花开的地方

一个成功的防护措施，可以拖延攻击者，同时能给防御者提供足够的信息来了解黑客，将攻击造成的损失降至最低。网络安全防御者通过提供虚假信息，迫使攻击者浪费时间做无益的进攻，以减弱后续的入侵力量; 同时，还可获得攻击者手法和动机等相关信息，这些信息日后可用来强化现有的安全措施，例如防火墙规则和配置等。网络陷阱技术就是基于这一思路设计和开发的。

设置陷阱

网络陷阱技术主要包括: 伪装技术(系统伪装、服务伪装等)、诱骗技术、引入技术、信息控制技术(防止攻击者通过陷阱实现跳转攻击)、数据捕获技术(用于获取并记录相关攻击信息)及数据统计和分析技术等。

网络陷阱和诱骗系统是一个主动防御体系。它是由放置在网络中的若干陷阱机、主动引入模块(完成与放火墙、入侵检测系统的联动功能)以及一个远程管理控制台组成。这些分布在网络中的陷阱机与防火墙、IDS等安全产品联动，可以形成一个联合的安全防御体系，实现提高网络安全性的目的，如附图所示。其中，每个陷阱机就是一台欺骗主机，它能够对受保护机进行模拟，包括操作系统类型、系统和应用服务等。另外它还具有强大的日志记录功能，能够对入侵过程进行详细的记录和监视，在必要的情况下，对入侵者进行跟踪。

管理控制台是一台远程主机，可以对网络中所有的陷阱机进行远程控制和监视，能够接收从陷阱机发送过来的入侵日志并根据入侵的不同程度提出警报。同时具有强大的分析功能，根据接收到的入侵日志对黑客的行为、特点等进行详细分析。同时，由于黑客进入的是陷阱机，不会对网络造成威胁。

在陷阱网络诱骗机制和主动引入的作用下，黑客的入侵行为被引入到一个安全、可控的模拟环境，消耗黑客的时间，了解其使用的技术和攻击方法，记录黑客来源和犯罪证据，从而有效地防范黑客入侵，打击计算机犯罪。

网络陷阱与诱骗系统适用于各种规格的局域网，在网络防火墙、入侵检测系统等其他安全措施的配合下，能弥补原有安全防御的不足，大大地提升网络安全防护性能。

一个成熟的网络陷阱一般要求能满足以下功能:

- 能检测攻击类型: ICMP(控制报文协议)、CGI(通用网关接口)、FTP、Telnet、端口扫描、用户账号、服务扫描、操作系统扫描、清除日志等;

- 具备IP空间欺骗技术: 能够实现IP空间欺骗;

- 包含网络流量仿真软件: 能够模拟正常服务的网络流量;

- 自动阻断功能: 外出连接数目达到设定阀值后，连接控制能够自动阻断连接;

- 路由控制功能: 路由控制能够阻止黑客利用陷阱系统向其他系统发送伪造的IP地址包;

- 数据捕获功能: 数据捕获能够记录进入和流出陷阱系统的连接并显示攻击者在陷阱主机中的操作;

- 日志记录功能: 能够对入侵者在陷阱主机中的操作信息进行远程日志记录。

国内外发展状况

国外，有许多安全欺骗系统被用来研究黑客技术和统计黑客行为规律，被称为“密罐”。比较有名的如“Honey Net”，它属于一种研究类型的“安全陷阱”。在商业产品领域的安全欺骗系统不多，但是，近两年有逐渐增多的趋势，其产品功能也向完善化发展。如Recourse公司的“Man Trap”，它的使用对象是一般的商业公司、企业，并具备了当前网络安全欺骗系统的一切性能。配合它的另一个产品是“Man Hunt”，增加了对入侵者进行跟踪的功能。另外，在国外市场中其他商业产品还有Homemade Honypot、Specter等，但其版本还在发展。下面列举一些目前国外流行的陷阱网络产品:

- Spector是由NetSec公司开发的一种比较简单的业务类型陷阱, 它简单、代价小、易于维护, 运行于Windows平台。Spector提供了7个完整的模拟服务, 6个预设陷阱和1个可定制陷阱, 可以检测来自13个预定义端口和1个自定义端口的攻击, 具有自动捕获攻击者活动的能力, 所有连接的IP地址、时间、服务类型和引擎的状态等信息都记录在远程主机上。

- Man Trap(捕人陷阱) 是由Recource公司开发的一个比较高级的业务型密罐,运行于Solaris操作系统上。它不是简单地模拟一些服务, 而是在Man Trap主机上提供了4个逻辑上的操作系统环境。每一个这样的环境都如同一个独立运行的操作系统, 这些逻辑上的操作系统环境被称为“牢笼”。每个“牢笼”在功能上可以是独立的, 也可以相互关联。

- Honeyd是由Niels Provos创建的一种功能强大的具有开放源代码的陷阱, 运行在Unix系统上, 可以同时模仿上千种不同的计算机, 同时呈现上千个不同的IP地址。Honeyd主要用于攻击检测, 它对那些没有使用的IP地址进行监控。

- Honeynet是高交互研究型密罐。它给予黑客完整真实的操作系统和应用服务交互。

国内，目前中科院高能物理所、浙江大学、安徽大学等科研机构和大学对网络陷阱与诱骗系统进行了研究，获得了一定的成果。但是目前国内还没有具有网络陷阱与诱骗功能的商业产品，一些网络主动防御功能也在预研阶段。

关键技术和难点

网络陷阱和诱骗系统存在如下几个方面的关键技术和难点:

- 仿真技术: 正常服务器中发现攻击后，如何将整个环境在陷阱机中进行重建，而不会产生失真和大的时间延迟是个难点。

- 陷阱系统的监控能力: 系统级监控必须支持实时监控和反应能力。

- 自有日志的可靠性: 由于事件日志能作为证据，因此，日志的保密性、真实性和完整性及可靠性的保障特别重要。

- 信息捕获手段的研究和更新: 入侵者们不断地开发出各种工具来对抗现有的监测技术，如:Dug Song开发的 Fragrouter (将包分片重组)、RainForest Puppy开发的 Whisker(扫描工具通过对数据的分片重组绕开IDS)、K2发表的ADMmutate(可绕过现有大多数IDS的检测)、AntiIDS及加密等，这些手段对信息捕获会有很大影响。

- 与防火墙/IDS间互动功能的实现: 只有防火墙、IDS、陷阱网络之间能够有机地结合并形成一个联动整体，才能更有效地发挥防护功能。

风险是永远存在的，只要经常性地检查或者改进设定的陷阱网络环境，确保它的有效性，再结合多种被动防御系统，相信一个安全的健壮的网络系统将会离我们不远。

发表于计算机世界07年4月王鲲

Tags: Honey Net, IDS, IPS, trap, 安全, 蜜罐, 陷阱, 黑客
Filed under FreeBSD, Linux, 安全相关 | Comments (0)

2008-10-21

Debian 添加en_US.utf8 LANG环境

以中文方式安装的Debian GUN/Linux 系统，默认LANG=zh_CN.utf8，并且默认，只有三种LANG支持:

$locale -a
C
POSIX
zh_CH.utf8

添加en_US.utf8支持，需要：

1. 编辑/etc/locale.gen，添加如下一行：　en_US.UTF-8 UTF-8

2. 运行locale-gen，编译生成en_US.utf8

3. 或者直接运行：dpkg-reconfigure locales

Debian中的locales（GNU C Library: National Language (locale) data [support] ）用来处理locale（本地化）。
CentOS(RedHat)中，locale包含在glibc-comman中。

Tags: Debian en_US.utf8, en_US.utf8, locale, locales
Filed under Linux, SHELL | Comments (0)

2008-10-21

编码问题(for Linux)

查看文件编码格式及文件编码转换及文件系统（目录、文件名）编码转换

查看文件编码格式

1. 使用VIM

使用命令 :set fileencoding 即可显示文件编码

如果你只是想查看其它编码格式的文件或者想解决用Vim查看文件乱码的问题，那么你可以在
~/.vimrc 文件中添加以下内容：

set encoding=utf-8 fileencodings=ucs-bom,utf-8,cp936

这样，就可以让vim自动识别文件编码（可以自动识别UTF-8或者GBK编码的文件），其实就是依照fileencodings提供的编码列表尝试，如果没有找到合适的编码，就用latin-1(ASCII)编码打开。

2. 使用enca ( Extremely Naive Charset Analyser )

这个包，系统默认可能没有安装，需要安装。

使用方法：$enca filename

文件编码转换

1. 使用VIM
:set fileencoding=utf-8
保存退出。

2. 使用enca包工具enconv转换文件编码

比如要将一个GBK编码的文件转换成UTF-8编码，操作如下：
enconv -L zh_CN -x UTF-8 filename

3. iconv 转换，（iconv属于glibc-common包，一般系统都有）iconv的命令格式如下：

iconv -f encoding -t encoding inputfile

比如将一个UTF-8 编码的文件转换成GBK编码

iconv -f GBK -t UTF-8 file1 -o file2

Linux文件名编码转换

从Linux往windows 拷贝文件或者从windows往Linux拷贝文件，有时会出现中文文件名乱码的情况，出现这种问题的原因是因为，windows的文件名中文编码默认为 GBK,而Linux中默认文件名编码为UTF8,由于编码不一致，所以导致了文件名乱码的问题，解决这个问题需要对文件名进行转码。

在Linux中专门提供了一种工具convmv进行文件名编码的转换，可以将文件名从GBK转换成UTF-8编码,或者从UTF-8转换到GBK。

首先看一下你的系统上是否安装了convmv,如果没安装的话用:
yum -y install convmv
安装。
下面看一下convmv的具体用法：

convmv -f 源编码 -t 新编码 [选项] 文件名

常用参数：
-r 递归处理子文件夹
–notest 真正进行操作，请注意在默认情况下是不对文件进行真实操作的，而只是试验。
–list 显示所有支持的编码
–unescap 可以做一下转义，比如把%20变成空格
比如我们有一个utf8编码的文件名，转换成GBK编码，命令如下：

convmv -f UTF-8 -t GBK –notest utf8编码的文件名

这样转换以后”utf8编码的文件名”会被转换成GBK编码（只是文件名编码的转换，文件内容不会发生变化）。

注意：不要在NTFS和FAT文件系统中使用此命令，否则可能产生意外结果，如果要在Linux中正确的显示NTFS和 FAT的中文件名，可以通过mount参数来解决，具体方法查看一下man手册。

Tags: 文件名编码转换, 文件系统编码转换, 文件编码转换, 查看文件编码格, 编码转换
Filed under FreeBSD, Linux, SHELL, Windows, 软件介绍, 随便写写 | Comments (0)