Dionaea蜜罐捕获结果总体分析

　　我们以分别部署在CERNET骨干网和清华校园网（校外地址无法访问）的两个Dionaea蜜罐节点为例，来进行数据分析。这两个节点从5月上旬至7月上旬的两个月中分别捕获98523次和121次网络攻击连接。

表1 Dionaea蜜罐捕获网络攻击连接的协议分布统计

　　如表1所示，其中emulation类型和remoteshell类型为Dionaea对shellcode的模拟，分别是shell_bind_tcp（开启监听服务）和shell_reverse_tcp（反向连接服务），pcap类型是攻击者对Dionaea没有模拟的服务的连接。

　　校园网内节点没有开启对校外IP地址的访问许可，部署目的是发现由校园网内部所发起的攻击威胁。而骨干网节点则没有任何访问限制，可以发现针对教育网典型服务器环境的安全威胁。由于两者处于不同环境，捕获的攻击行为也具有不同特点。排除攻击次数的巨大差距，校园网内针对smb协议的攻击行为比例远远高于校外网络，这正是子网环境和面向整个网络的环境之间的区别。子网内部的攻击行为，除了1次针对80端口的HTTP扫描探测，1次针对1433端口的MSSQL口令猜测攻击，及1次ftp匿名用户登录之外，绝大多数是蠕虫的自动扩散造成的，经统计，针对smb协议的攻击中有32次攻击是针对MS08-067漏洞。

　　骨干网Dionaea蜜罐节点捕获数据分析

表2 骨干网Dionaea蜜罐节点捕获数据分析

　　表2显示的是骨干网Dionaea节点捕获攻击协议的前20位排行，没有提供模拟服务的端口用已知协议做了标识。攻击类型大体可分为四类：（1）密码暴破攻击；（2）代理服务器扫描；（3）服务端渗透攻击；（4）端口扫描（或后门扫描）。

　　通过统计bistreams/目录下连接二进制数据流，针对mssql服务的密码暴破攻击数为74499次，占所有攻击数的75.62%，其中6月10日，来自北京市铁通ADSL的某IP，从16:28到17:17对蜜罐mssql服务发起了暴破攻击，尝试次数65107次。而针对3389端口的远程桌面连接和4899端口的远程管理服务的攻击，由于没有模拟服务支持，无法判断攻击类型，但同时存在密码暴破攻击和端口扫描（或后门扫描）的可能。

　　攻击数第二多的类型是代理服务器扫描，对存在已知代理服务的端口1080、9415、8080、3128、8000、808、27977和8088的攻击，可以判断其目的是寻找代理服务器。针对这些常见代理端口的扫描探测，在教育网中非常常见，这与教育网访问国际网受限相关，可能大量此类扫描探测均为寻找免费可用的代理服务器，我们计划进一步部署openproxy蜜罐来尝试对此种威胁进行进一步调查分析。

　　服务端渗透攻击主要还是针对微软系统本身开放的smb和RPC服务，我们将在下一小节中进行具体介绍。