骨干网Dionaea蜜罐节点SIP服务攻击数据分析

　　SIP服务是目前互联网上实现网络电话（VoIP）的主流协议，通常监听在UDP的5060端口上，Dionaea蜜罐中也集成了对SIP服务模拟的模块代码。在我们的监测过程中，在UDP5060端口上捕获到了207个连接，并记录了完整的bistream网络会话内容。按照SIP协议信令类型的分类情况如表4所示：

表4 SIP会话网络连接分类

　　在使用SIP的OPTIONS信令试图进行扫描探测SIP代理服务器的185 个网络连接中，我们进一步提取分析了User-Agent字段类型，而该字段标识了探测源所使用的SIP客户端或扫描器软件类别，如表5所示，其中第一位的“friendly-scanner”是在SIP 网络电话渗透测试领域大名鼎鼎的sipvicious软件，第二位的“sundayddr”则在澳大利亚蜜网项目组的监测过程中也已经发现，是在sipvicious软件上修改而在2010年10月份以来非常流行的sundayddr扫描器。

表5 利用SIP OPTIONS信令探测SIP代理服务器按照user-agent的分布情况

　　通过SIP的INVITE信令试图利用Dionaea模拟的SIP蜜罐拨打网络电话的16个连接中，从6月13日至29日发生的从13个不同IP地址尝试通过Dionaea模拟的SIP代理服务器拨打的电话却拥有非常明显的规模，即后12位均为“442070661000”，通过Google 搜索可查询到“442070661000”为英国金融服务监管局的服务电话，这看起来像是一种利用网络电话进行服务电话拒绝服务攻击的攻击模式，我们在Google此电话号码时，也可以发现大量关于VoIP代理服务器安全的页面中也包含有此电话号码，这说明这段时间确实有人企图使用互联网上公开开放的大量VoIP代理服务器向该电话号码进行拨号，而攻击企图我们从捕获数据中无法进行进一步分析和确认。另外最后三次攻击均由同一个源IP地址发起，在SIP会话中包含了大量至“448702954035”电话号码的拨打尝试。

　　骨干网Dionaea蜜罐节点FTP服务攻击数据分析

　　Dionaea蜜罐在TCP 21的FTP服务端口上捕获了120个网络会话连接，其中大部分为FTP匿名用户登录和口令猜测，FTP命令中最常见的是进行用户登录的USER和PASS命令，退出的QUIT命令，以及上传和列举目录的STOR及LIST命令。

　　通过实际部署Dionaea低交互式蜜罐，我们可以对网络中的服务端安全威胁进行数据捕获与监测分析，虽然我们目前部署的蜜罐节点数量还很少，但实际捕获的数据仍然能够反映出教育网环境中存在的一些安全威胁问题。首先，微软系统本身开放的smb和RPC服务仍然是服务器端渗透攻击的主要途径，一些针对非常过时安全漏洞（如MS08-067，MS04-011）等渗透利用仍然存在，这说明网络中仍然存在着一些未更新补丁从而被Conficker等蠕虫传播感染的主机。其次，针对MS SQL、MySQL、远程桌面等网络服务的口令爆破攻击在网络中也非常常见，与之前我们部署Kippo蜜罐捕获的SSH口令爆破攻击类似，仍是依赖于弱口令的一种主流攻击形式。另外，针对一些代理端口的扫描在教育网中非常普遍，这可能是教育网中背景攻击噪音的特色，由于出国流量的限制，教育网中很多用户在使用一些代理搜索软件寻找免费出国代理。最后，针对HTTP、VoIP、Email等协议的攻击形式更为多样化，需要我们进一步跟踪分析。

　　我们的部署实践也验证了Dionaea是一款具有较强恶意攻击捕获能力和扩展能力的蜜罐系统，支持分布式部署，可以很方便地通过大范围部署提高对网络恶意攻击的监测能力。经过两个月的实际部署，没有发现蜜罐系统本身出现安全性和稳定性问题，特别是6月10日不到50分钟内受到6万余次mssql密码暴破攻击，系统依然没有任何异常。CCERT将利用项目机会，在Dionaea、Kippo、Glastop等开源目标的基础上进行进一步的集成和扩展开发，并推进CERNET分布式蜜网系统在更广范围内的部署，初步建立起针对教育网的安全威胁监测体系。

　　（作者单位为清华大学网络中心，CCERT应急响应组）