Day-028-网络欺骗技术

# Day 27: 网络欺骗技术（Deception）

> 网络安全系列第 27 天 | 预计阅读时间：35 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [欺骗技术基础](#欺骗技术基础)
2. [蜜罐技术详解](#蜜罐技术详解)
3. [蜜网架构](#蜜网架构)
4. [诱饵部署策略](#诱饵部署策略)
5. [攻击者行为分析](#攻击者行为分析)
6. [自动化响应](#自动化响应)
7. [实验环境搭建](#实验环境搭建)
8. [实战演练](#实战演练)
9. [防护策略与最佳实践](#防护策略与最佳实践)
10. [总结与思考](#总结与思考)
11. [参考资料](#参考资料)

---

## 欺骗技术基础

### 什么是网络欺骗

网络欺骗（Cyber Deception）是一种主动防御技术，通过部署虚假目标、信息和环境来误导攻击者，从而达到检测、拖延和分析攻击的目的。

**形象理解**：
如果把网络安全比作军事防御，那么：
- **传统防御** = 城墙、护城河（阻止攻击）
- **欺骗技术** = 假目标、陷阱、情报欺骗（误导攻击者）
- **蜜罐** = 诱饵阵地（吸引并捕获敌人）

**欺骗技术的核心价值**：
```
1. 早期预警
   - 攻击者触碰蜜罐即告警
   - 比传统检测更早发现
   - 几乎零误报（正常用户不会访问蜜罐）

2. 攻击者拖延
   - 浪费攻击者时间
   - 增加攻击成本
   - 降低成功概率

3. 威胁情报收集
   - 捕获攻击者 TTPs
   - 收集恶意工具
   - 了解攻击意图

4. 减少误报
   - 蜜罐告警 = 真实攻击
   - 传统 IDS 误报率高
   - 欺骗检测准确度高
```

### 欺骗技术分类

**按交互程度分类**：
```
1. 低交互蜜罐
   - 模拟服务
   - 风险低
   - 信息有限
   - 示例：Cowrie、Honeyd

2. 中交互蜜罐
   - 部分真实功能
   - 风险中等
   - 信息较多
   - 示例：修改的真实服务

3. 高交互蜜罐
   - 真实系统
   - 风险高
   - 信息完整
   - 示例：完整 VM、物理机
```

**按用途分类**：
```
1. 生产蜜罐
   - 部署在生产环境
   - 检测真实攻击
   - 需要隐蔽

2. 研究蜜罐
   - 用于威胁研究
   - 捕获恶意软件
   - 分析攻击手法

3. 诱饵系统
   - 虚假业务系统
   - 吸引攻击者
   - 拖延时间
```

---

## 蜜罐技术详解

### Cowrie SSH 蜜罐

**Cowrie 简介**：
```
Cowrie 是一个中等交互的 SSH/Telnet 蜜罐，
用于记录暴力破解和攻击者交互行为。

特点：
- 模拟 SSH 和 Telnet 服务
- 记录所有命令输入
- 下载恶意软件样本
- 文件系统模拟
- 易于部署

适用场景：
✓ 检测 SSH 暴力破解
✓ 捕获攻击者命令
✓ 收集恶意软件
✓ 研究攻击手法
```

**Cowrie 部署**：
```bash
#!/bin/bash
# cowrie_deploy.sh
# Cowrie SSH 蜜罐部署脚本

set -e

echo "=== Cowrie 蜜罐部署 ==="

# 1. 安装依赖
echo "[1/5] 安装依赖..."
apt update
apt install -y python3 python3-pip python3-virtualenv \
  libssl-dev libffi-dev build-essential git

# 2. 创建用户
echo "[2/5] 创建用户..."
useradd -m -d /opt/cowrie -s /bin/bash cowrie

# 3. 克隆代码
echo "[3/5] 克隆代码..."
sudo -u cowrie git clone https://github.com/cowrie/cowrie /opt/cowrie
cd /opt/cowrie

# 4. 安装依赖
echo "[4/5] 安装 Python 依赖..."
sudo -u cowrie virtualenv --python=python3 cowrie-env
sudo -u cowrie /opt/cowrie/cowrie-env/bin/pip install --upgrade pip
sudo -u cowrie /opt/cowrie/cowrie-env/bin/pip install -r requirements.txt

# 5. 配置
echo "[5/5] 配置 Cowrie..."
sudo -u cowrie cp /opt/cowrie/etc/cowrie.cfg.dist /opt/cowrie/etc/cowrie.cfg

# 修改配置
sudo -u cowrie sed -i 's/hostname = server/hostname = ubuntu-server/' /opt/cowrie/etc/cowrie.cfg
sudo -u cowrie sed -i 's/ssh_port = 2222/ssh_port = 22/' /opt/cowrie/etc/cowrie.cfg

# 6. 启动服务
echo "启动 Cowrie..."
sudo -u cowrie /opt/cowrie/cowrie-env/bin/twistd -n cowrie &

echo "=== 部署完成 ==="
echo "SSH 蜜罐监听在：22 端口"
echo "日志目录：/opt/cowrie/log/"
echo "查看日志：tail -f /opt/cowrie/log/cowrie.log"
```

**Cowrie 配置详解**：
```ini
# /opt/cowrie/etc/cowrie.cfg

[ssh]
# 监听端口
listen_port = 22

# 蜜罐主机名（伪装）
hostname = ubuntu-server

# 伪装版本
version = SSH-2.0-OpenSSH_7.4

# 登录横幅
banner = Welcome to Ubuntu 18.04 LTS

[honeypot]
# 下载目录（保存攻击者下载的文件）
download_path = /opt/cowrie/dl

# 文件系统内容
contents_path = /opt/cowrie/honeyfs

# 日志配置
log_sensors_events = true
log_client_version = true
log_client_ip = true
```

### Dionaea 恶意软件捕获蜜罐

**Dionaea 简介**：
```
Dionaea 是一个低交互蜜罐，
专门用于捕获恶意软件和攻击。

支持协议：
- SMB（主要）
- HTTP
- FTP
- TFTP
- MySQL
- MSSQL
- PostgreSQL

特点：
- 自动捕获恶意软件
- 提交到 VirusTotal
- 支持多种协议
- 模块化设计
```

**Dionaea 部署**：
```bash
#!/bin/bash
# dionaea_deploy.sh
# Dionaea 蜜罐部署脚本

set -e

echo "=== Dionaea 蜜罐部署 ==="

# 1. 安装依赖
apt update
apt install -y python3 python3-pip git cmake libssl-dev \
  libev-dev libconfig-dev libcares-dev libpcap-dev \
  libnl-3-dev libnl-route-3-dev libudns-dev

# 2. 克隆代码
git clone https://github.com/DinoTools/dionaea.git
cd dionaea

# 3. 编译安装
mkdir build && cd build
cmake ..
make
make install

# 4. 配置
# /etc/dionaea/dionaea.cfg
# 配置监听端口、日志等

# 5. 启动
dionaea -c /etc/dionaea/dionaea.cfg

echo "=== 部署完成 ==="
echo "恶意软件保存目录：/opt/dionaea/var/dionaea/binaries/"
```

### Honeyd 通用蜜罐

**Honeyd 简介**：
```
Honeyd 是一个创建虚拟蜜罐的框架，
可以模拟任意操作系统和服务。

特点：
- 模拟多个 IP 地址
- 模拟不同操作系统
- 自定义服务响应
- 网络层蜜罐

适用场景：
✓ 网络扫描检测
✓ 蠕虫传播研究
✓ 网络拓扑欺骗
```

---

## 蜜网架构

### 蜜网定义

**蜜网（Honeynet）**：
蜜网是一个由多个蜜罐组成的网络，模拟真实的网络环境，用于更真实地吸引和分析攻击者。

**蜜网 vs 蜜罐**：
```
蜜罐：
- 单个诱饵系统
- 简单部署
- 有限交互

蜜网：
- 多个蜜罐组成的网络
- 模拟真实环境
- 完整攻击链分析
```

### 蜜网架构设计

**典型蜜网拓扑**：
```
┌─────────────────────────────────────────┐
│              互联网                      │
└─────────────────┬───────────────────────┘
                  │
         ┌────────▼────────┐
         │   蜜网防火墙    │
         │  (Honeywall)   │
         │  - 流量控制     │
         │  - 数据捕获     │
         │  - 入侵检测     │
         └────────┬────────┘
                  │
    ┌─────────────┼─────────────┐
    │             │             │
┌───▼───┐   ┌────▼────┐   ┌───▼───┐
│ Web   │   │  数据库  │   │  文件  │
│ 蜜罐  │   │  蜜罐   │   │  蜜罐  │
│192.168│   │192.168 │   │192.168│
│.100.2 │   │.100.3  │   │.100.4 │
└───────┘   └─────────┘   └───────┘
     │             │             │
     └─────────────┼─────────────┘
                   │
          ┌────────▼────────┐
          │   管理网络      │
          │  192.168.99.0/24│
          └─────────────────┘
```

**蜜网控制层（Honeywall）**：
```
功能：
1. 流量控制
   - 限制蜜罐出站流量
   - 防止攻击者利用蜜罐攻击他人
   - 流量整形

2. 数据捕获
   - 捕获所有进出流量
   - 键盘记录
   - 文件传输记录

3. 入侵检测
   - 实时检测攻击
   - 告警通知
   - 数据关联

部署：
- 桥接模式
- 透明模式
- 不影响网络拓扑
```

---

## 诱饵部署策略

### 凭证诱饵

**Windows 凭证诱饵**：
```powershell
# 创建虚假凭证文件
# C:\Users\Public\Documents\passwords.txt

内容示例：
# Company Passwords
Admin: Admin123!
Database: DbP@ss2024
Backup: BackupKey!

# 监控文件访问
Get-WinEvent -FilterHashtable @{
  LogName='Security'
  Id=4663  # 文件访问事件
} | Where-Object {
  $_.Message -like "*passwords.txt*"
} | Select-Object TimeCreated, Message
```

**浏览器密码诱饵**：
```
部署虚假的浏览器密码文件：
- Chrome Login Data
- Firefox logins.json
- 包含诱饵凭证

监控：
- 文件访问
- 进程创建
- 网络外连
```

### 数据库诱饵

**MySQL 诱饵数据库**：
```sql
-- 创建诱饵数据库
CREATE DATABASE fake_customer_data;
USE fake_customer_data;

-- 创建诱饵表
CREATE TABLE credit_cards (
  id INT AUTO_INCREMENT PRIMARY KEY,
  card_number VARCHAR(16),
  cardholder VARCHAR(100),
  expiry DATE,
  cvv VARCHAR(3)
);

-- 插入诱饵数据（明显是假的）
INSERT INTO credit_cards VALUES 
(1, '4111111111111111', 'Test User', '2025-12-31', '123'),
(2, '5500000000000004', 'Fake Person', '2024-06-30', '456');

-- 创建诱饵用户
CREATE USER 'data_analyst'@'%' IDENTIFIED BY 'Analyst123!';
GRANT SELECT ON fake_customer_data.* TO 'data_analyst'@'%';

-- 监控访问
-- 任何访问都是可疑的（正常业务不应访问）
```

**数据库访问监控**：
```sql
-- 启用通用查询日志
SET GLOBAL general_log = 'ON';
SET GLOBAL general_log_file = '/var/log/mysql/fake_access.log';

-- 或创建触发器
CREATE TABLE access_log (
  access_time TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
  user_host VARCHAR(255),
  query_text TEXT
);

-- 任何查询都记录
```

### 网络诱饵

**虚假服务诱饵**：
```python
#!/usr/bin/env python3
# network_decoy.py
# 网络诱饵服务

import socket
import threading
import logging
from datetime import datetime

logging.basicConfig(
    level=logging.INFO,
    format='%(asctime)s - %(message)s',
    filename='/var/log/decoy.log'
)

class DecoyService:
    def __init__(self, port, banner, service_name):
        self.port = port
        self.banner = banner
        self.service_name = service_name
        self.connections = []
    
    def handle_client(self, conn, addr):
        logging.info(f"[{self.service_name}] 连接来自：{addr}")
        
        try:
            # 发送横幅
            conn.send(self.banner.encode())
            
            # 记录所有交互
            while True:
                data = conn.recv(1024)
                if not data:
                    break
                
                logging.info(f"[{self.service_name}] 收到：{data.decode().strip()}")
                
                # 记录到文件
                with open('/var/log/decoy_interactions.log', 'a') as f:
                    f.write(f"{datetime.now()} - {addr} - {data.decode()}\n")
                
                # 模拟响应（拖延攻击者）
                conn.send(b"OK\r\n")
                
        except Exception as e:
            logging.error(f"[{self.service_name}] 错误：{e}")
        finally:
            conn.close()
    
    def start(self):
        server = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        server.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
        server.bind(('0.0.0.0', self.port))
        server.listen(5)
        logging.info(f"[{self.service_name}] 诱饵服务启动在端口 {self.port}")
        
        while True:
            conn, addr = server.accept()
            self.connections.append((conn, addr))
            thread = threading.Thread(
                target=self.handle_client,
                args=(conn, addr)
            )
            thread.daemon = True
            thread.start()

# 启动多个诱饵服务
services = [
    DecoyService(21, "220 Welcome to FTP Server\r\n", "FTP"),
    DecoyService(23, "Login: ", "Telnet"),
    DecoyService(3306, "", "MySQL"),
    DecoyService(6379, "", "Redis"),
]

for service in services:
    thread = threading.Thread(target=service.start, daemon=True)
    thread.start()

# 保持运行
import time
while True:
    time.sleep(1)
```

---

## 攻击者行为分析

### 攻击者画像

**收集的信息**：
```
1. 基本信息
   - 源 IP 地址
   - 地理位置
   - ASN/ISP
   - 使用时间

2. 攻击手法
   - 使用的工具
   - 攻击命令
   - 利用的漏洞
   - 横向移动路径

3. 目标选择
   - 扫描的端口
   - 尝试的服务
   - 访问的文件
   - 搜索的关键词

4. 持久化尝试
   - 创建的用户
   - 安装的后门
   - 修改的配置
   - 计划任务
```

### TTPs 分析

**MITRE ATT&CK 映射**：
```
初始访问（Initial Access）：
- T1190: 利用面向公众的应用
- T1133: 外部远程服务

执行（Execution）：
- T1059: 命令行界面
- T1053: 计划任务

持久化（Persistence）：
- T1547: 启动项
- T1136: 创建账户

权限提升（Privilege Escalation）：
- T1548: 滥用权限控制
- T1068: 利用漏洞提权

防御规避（Defense Evasion）：
- T1070: 清除日志
- T1027: 混淆文件

凭证访问（Credential Access）：
- T1003: 凭证转储
- T1110: 暴力破解

发现（Discovery）：
- T1082: 系统信息发现
- T1083: 文件目录发现

横向移动（Lateral Movement）：
- T1021: 远程服务
- T1075: 传递哈希

收集（Collection）：
- T1005: 本地数据
- T1039: 网络共享数据

渗出（Exfiltration）：
- T1041: 通过 C2 渗出
- T1048: 通过替代协议渗出
```

---

## 自动化响应

### 自动响应流程

```python
#!/usr/bin/env python3
# automated_response.py
# 欺骗技术自动化响应

import json
import subprocess
from datetime import datetime
from email.mime.text import MIMEText
import smtplib

class DeceptionResponse:
    def __init__(self):
        self.alerts = []
        self.attacker_db = 'attackers.json'
    
    def detect_attack(self, log_file):
        """检测攻击"""
        with open(log_file) as f:
            for line in f:
                if 'login attempt' in line.lower() or \
                   'password' in line.lower() or \
                   'wget' in line.lower() or \
                   'curl' in line.lower():
                    
                    # 提取攻击者 IP（简化）
                    ip = self.extract_ip(line)
                    
                    self.alerts.append({
                        'time': datetime.now().isoformat(),
                        'type': 'deception_triggered',
                        'ip': ip,
                        'raw': line.strip()
                    })
    
    def extract_ip(self, line):
        """提取 IP 地址"""
        import re
        match = re.search(r'\d+\.\d+\.\d+\.\d+', line)
        return match.group() if match else 'unknown'
    
    def auto_respond(self, alert):
        """自动响应"""
        print(f"检测到攻击：{alert['type']}")
        
        # 1. 记录攻击者
        self.log_attacker(alert)
        
        # 2. 添加到防火墙黑名单
        self.block_ip(alert)
        
        # 3. 发送告警
        self.send_alert(alert)
        
        # 4. 增强监控
        self.increase_monitoring(alert)
    
    def log_attacker(self, alert):
        """记录攻击者"""
        try:
            with open(self.attacker_db, 'r') as f:
                attackers = json.load(f)
        except:
            attackers = []
        
        attackers.append(alert)
        
        with open(self.attacker_db, 'w') as f:
            json.dump(attackers, f, indent=2)
    
    def block_ip(self, alert):
        """封禁 IP"""
        ip = alert.get('ip', '')
        if ip and ip != 'unknown':
            try:
                subprocess.run([
                    'iptables', '-C', 'INPUT',
                    '-s', ip, '-j', 'DROP'
                ], check=False)
                
                # 如果规则不存在，添加它
                subprocess.run([
                    'iptables', '-I', 'INPUT',
                    '-s', ip, '-j', 'DROP'
                ])
                print(f"已封禁 IP: {ip}")
            except Exception as e:
                print(f"封禁失败：{e}")
    
    def send_alert(self, alert):
        """发送告警"""
        msg = MIMEText(f"""
欺骗技术告警

类型：{alert['type']}
时间：{alert['time']}
IP: {alert.get('ip', 'unknown')}

详情：
{alert['raw']}
        """)
        
        msg['Subject'] = f"欺骗技术告警 - {alert['type']}"
        msg['From'] = 'deception@example.com'
        msg['To'] = 'security@example.com'
        
        try:
            with smtplib.SMTP('localhost') as server:
                server.send_message(msg)
            print("告警邮件已发送")
        except Exception as e:
            print(f"邮件发送失败：{e}")
    
    def increase_monitoring(self, alert):
        """增强监控"""
        ip = alert.get('ip', '')
        print(f"增强对 {ip} 的监控")
        # 可以添加更详细的日志规则
        # 启动额外监控工具

if __name__ == '__main__':
    response = DeceptionResponse()
    response.detect_attack('/opt/cowrie/log/cowrie.log')
    
    for alert in response.alerts:
        response.auto_respond(alert)
    
    print(f"处理了 {len(response.alerts)} 个告警")
```

---

## 实验环境搭建

### 蜜罐实验室拓扑

```
┌─────────────────────────────────────────┐
│            蜜罐实验室                    │
│                                         │
│  ┌─────────────┐    ┌─────────────┐    │
│  │  攻击机     │    │  蜜罐网络   │    │
│  │  (Kali)     │    │  (隔离)     │    │
│  │192.168.1.50 │    │192.168.2.0/24│   │
│  └──────┬──────┘    └──────┬──────┘    │
│         │                  │            │
│         └────────┬─────────┘            │
│                  │                       │
│           ┌──────▼──────┐               │
│           │  蜜网防火墙  │               │
│           │  (Honeywall)│               │
│           └─────────────┘               │
│                                         │
│  ┌─────────────┐                        │
│  │  分析工作站  │                        │
│  │(日志分析)   │                        │
│  └─────────────┘                        │
└─────────────────────────────────────────┘
```

---

## 实战演练

### 实验 1: Cowrie 蜜罐部署

**目标**：部署 SSH 蜜罐

**步骤**：
```bash
# 1. 运行部署脚本
./cowrie_deploy.sh

# 2. 验证服务运行
ps aux | grep cowrie
netstat -tlnp | grep 22

# 3. 从攻击机测试 SSH
ssh root@192.168.2.100
# 尝试登录

# 4. 查看蜜罐日志
tail -f /opt/cowrie/log/cowrie.log

# 5. 查看攻击者输入的命令
cat /opt/cowrie/log/keys.log
```

### 实验 2: 网络诱饵部署

**目标**：部署虚假服务

**步骤**：
```bash
# 1. 运行诱饵服务
python3 network_decoy.py &

# 2. 验证服务监听
netstat -tlnp | grep -E '21|23|3306|6379'

# 3. 从攻击机连接
telnet 192.168.2.100 23
nc 192.168.2.100 21

# 4. 查看诱饵日志
tail -f /var/log/decoy.log
tail -f /var/log/decoy_interactions.log
```

### 实验 3: 自动化响应测试

**目标**：测试自动响应

**步骤**：
```bash
# 1. 启动自动化响应脚本
python3 automated_response.py &

# 2. 触发攻击
ssh root@192.168.2.100
# 尝试暴力破解

# 3. 观察自动响应
# 查看日志
# 检查防火墙规则
# 接收告警邮件

# 4. 验证 IP 被封禁
iptables -L INPUT -n | grep "攻击者 IP"
```

---

## 防护策略与最佳实践

### 部署建议

**蜜罐部署最佳实践**：
```
1. 隔离网络
   ✓ 蜜罐网络与生产网络隔离
   ✓ 出站流量控制
   ✓ 防止攻击者利用蜜罐

2. 隐蔽部署
   ✓ 蜜罐 IP 不公开
   ✓ 使用真实主机名
   ✓ 模拟真实服务

3. 监控告警
   ✓ 实时告警
   ✓ 日志集中
   ✓ 自动化响应

4. 法律合规
   ✓ 明确部署目的
   ✓ 数据保护
   ✓ 隐私考虑
```

### 运维建议

```
日常运维：
1. 定期更新蜜罐软件
2. 检查日志完整性
3. 分析攻击趋势
4. 更新诱饵内容

安全考虑：
1. 蜜罐可能被识别
2. 定期更换蜜罐特征
3. 多蜜罐混合部署
4. 与真实流量混合
```

---

## 总结与思考

### 核心要点回顾

1. **蜜罐价值**
   - 早期预警
   - 威胁情报
   - 攻击者拖延

2. **部署要点**
   - 网络隔离
   - 出站控制
   - 日志集中

3. **自动化响应**
   - 快速封禁
   - 告警通知
   - 增强监控

### 深入思考问题

1. **蜜罐伦理问题**
   - 诱捕的合法性？
   - 数据隐私？
   - 反击的边界？

2. **AI 在欺骗技术中的应用**
   - 智能蜜罐？
   - 自动化分析？
   - 自适应欺骗？

3. **云环境欺骗技术**
   - 云蜜罐？
   - 容器蜜罐？
   - Serverless 蜜罐？

### 实战建议

**中小企业**：
1. 部署 Cowrie 蜜罐
2. 配置基础告警
3. 收集威胁情报
4. 与现有 SIEM 集成

**大型企业**：
1. 部署蜜网
2. 专业分析团队
3. 自动化响应
4. 威胁情报共享

---

## 参考资料

### 工具资源
- [Cowrie](https://github.com/cowrie/cowrie)
- [Dionaea](https://github.com/DinoTools/dionaea)
- [Honeyd](http://www.honeyd.org/)

### 在线资源
- [蜜网项目](https://www.honeynet.org/)
- [欺骗技术最佳实践](https://www.sans.org/)

### 书籍推荐
- 《Honeypots: Tracking Hackers》
- 《欺骗技术实战》
- 《网络威胁情报》

---

**标记 明日预告**：Day 28 - 网络威胁情报应用

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 27 篇，精编版本*