao gồm khả năng giới hạn và
các kết nối đi bằng cách sử dụng IPTables và có thể thực hiện NAT.
Cổng honeywall thế hệ II và thế hệ III hoạt động trên lớp liên kết, giúp
chuyển tiếp lưu lượng truy cập quyết định dựa trên bảng địa chỉ MAC để
chuyển hướng lưu lượng truy cập từ giao diện này sang giao diện khác.
Khi cổng hoạt động như một cầu nối, khơng có định tuyến lại hoặc giảm
các gói TTL. Điều này cho phép nó hoạt động như một thiết bị lọc vơ
hình, hơn thế nữa khó bị kẻ gian phát hiện. Kiểm soát dữ liệu bên trong
phải có thể đảm bảo honeypot khơng thể được sử dụng để tấn công các
hệ thống khác và mạng máy tính. Ngồi ra, tên của các giao diện bên
trong của máy chủ phải được xác định. Theo mặc định, nó là giao diện
eth1, và giao diện bên ngoài mặc định là eth2.
Các cơng cụ để kiểm sốt dữ liệu:
• layer 2 bridge (honeywall)
• Iptables (giới hạn gói hoặc lưu lượng mạng điều khiển)
• Snort Inline (thao tác gói mạng)

3.3 Thu thập dữ liệu
Mục tiêu của việc thu thập dữ liệu là để nắm bắt tất cả các hoạt động mà
không bị phát hiện. Hoạt động trên Honeynet là được ghi lại bởi một số
công cụ. Tường lửa ghi nhật ký tất cả đến và đi kết nối. Theo mặc định,
quy trình snort nắm bắt tất cả mạng hoạt động và tất cả nội dung của các
gói được bên trong xem giao diện mạng (eth1 mặc định). Điều này bao
gồm tất cả Sebek hoạt động cho phép hiển thị cả lưu lượng được mã hóa
mà khơng cần có chìa khóa. Một phiên bản bổ sung của Snort lắng nghe
trên giao diện nội bộ và tạo cảnh báo IDS trong chế độ đầy đủ và nhanh
chóng.
Các cơng cụ để thu thập dữ liệu:
23


• Iptables (nhật ký iptables)
• Snort (cảnh báo IDS)
• pOf (nhận dạng thụ động SO)
• Sebek (Thu thập dữ liệu nâng cao)
• Tcpdump (thu thập lưu lượng mạng)
3.4 Phân tích dữ liệu
Thế hệ III của Honeynet đã cải thiện phân tích của dữ liệu so với các
kiến trúc trước đó. Trong chính nó, cách dễ nhất để thực hiện phân tích
và kiểm tra lưu lượng mạng và dữ liệu được thu thập trong Honeynet là
tìm kiếm các kết nối theo ngày, giờ, địa chỉ IP hoặc các cổng được hiển
thị trong giao diện GUI Walleye. Các kết quả có thể được trả về dưới
dạng tệp đã chụp gói (PCAP) cho bằng cách sử dụng các cơng cụ phân
tích lưu lượng mạng để tiến tới kiểm tra dữ liệu thu thập được.
Các cơng cụ để phân tích dữ liệu:
• MySQL (cơ sở dữ liệu Honeynet để thu thập)
• Argus + Hflow (thu thập dữ liệu, luồng lưu lượng)

• Swatch (nhật ký tường lửa và cảnh báo IDS)
• Walleye (giao diện người dùng đồ họa)

24




So sánh sự khác nhau của các thế hệ honeynet
Gen I

Gen II

Gen III

Điều
Bằng tường lửa
khiển dữ
liệu

Thơng qua
honeywall,cổng
kiểm sốt, và
cơng cụ IDS/IPS

Honeywall
nâng
cao
sử
dụng

IPTables, cái mà cải
thiện được tốc
độ,quản lý và bảo
vệ

Thu thập Bằng cách sử
dữ liệu
dụng một IDS
trong người
đánh hơi chế độ.
Nó ghi lại log

Thông
qua
honeywall các
phương pháp và
công cụ thông
minh để thu thập
dữ liệu. Những
công cụ này
nắm bắt nhật ký
tường lửa,
lưu lượng mạng
và hoạt động của
hệ thống

Ghi tất cả những
hoạt động của kẻ
tấn công, sử dụng
các công cụ thu

thập dữ liệu,
dữ liệu nâng cao
nắm bắt - tức là
Sebek

Phân tích
dữ liệu

Dữ liệu tương quan
để gửi 1 cách an
toàn cho một tập
trung máy chủ để
lưu trữ phân tích.

Mức độ Net layer
hoạt động

Link layer

Link layer

Có
thể Dễ
phát hiện

Khó

Khó

Thời gian Thấp

giám sát

Cao

Cao

25