蜜罐分析系统

Sebek-server
10
安装 Log server(续)
Apache
Apache 1.3.x
./configure --prefix=/usr/local/apache --enable-module=so -enable-module=rewrite --enable-shared=max && make && make install
Moint
修改/hw/etc/mointrc, 指定希望发送警报的email address
20
使用Sebek-Web
参见 Know Your Enemy: Sebek
21
存在问题
/hw
Umount failed.找不到解决办法,导致对/hw里面 文件的改变无法真正写入.
Ssh
无法接入honeywall(?)
--force --nodeps
卸载mysql-client-3.*
Cat schema| mysql –u username –p password databasename 远程管理mysql的问题 工具php-admin,mysql-query,mysql-administration
Sbk_extract –f pcapfilename –p portid
18
测试 NIPS
利用test规则,查看snort_inline日志 测试表现
DROP(网络超时) REJECT(网络不可达) Replace(http错误请求)
19
测试报警
Swatch
修改/hw/etc/swatchrc, 指定希望报警的异常报文 特征字符串(Watchor /???/),警报接收的email address,时间间隔
安装 Log server(续)
安装数据库(MySQL)
版本要求(>=4.0.13) Rpm包名字的冲突(mysql-MySQL)
Perl-DBB-MySQL,php-mysql等包(libmysqlclient.so.10.0.0) 先安装MySQL-shared-compat-4.*
Apache 2.X
./configure --prefix=/usr/local/apache2—enable-so -enable-mods-shared=most && make &&make install
修改httpd.conf的DocumentRoot 指向sbk-web目录或 者包含其上级目录
/etc/rc.d/init.d/rc.firewall /etc/rc.d/init.d/bridge.sh,snort.sh,snort_inline.sh, swatch.sh
7
测试网桥
确认网卡MAC地址 Ifconfig Brctl show <bridgename> Tcpdump –ni <bridgename> 赋予网桥IP
15
安装 Honeypot
配置Sebek-client配置文件 安装Sebek-client
Sbk_install.sh
查看,卸载模块
Lsmod Rmmod
16
测试 Honeypot
本地抓包
Ethereal
查看Honeywall日志
SEBEK标志
在Log server抓包
Ethereal(src IP and dst port portID)
13
安装 Log server(续)
安装Sebek-server
Sbk_extract Sbk_upload.pl
配置数据库
Sbk_ks_log.pl 在honeypot启动前启动sebek-server
Sebek web interface
配置config.ini 暂用sbk-web8
Cdrecord –scanbus; cdrecord –v speed=4,dev=1,0,0 image.iso
注意事项
确保硬件(网线,网卡,光驱)ຫໍສະໝຸດ Baidu常 确保硬件规格符合要求 Switch/Hub的连接方式
5
Honey Wall目录结构
/hw
/hw/conf与/hw/etc
其他(临时目录)
3
软,硬件要求(续)
硬件
两个Switch(HUB) 一台Honewall
硬盘>=30G 内存>=256M 3Com 3c59X或者Intel eepro100网卡两个 性能良好的光驱
一台Honeypot 一台Log Server
4
CDROM
版本
目前最新版本0.68(08/2004) 即将出0.68a版本 已安装版本0.67a 刻录
/var/log/messages /var/log/snort /dlg存放配置脚本 /etc,/usr……
6
配置 Honeynet Wall
必须先了解rc.firewall 安装时配置honeynet wall 安装后配置
/dlg 直接修改配置文件-/hw
重启脚本使新配置有效
找到<IfModule mod_mime.c>,添加
AddType application/x-httpd-php .php AddType application/x-httpd-php-source .phps
检查Apache path+"/libexec"目录下是否有libphp4.so 12 文件
Deployment of Honeynet Gen2
Wuzhifa ICST, PKU, CN 2004-10-26
1
网络拓扑
2
软,硬件要求
软件
Honeynet Project CDROM
Firewall Sniffer NIPS Watchor Sebek
Apache PHP MySQL
Ifconfig br0 IP up
8
测试防火墙
查看规则
Iptables-save
测试管理接口
Ssh
测试连接包数
Tcp(http) Udp Icmp(ping主机)
9
安装 Log server
Apache+PHP+MySQL
Apache 1.3.27 PHP (>=4.3.0) MySQL (>=4.0.13)
11
安装 Log server(续)
PHP
./configure --prefix=/usr/local/php --with-ldap --withsnmp --with-odbc --with-mysql --withapxs<2>=Apache path +"apxs" Cp php.ini.dist /usr/local/php/lib/php.ini 修改Apache path+"/conf/httpd.conf"
14
安装 Log server(续)
A bug of Perl 5.8
表现
Out of memory Negative len Len too large (hw日志记录正常) 解析出来的IP,datetime stamp(?)出错
Solution :
export LANG="POSIX" 注意不同的会话 在监听数据前输出LANG
17
测试Sebek-server
监听网卡测试
测试数据库脚本
Sbk_extract –I eth0 –p portid | sbk_upload.pl
测试解析击键脚本
Sbk_extract –I eth0 –p portid
解析tcpdump文件测试
利用honeywall上的sniff抓取的pcap文件
22
THANKS Q&A
23
�