网络欺骗的方法以及攻防

尽管Honey Pot技术可以迅速切换，但是，对稍高级的网络入侵，Honey Pot技术就作用甚微了。因此，分布式Honey Pot技术便应运而生，它将欺骗(Honey Pot)散布在网络的正常系统和资源中，利用闲置的服务端口来充当欺骗，从而增大了入侵者遭遇欺骗的可能性。分布式Honey Pot技术有两个直接的效果，首先是将欺骗分布到更广范围的IP地址和端口空间中，其次是增大了欺骗在整个网络中的百分比，使得欺骗比安全弱点被入侵者扫描器发现的可能性增大。

分布式Honey Pot技术也不是十全十美的，它的局限性体现在三个方面:一是它对穷尽整个空间搜索的网络扫描无效;二是只提供了相对较低的欺骗质量;三是只相对使整个搜索空间的安全弱点减少。而且，这种技术的一个更为严重的缺陷是它只对远程扫描有效。如果入侵已经部分进入到网络系统中，处于观察(如嗅探)而非主动扫描阶段时，真正的网络服务对入侵者已经透明，那么这种欺骗将失去作用。

2、真假“李逵”:空间欺骗技术

计算机系统具有多宿主能力(multi-homed capability)，就是在只有一块以太网卡的计算机上能实现具有众多IP地址的主机，实际上，现在已有研究机构能将超过4000个IP地址绑定在一台运行Linux的PC上，而且每个IP地址还具有它们自己的MAC地址。这项技术可用于建立填充一大段地址空间的欺骗，且花费极低。欺骗空间技术就是通过增加搜索空间来显著地增加入侵者的工作量，从而达到安全防护的目的。这样许许多多不同的欺骗，就可以在一台计算机上实现。当入侵者的扫描器访问到网络系统的外部路由器并探测到这一欺骗服务时，还可将扫描器所有的网络流量重定向到欺骗上，使得接下来的远程访问变成这个欺骗的继续。

从防护的效果上看，将网络服务放置在所有这些IP地址上将毫无疑问地增加了入侵者的工作量，因为他们需要决定哪些服务是真正的，哪些服务是伪造的，特别是这样的4万个以上IP地址都放置了伪造网络服务的系统。而且，在这种情况下，欺骗服务相对更容易被扫描器发现，通过诱使入侵者上当，增加了入侵时间，从而大量消耗入侵者的资源，使真正的网络服务被探测到的可能性大大减小。