Chương I: Tổng quan

Trong những năm gần đây, các cuộc xâm nhập mạng gia tăng đáng kể, do sự

phổ dụng của các công cụ tấn công được tự động hoặc được lập kịch bản. Điều này đã

thúc đẩy sự quan tâm đến các hệ thống Honeypots, hệ thống này có thể được dùng để

“bẫy” và giải mã các phương pháp tấn công.

Các chuyên gia bảo mật cho biết: các kẻ tấn công hiện đều đang rất ngán ngẩm

khi phải tấn công vào một hệ thống Linux dạng trung bình. Chi phí cho một cuộc đột

nhập thành công vào một hệ thống sử dụng Linux cao hơn nhiều so với chi phí bỏ ra

để đột nhập vào hệ thống sử dụng Windows.

Dự án mang tên Honeypots được tạo ra với mục đích giả lập các hệ thống mạng

Linux bình thường để câu nhử các cuộc tấn công nhằm nghiên cứu độ an toàn của các hệ

thống máy chủ Linux. Các kết quả nghiên cứu do Honeypots đưa ra cho biết: khoảng thời

gian tồn tại an toàn của các hệ thống máy chủ chạy Linux đã gia tăng đột ngột trong 2 năm

gần đây.

Honeypots đã chỉ ra rằng: Trong giai đoạn hiện nay, một hệ thống máy chủ Linux

chưa được cài đầy đủ các bản sửa lỗi vẫn có thể “chịu đựng” an toàn trung bình là 3 tháng

trước các cuộc tấn công, khi so sánh với giai đoạn 2001-2002 chỉ là 72 giờ. Một số hệ

thống máy chủ của dự án đã an toàn trong suốt 9 tháng trời trước mọi cuộc tấn công.

Dự án Honeypots được thiết kế để nhằm mục đích nghiên cứu, dò tìm và thu hút

mọi cuộc tấn công bất kỳ của Internet vào các hệ thống máy chủ Linux, Windows. Từ

xưa đến nay mọi cuộc tấn công trên Internet dường như chưa bao giờ giảm. Các nhà

nghiên cứu của dự án đã chỉ ra rằng: hầu hết mọi cuộc tấn công trên đời đều nhằm vào

các hệ thống sử dụng Windows, đơn giản chỉ vì mức độ phổ biến quá mức của hệ điều

hành này và độ bảo mật “ngon ăn” đến mức mà mọi kẻ tấn công đều không thể cưỡng

lại được.

Lance Spitzner, chủ tịch của dự án Honeynet, cho biết: “Tấn công vào một người

dùng bất kỳ tỏ ra dễ dàng hơn nhiều so với tấn công vào một hệ thống máy tính của

ngân hàng. Ngân hàng được bảo vệ rất tốt nhưng người dùng thì không. Chừng nào

không còn đủ người dùng để tấn công thì hãy tấn công ngân hàng”.

Dự án này không đưa ra các nghiên cứu so sánh với Windows, nhưng Spitzner đã

chỉ ra rằng các cơ quan chuyên về bảo mật như Symantec hoặc Internet Storm Center

(ISC) đã công nhận rằng có rất nhiều cuộc tấn công vào các hệ thống Honeynet Windows.

Một dự án khác của ISC đã đo lường thời gian tồn tại của các hệ thống Windows trước

các cuộc tấn công và cho ra nhiều kết quả khá thú vị như sau:

Thời gian tồn tại trung bình trước các cuộc tấn công của một số hệ thống chạy

Windows trong các thử nghiệm của ISC đã giảm nhanh từ 55 phút trong giai đoạn mùa

thu 2003 xuống chỉ còn 20 phút vào dịp cuối năm 2004. Thảm hại nhất là vào giai đoạn

mùa xuân 2004, một hệ thống Windows chỉ “kịp sống” có 15 phút trước khi bị hạ gục.

Microsoft vớt vát rằng thời gian tồn tại ngắn như thế - ở ngay cả trong Windows XP

Service Pack 2 - là do có quá nhiều người sử dụng.

Dự án Honeynet đã cân nhắc kỹ trước khi phân bố các hệ thống khắp mọi

nơi trên thế giới để thu hút các cuộc tấn công. Các máy tính chuyên câu nhử của Honeynet

được phân bố đều trong các mạng gia đình đến các doanh nghiệp vừa và nhỏ.

Dự án đã triển khai 12 trạm honeynet ở 8 quốc gia là Mỹ, Ấn Độ, Anh, Pakistan, Hy

Lạp, Bồ Đào Nha, Brazil và Đức. Bao gồm 24 hệ thống Unix và giả lập Unix, 19 hệ thống

Linux hầu hết là Red Hat bao gồm: 1 hệ thống Red Hat 7.2, 5 hệ thống Red Hat 7.3, 1

Red Hat 8.0, 8 Red Hat 9.0 và 1 hệ thống Fedora Core. Các hệ thống khác nữa bao gồm: 1

chạy Suse 7.2, 1 Suse 6.3, 2 Solaris Sparc 8, 2 Solaris Sparc 9 và 1 hệ thống chạy Free-

BSD 4.4.

Dự án Honeynet là một cuộc nghiên cứu phi lợi nhuận do các công ty bảo mật thành

lập nên, bao gồm các công ty tầm cỡ như: Foundstone, Counterpane, Security Focus và

SourceFire