基于蜜罐的邮件捕获系统1
基于蜜罐网络的邮件捕获系统分析与部署
多垃圾 邮件发布者 都会 想着隐藏 自己的行为。图 2 是垃 圾 邮
件发布者 隐藏 自己踪迹 的常用方 法。
垃圾邮件发布者
! —— — 一
1 UDP I
1 TCP
r
0引 言
网络 钓鱼是 伴随着网络技术的发展而产生的,根据 中国反网络 钓鱼联 盟的 2 1 年 4 01 月报告,4月份该联 盟处理钓鱼 网站数
量达 2 3 6 5个,截止到 2 1 年 3 01 月底 ,中国反钓鱼 网站联盟累计 认定处理 的钓鱼网站数量为 4 8 2个。尽管 网络钓鱼收到多方重 34 视 ,但钓鱼网站的数量 还是有增无减 n l 。 钓鱼 网站 的链接传播方 式主要有垃圾 邮件 、即时通讯 和媒体 传播 ,本文主要研究与垃圾邮件有关 的传播方式 ,由于常规 的
L ur i IOi。u
( hns p o l pu l eu i nv ri , e 'g 10 3 , hn ) C iee ep e bi sc ryu iest B on 0 0 8 C ia c t y i
A b ta t sr c :Th r r a y wa o ism i t fp s n ie . n em o to ep s n bst ik r e ea em n ysf rds e naeo hihig sts Sic s ft hihig we iel a e h n s r a h o g pa ,S h satcei oc so hes r a fs m .By a ay i t r e u i ule a lt s p e d tr u h s m O ti ril sf u n t p e d o pa n lzngnewo k s c rt v n rbi i , y ie we e tbih aHon yd b s d m alc pur yse , h age ft ss tm st an a ltofs m ,f rd t cig sa ls e - a e i a t es tm t etr to yse i o g i o pa hi o ee tn p ihngstsb ay i al a u e ae. h s i ie y a lssm i ptr dltr n c K e wo d: h ne po ; n y s a ; ihng y r o y t Ho e d; p m Ph s i
蜜罐技术详解与案例分析
蜜罐技术详解与案例分析蜜罐技术是一种用于检测和诱捕黑客攻击的安全防御工具。
它通过模拟漏洞和易受攻击的目标来吸引攻击者,并记录他们的行为。
本文将详细介绍蜜罐技术的原理、分类以及几个成功的案例分析。
一、蜜罐技术的原理蜜罐技术的核心原理是通过创建一个看似真实的系统或网络,来吸引和诱捕黑客攻击。
蜜罐可以是一个虚拟机、一个虚拟网络或一个物理设备,在这个系统中,存在着一些看似易受攻击的漏洞或是敏感信息。
当攻击者企图入侵或攻击这些漏洞时,蜜罐会记录下他们的攻击行为和手段,并提供有关攻击者的详细信息。
二、蜜罐技术的分类蜜罐可以分为以下几种不同类型:1. 高交互蜜罐:这种蜜罐模拟了一个完整的系统,攻击者可以与之进行实时互动,这包括使用真实的漏洞和服务。
高交互蜜罐提供了最真实的攻击场景,并能够获取最多的攻击者信息,但它也存在一定的风险和安全隐患。
2. 低交互蜜罐:这种蜜罐只模拟了一部分的系统服务或功能,它减少了与攻击者的互动,因此相对较安全。
低交互蜜罐可以快速部署和更新,但信息收集相对较少。
3. 客户端蜜罐:这种类型的蜜罐主要用于追踪和识别客户端攻击,例如恶意软件的传播、垃圾邮件的发送等。
客户端蜜罐可以帮助安全团队及时发现客户端攻击行为,并采取相应的措施。
4. 网络蜜罐:这种蜜罐放置在网络中,用于监测网络攻击和入侵。
它可以模拟各种网络服务和协议,以吸引攻击者对网络进行攻击。
5. 物理蜜罐:这种类型的蜜罐是一台真实的物理设备,通常用于保护企业的关键系统和数据。
物理蜜罐可以监测并记录与其交互的攻击者的行为,从而提高企业的安全性。
三、蜜罐技术的案例分析以下是几个成功的蜜罐技术案例分析:1. Honeynet计划Honeynet计划是一个非营利性的组织,致力于通过蜜罐技术、漏洞研究和威胁情报分享来提高网络安全。
他们搭建了一系列全球分布的蜜罐网络,成功地识别了许多高级攻击行为,并提供了有关黑客活动的详细报告。
2. CanSecWest PWN2OWN比赛PWN2OWN是一项安全比赛活动,鼓励研究人员发现和报告操作系统和网络浏览器的安全漏洞。
基于蜜罐技术的垃圾邮件搜集系统设计与实现
关键词 :垃圾 邮件 ;蜜罐 ;样 本 ;过 滤 ;邮 箱 ;采 集
中图分 类号 :T P 3 9 3 . 0 8 文 献标识 码 :A 文章编 号 :1 6 7 1 — 1 1 2 2( 2 0 1 3 )0 5 — 0 0 5 2 — 0 5
Sy s t e m De s i g n a nd I m pl e me nt a t i o n o f S pa m Co l l e c t i o n ba s e d o n Ho n e y po t Te c hn o l o g y Z HA NG J i n g - j i n g , Y AN Xi a o — we i , T ANG We i . C AI J i a n — s h u n 4
查 看样 本信 息 的一体 化 功能 。并 且 用户 能够根 据 需 求 , 自我 配置 垃圾 邮件 样本 采 集方案 ,能够 随 时生成 蜜
罐 邮箱 ,并按 照 方案 进行 暴 露 ,大大提 高 了垃圾 邮件样 本 收 集的 时效性 和 广泛性 ,为各 类垃 圾邮 件过 滤机 制提 供 多样 的 、新 鲜 的样本 学 习资料 。
2 0 1 3 年第0 5 期
d o i : 1 0 3 9 6 9 / j i s s n . 1 6 7 1 — 1 1 2 2 2 0 1 3 0 5 0 1 5
基 于 蜜罐 技 术 的垃 圾 邮 件 搜 集 系统设 计与实现
张京京 ,闰晓蔚 ,唐薇 。 ,蔡建顺
t e c h n ol o g y ha s g r a d ua l l y be c o me t h e f o c u s o f i n f o r ma t i o n s e c u r i t y. W hi l e t he t e c n i h c a l p e r f o r ma n c e o f s p a m il f t e in r g i s g o o d o r b a d . he t k e y l i e s i n t h e a mo u n t o f s p a m s a mp l e c o l l e c t i on . s t ud y a nd a n a l y s i s . Th e s y s t e m u s e s C≠ } l a n g ua g e t o o l f o r s pa m s a mpl e c o l l e c t i o n s ys t e m d e s i g n of h on e yp o t c h a r a c t e is r t i c , r e a l i z e s t h e e ic f i e n t g e n e r a t i o n o fi n t e g r a t e d
云蜜罐有趣的案例
云蜜罐案例:Honeypot作为蜜罐引诱黑客攻击背景云蜜罐是一种安全工具,用于诱捕黑客入侵,收集攻击信息,分析攻击行为,并保护真实系统的安全。
它可以模拟真实系统的弱点,吸引黑客攻击,从而捕获攻击者的行为和技术。
蜜罐可以分为高交互蜜罐和低交互蜜罐。
高交互蜜罐是一个完整的仿真系统,提供完整的操作系统和应用程序服务。
低交互蜜罐则只提供有限的服务和功能,更多地用于收集攻击信息。
云蜜罐的优势在于可以在云平台上部署,通过云服务商提供的强大计算和存储能力,能够处理大量的攻击流量,并分析和提取有价值的信息。
案例:云蜜罐诱捕Web应用程序攻击背景某电商公司拥有一个大型的Web应用程序,用于处理用户的购物请求和交易。
随着公司的发展,对Web应用程序的安全性越来越关注。
为了提高安全性,他们决定在云平台上部署一个云蜜罐,诱捕黑客攻击,收集攻击信息,并改进Web应用程序的防御措施。
过程1.部署云蜜罐:电商公司选择了一家云服务商,部署了一个高交互蜜罐作为Web应用程序的“假象”。
他们在云平台上创建了一个虚拟机实例,安装了操作系统和Web服务器,并配置了一些常见的Web漏洞和弱点。
2.监控攻击流量:云蜜罐开始模拟真实Web应用程序的运行,并开启监听模式,监控所有进入蜜罐的网络流量。
同时,他们使用网络安全设备(如防火墙、入侵检测系统)对蜜罐进行了保护,以防止攻击流量对真实系统造成影响。
3.吸引黑客攻击:为了吸引黑客攻击,电商公司在互联网上发布了一些看似有价值的信息,如数据库备份文件、管理员账号等。
这些信息被黑客发现后,他们将尝试利用这些信息来攻击系统。
4.分析攻击行为:当黑客攻击云蜜罐时,蜜罐会记录攻击的详细信息,包括攻击的来源IP、攻击的目标URL、使用的攻击工具和技术等。
这些信息被发送到日志服务器进行分析。
5.改进Web应用程序的防御:通过分析攻击行为和使用的攻击技术,电商公司可以了解到自己的Web应用程序存在哪些漏洞和弱点,并及时采取措施进行修复和加固,提高Web应用程序的安全性。
默安蜜罐参数
默安蜜罐参数默安蜜罐(Mocking Honey Pot)是一种用于网络安全防御的工具,它模拟了真实的系统和服务,并吸引了黑客攻击以便收集攻击者的信息。
在这篇文章中,我们将介绍默安蜜罐的参数设置,以帮助读者更好地了解如何配置和利用这一工具。
首先,默安蜜罐的IP地址是设置蜜罐运行的网络地址,可以是真实的IP地址也可以是虚拟的。
这个地址将成为攻击者与蜜罐进行交互的入口。
在选择IP地址时,需要确保与真实系统的地址不冲突,以免对真实网络产生干扰。
其次,默安蜜罐的端口设置是指选择哪些端口用于模拟真实服务。
可以选择常见的端口,如HTTP的80端口、FTP的21端口等,也可以选择一些不太常见的端口,以吸引更多类型的攻击。
端口设置的选择应该基于实际需求,并考虑到与真实系统的区别。
另外,默安蜜罐的日志设置是非常重要的。
通过对攻击流量的监测和记录,可以分析攻击者的行为并及时采取相应的防御措施。
日志设置应该包括攻击者的IP地址、攻击的时间和类型、攻击的目标等信息。
同时,为了防止日志文件过大,应该定期清理和备份。
此外,默安蜜罐的蜜罐服务设置是指选择哪些服务用于吸引攻击者。
这些服务可以包括Web服务器、邮件服务器、数据库服务器等。
通过模拟这些服务的运行,可以吸引更多类型的攻击,从而收集更多有关攻击者的信息。
最后,默安蜜罐的蜜罐系统设置是指选择合适的操作系统和版本。
这些设置应该与真实系统相似,以便更好地模拟和欺骗攻击者。
同时,需要定期更新和维护蜜罐系统,以防止已知的漏洞和攻击。
综上所述,默安蜜罐的参数设置对于有效地使用和利用这一工具至关重要。
合理的IP地址、端口设置、日志设置、蜜罐服务设置以及蜜罐系统设置可以增加攻击者的误导和迷惑,提高网络的安全性。
在配置和使用默安蜜罐时,我们应该遵循正确的设置原则,并不断学习和更新,以应对不断变化的网络威胁。
蜜罐与诱捕技术
1.蜜罐是一种网络安全技术,通过模拟真实系统或服务,引诱 并侦测攻击者的行为。 2.诱捕技术则是通过设置陷阱,捕获并分析攻击者的手法和工 具,以便更好地防御。 3.蜜罐与诱捕技术结合使用,可以有效提升网络安全的防护能 力。
▪ 蜜罐与诱捕技术的应用场景
1.蜜罐与诱捕技术适用于各种网络环境,包括企业内网、云计 算环境等。 2.可以用于侦测各种攻击行为,如恶意软件、僵尸网络等。 3.通过分析攻击者的行为,可以为防御措施提供有针对性的改 进。
▪ 诱捕技术的合规与道德考虑
1.在实施诱捕技术时,需要遵守相关法律法规和道德规范,确保合法合规。 2.诱捕技术的使用需要在确保网络安全和保护个人隐私之间进行平衡。 3.需要在诱捕技术的实施过程中,充分考虑道德和伦理因素,避免滥用和不当使用。
蜜罐与诱捕技术
蜜罐与诱捕的部署策略
蜜罐与诱捕的部署策略
▪ 分布式部署
蜜罐与诱捕技术
诱捕技术的原理与应用
诱捕技术的原理与应用
▪ 诱捕技术的原理
1.诱捕技术是一种通过模拟真实系统或资源,引诱攻击者进行攻击,从而对其进行 监测、分析和防御的技术。 2.诱捕技术利用欺骗和伪装手段,创建虚假的网络资产或信息,使攻击者误入歧途 ,暴露其攻击行为和工具。 3.诱捕技术的核心是构建一个具有高度仿真性和吸引力的诱饵环境,以引起攻击者 的注意并诱导其进行攻击。
蜜罐与诱捕的部署策略
▪ 动态调整策略
1.蜜罐和诱捕技术的部署策略应随着网络环境和威胁情况的变化进行动态调整。 2.通过实时监控网络流量和行为,及时发现新的威胁,调整蜜罐设置以应对。 3.动态调整策略要求具备高效的威胁情报获取和分析能力,以及快速的响应机制。
▪ 模拟真实环境
“蜜罐”配置实验
实验23 “蜜罐”配置实验1.实验目的通过安装和配置“蜜罐”,了解“蜜罐”的原理,及其配置使用方法。
2.实验原理2.1 “蜜罐”技术的起源入侵检测系统能够对网络和系统的活动情况进行监视,及时发现并报告异常现象。
但是,入侵检测系统在使用中存在着难以检测新类型黑客攻击方法,可能漏报和误报的问题。
蜜罐使这些问题有望得到进一步的解决,通过观察和记录黑客在蜜罐上的活动,人们可以了解黑客的动向、黑客使用的攻击方法等有用信息。
如果将蜜罐采集的信息与IDS 采集的信息联系起来,则有可能减少IDS 的漏报和误报,并能用于进一步改进IDS 的设计,增强IDS 的检测能力。
“蜜罐”的思想最早是由Clifford Stoll 于1988 年5 月提出。
该作者在跟踪黑客的过程中,利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵,这就是蜜罐的基本构想,但他并没有提供一个专门让黑客攻击的系统。
蜜罐正式出现是Bill Cheswick 提到采用服务仿真和漏洞仿真技术来吸引黑客。
服务仿真技术是蜜罐作为应用层程序打开一些常用服务端口监听,仿效实际服务器软件的行为响应黑客请求。
例如,提示访问者输入用户名和口令,从而吸引黑客进行登录尝试。
所谓漏洞仿真是指返回黑客的响应信息会使黑客认为该服务器上存在某种漏洞,从而引诱黑客继续攻击。
2.2 蜜罐技术的优点Honeypot是一个相对新的安全技术,其价值就在被检测、攻击,以致攻击者的行为能够被发现、分析和研究。
它的概念很简单:Honeypot没有任何产品性目的,没有授权任何人对它访问,所以任何对Honeypot的访问都有可能是检测、扫描甚至是攻击。
Honeypot的检测价值在于它的工作方式。
正如前文所提到的,由于Honeypot没有任何产品性功能,没有任何授权的合法访问,所以在任何时间来自任何地方对Honeypot的任何访问都有可能是非法的可疑行为。
Honeypot 的工作方式同NIDS 等其他的传统检测技术正好相反,NIDS不能解决的问题,Honeypot却能轻易解决。
中国信通院FT-S04-006-1《蜜罐类产品检测方法》
中国信通院FT-S04-006-1《蜜罐类产品检测方法》2021年初,为推动先进网络安全技术实践与创新,更好满足基础电信和互联网、金融、能源等行业用户实际业务需求,在网络安全能力建设过程中提供产品选型依据,中国信息通信研究院邀请国内优秀威胁诱捕(蜜罐)类产品供应商从多个维度参与技术能力评测。
微步在线HFish 各方面能力表现优秀,成功通过FT-S04-006-01《蜜罐类产品检验方法》的检验,具备服务伪装、欺骗防御、风险分析和展示等基本能力,获得蜜罐类产品能力检验证书。
作为微步在线旗下一款免费威胁诱捕与诱骗系统,HFish 承载了全新的架构理念和实现方案,通过安全可靠的中低交互蜜罐增加了企业在失陷感知和威胁情报领域的能力。
上线一年时间内,HFish 就在Github 上获得了 2.6K 个star,在Gitee 上成为安全类目TOP5 的GVP 项目。
对于企业用户更关心的用户场景上,HFish 侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个方面出发,能够为用户提供更高的可用性与可拓展性。
具体而言包括以下四大典型场景:HFish典型场景1:办公网内部失陷主机横向移动感知HFish 可针对日常工作场景下的真实攻击进行反制,固化证据,建立攻击者档案,保留进一步诉至法律的权利。
而在攻防演练场景中,HFish 也可对红队队员反制,精准监控红队动向和手段。
简而言之,通过HFish 进行溯源反制,可辅助防守方转守为攻,彻底改变攻防态势。
HFish典型场景4:内部人员风险对于重研发、重数据资产的企业,信息风险往往不只来源于外部,内部人员的商业间谍行为,同样非常危险。
该场景下,HFish 可布置内网蜜罐,精准感知内部人员账号暴力破解的违规行为,通过在内网文档服务器放置蜜饵文档,也可感知内部用户违规数据下载、访问及爬取行为,而通过精心配置VPN 与邮件服务器蜜罐,则能有效感知已失陷账号密码情况。
目前,HFish 深度支持多场景下的威胁捕捉,支持自定义企业私有蜜罐,具有安全可信、一键部署、跨平台跨架构支持、企业微信/钉钉/飞书通知等多项优势特性,可以有效帮助企业降低运维成本,提升运营效率。
蜜罐技术简介
蜜罐技术简介1.蜜罐的概念蜜罐(Honeypot)首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990)里,蜜网项目组给出的定义是:没有业务上的用途,因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷,主要用以监视、检测和分析攻击。
它用真实的或虚拟的系统模拟一个或多个易受攻击的主机,给入侵者提供一个容易攻击的目标,从而发现攻击者采用的手段。
2.蜜罐的价值⏹捕获、发现新的攻击手段及战术方法;⏹目的性强,捕获的数据价值高;⏹误报率、漏报率小;⏹建立安全事件行为特征库;⏹相对入侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。
3.蜜罐的核心技术蜜罐的核心技术一般包括数据捕获技术,数据控制技术以及数据分析技术,其中数据捕获和数据分析技术与网络分析技术类似。
数据捕获技术:数据捕获就是在入侵者无察觉的情况下,完整地记录所有进入蜜罐系统的连接行为及其活动。
捕获到的数据日志是数据分析的主要来源,通过对捕获到的日志的分析,发现入侵者的攻击方法、攻击目的、攻击技术和所使用的攻击工具。
一般来说收集蜜罐系统日志有两种方式:基于主机的信息收集方式和基于网络的信息收集方式。
数据分析技术:数据分析就是把蜜罐系统所捕获到的数据记录进行分析处理,提取入侵规则。
从中分析是否有新的入侵特征。
数据分析包括网络协议分析、网络行为分析和攻击特征分析等。
对入侵数据的分析主要是找出所收集的数据哪些具有攻击行为特征,哪些是正常数据流。
分析的主要目的有两个:一个是分析攻击者在蜜罐系统中的活动、扫描击键行为、非法访问系统所使用工具、攻击目的何在以及提取攻击特征;另一个是对攻击者的行为建立数据统计模型,看其是否具有攻击特征,若有则发出预警,保护其它正常网络,避免受到相同攻击。
4.常用的蜜罐系统4.1Honeyd一款优秀的虚拟蜜罐系统,提供强大易用的功能。
⏹可以模拟任意TCP/UDP网络服务,如IIS, Telnet, pop3…;⏹支持同时模拟多个IP地址主机;⏹最多同时支持65535个IP地址;⏹支持ICMP,对ping和traceroute做出响应;⏹通过代理和重定向支持对实际主机、网络服务的整合;⏹提供UI用户界面;⏹Honeyd与NIDS结合使用,能捕获更多更全面的攻击信息通过部署Honeyd可以对黑客攻击进行捕获和分析,达到以下效果:⏹了解黑客在干什么⏹了解黑客的攻击方法⏹捕获他们的键击记录⏹捕获他们的攻击工具⏹监控他们的会话4.2DTKDTK(DeceptionToolkit) 由FredChoen用Perl语言编写的一组源代码公开的脚本程序,采用服务仿真技术,是最早出现的一种欺骗系统,它可以在几分钟内部署一系列的陷阱,以显著提高攻击代价,同时降低防御成本,欺骗自动攻击程序,使其无效。
蜜罐技术详解与案例分析
1.引言随着人类社会生活对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,很多组织和企业都建立了自己的内部网络并将之与Internet联通。
上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。
据美国商业杂志《信息周刊》公布的一项调查报告称,黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失,在全球范围内每数秒钟就发生一起网络攻击事件。
2003年夏天,对于运行着Microsoft Windows的成千上万台主机来说简直就是场噩梦!也给广大网民留下了悲伤的回忆,这一些都归结于冲击波蠕虫的全世界范围的传播。
2.蜜罐技术的发展背景网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。
网络安全防护涉及面很广,从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。
在这些安全技术中,大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。
而蜜罐技术可以采取主动的方式。
顾名思义,就是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。
(在这里,可能要声明一下,刚才也说了,“用特有的特征去吸引攻击者”,也许有人会认为你去吸引攻击者,这是不是一种自找麻烦呢,但是,我想,如果攻击者不对你进行攻击的话,你又怎么能吸引他呢?换一种说话,也许就叫诱敌深入了)。
3. 蜜罐的概念在这里,我们首先就提出蜜罐的概念。
美国 L.Spizner是一个著名的蜜罐技术专家。
他曾对蜜罐做了这样的一个定义:蜜罐是一种资源,它的价值是被攻击或攻陷。
这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。
(Defnet+HoneyPot+2004)“蜜罐”虚拟系统教程(Defnet+HoneyPot+2004)
“蜜罐”虚拟系统使用教程(Defnet HoneyPot 2004)一、打造蜜罐,反击攻击者1、软件介绍“Defnet HoneyPot 2004”是一个著名的“蜜罐”虚拟系统,它会虚拟一台有“缺陷”的电脑,等着恶意攻击者上钩。
这种通过Defnet HoneyPot虚拟出来的系统和真正的系统看起来没有什么两样,但它是为恶意攻击者布置的陷阱。
只不过,这个陷阱只能套住恶意攻击者,看看他都执行了那些命令,进行了哪些操作,使用了哪些恶意攻击工具。
通过陷阱的记录,可以了解攻击者的习惯,掌握足够的攻击证据,甚至反击攻击者。
2、下套诱捕Defnet HoneyPot是一款绿色软件,下载后直接使用,不用安装,其设置非常简单,迷惑性、仿真性不其它蜜罐强多了。
(1).设置虚拟系统运行Defnet HoneyPot,在Defnet HoneyPot的程序主界面右侧,点击“HoneyPot”按钮,弹出设置对话框,在设置对话框中,可以虚拟Web、FTP、SMTP、Finger、POP3和Telnet等常规网站提供的服务。
例如要虚拟一个FTP Server服务,则可选中相应服务“FTP Server”复选框,并且可以给恶意攻击者“Full Access”权限。
并可设置好“Directory”项,用于指定伪装的文件目录项。
图2在“Finger Server”的“Aclvanced”高级设置项中,可以设置多个用户,“admin”用户是伪装成管理员用户的,其提示信息是“administrator”即管理员组用户,并且可以允许40个恶意攻击者同时连接该用户。
图3在“Telnet Server”的高级设置项中,还可以伪装驱动器盘符(Drive)、卷标(V olume)、序列号(serial no),以及目录创建时间和目录名,剩余磁盘空间(Free space in bytes),MAC地址,网卡类型等。
这样一来,就可以让虚拟出来的系统更加真实了。
基于欺骗式防御理念的高甜度春秋云阵蜜罐系统
0 引言“网络安全的本质在对抗, 对抗的本质在攻防两端能力的较量。
”而攻防两端能力的较量本质上是双方的情报式对抗,防御者必须更多、更准确的获取到攻击者的信息才能在博弈中占得先机。
攻击者在刚进入系统内部时在信息层面上处于弱势,必须小心翼翼的利用各种工具获取系统内部信息、探测薄弱点和高价值目标。
而这里可以真正体现蜜罐的价值,一方面在攻击者探测中将其定位,一方面也诱骗攻击者使其以为已经获得了高价值目标,并不断的把精力留存在蜜罐创造的这个虚拟空间中。
蜜罐蜜网就像信息系统机体内部设置的“淋巴系统”,分布于信息系统的各类关键位置,攻击者一旦触碰,隐秘的报警即被触发,从而实现对所有攻击的零误报,同时其在虚拟空间的各类数字指纹、社交账号、系统相关信息、使用的攻击工具等也均被详细的留存起来。
而最棒的是,这个“淋巴系统”对已知还是未知、常规还是高级的攻击一概有效。
1 产品概述春秋云阵蜜罐系统是在基于对欺骗防御技术的深入研究和优化的基础上研发的一款网络安全产品。
从攻击者的视角出发,让企业在防御的同时了解攻击者的手段和意图,不仅让入侵者增大攻击代价、徒劳无功,还对入侵者产生巨大的心理威慑,从欺骗、发现、预警、隔离、分析意图等方面来转换攻防角色,解决传统网络攻防不对称的难题。
通过在企业网络内部署高甜度春秋云阵蜜罐设备(虚拟化诱饵的主机、网络服务或者数据等),诱使入侵者对它们实施攻击,减少对实际系统造成的安全威胁。
通过对攻击行为进行捕获和分析,了解入侵者所使用的工具与方法,推测其攻击意图和动机。
入侵者无论采用任何一种战术攻击客户网络,主要目的在于获取其核心数据或制造破坏,春秋云阵的数据可视化展示技术能够让用户清晰、直观的了解所面临的安全威胁,简化网络安全运维工作的复杂度,同时通过技术和管理手段来增强实际系统的安全防护能力。
基于欺骗式防御理念,运用平行仿真技术构建的蜜罐系统,形成了比传统检测体系更强的能力。
(1)“高甜度”诱骗能力贴合实际防御网络,自动化仿真业务场景,构建多样化的吸引攻击者的脆弱环境和信息,引诱攻击者不断深入蜜罐场景,暴露其动机和技术手段,延缓攻击者时间,从而使防御方牢牢掌握主动权,提升应对突发网络安全事件的应急响应速度;(2)“零误报”发现能力蜜罐内生诱捕机理,任何触碰和进入蜜罐的行为均被详细定位和分析,“攻击即报警,响应即处置”,实现网络入侵的零误报;(3)“高处置”防御能力蜜罐采用欺骗式防御模式,是传统边界防御手段的有效补充。
基于蜜罐的Web服务器诱骗系统的设计与实现
● 些是动防们防技有些认服缺, 这都被现御术因都一的识的陷 蜜技的的人对御术了难克 罐术出使技,此 新以。
2蜜罐技术
蜜 罐技 术的奠基 者 L n e s i n r 出了蜜罐 的权 威 a c pt e 给 z 定 义 : 罐是 一种 安全 资源 ,其价 值 在于被 扫描 、攻 击 蜜 和攻 陷 ,并 对攻击 者 的活动进 行监视 、检 测和分 析 。
并不 具 有 模拟 应 用层 服 务 的功 能 ,利 用 蜜罐 提 出 了一 种 实现 We 服 务 器诱 骗 系统 的 方 法 ,该 系统不 但 实现 了 W b 务器 的 基 本 b e服
功 能,而且还增加 了蜜罐 的 自学习能力,大大提 高 了蜜罐 的诱骗性。 关键词 :蜜罐 ; e 服 务器 ; Wb 诱骗 系统 De i n n I e n a i o W eb s g a d mpl me t tOn f Se v r er De e i n c pto Sys e Ba e o Ho ey o t m s d n n p t
smu to o sme e k , S te e eto o te y t m a b ge ty e h ne i l in f o la s O h d cp in f h s se c n e ra l na cd. a K w o d h ny o ; We sre ; d cp in y tm ey r s:o e p t b e v r eeto s se
持 续连接 中 ,服务器 在发 送 响应后 ,让连 接继续 为一 些请 求 打开 ,服务 器可 以在 客户请 求时 或超时 的时限 到达 时关 闭这 个 连接 ,也 就是 说 ,这 N 张 图片 可 以在一 次的 TC P
入 侵检 测 、漏 洞扫 描 、身份认 证 、访 问控 制 、密码技 术等 , 连接 中请 求完 成。
实验14 蜜罐捕获
蜜罐捕获16.1 蜜罐捕获16.1.1 背景描述众所周知,随着互联网规模的迅猛发展,互联网安全面临着巨大的考验。
每天发生在互联网上的攻击事件数不胜数。
导致互联网目前如此糟糕的安全状况的原因有很多,一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷,同时,大部分的网络使用者还未真正拥有安全意识,也还很少进行安全加强工作,如及时打补丁、安装防火墙和其他安全工具等,从而导致了目前的互联网具有巨大的安全隐患。
另一方面,随着网络攻击技术的发展,特别是分布式拒绝服务攻击、跳板(Step-stone)攻击及互联网蠕虫的盛行,互联网上的每一台主机都已经成为攻击的目标。
此外,黑客社团也不像互联网早期那么纯洁,不再仅仅为了兴趣和炫耀能力而出动,而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。
同时攻击者也不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具(如PacketStorm 网站)。
而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。
特别值得注意的一个趋势是多种攻击脚本和工具的融合,如大量的内核后门工具包(Rootkit),及能够集成多种攻击脚本并提供易用接口的攻击框架(如在2004 年DEFCON 黑客大会中引起广泛关注的Metasploit)的出现。
针对如此严重的安全威胁,而网络安全人员和管理员却仍然对黑客社团所知甚少。
当网络被攻陷破坏后,甚至还不知道幕后黑手是谁。
对他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。
“知己知彼,百战不殆”,安全防护工作者,无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员,都需要首先对黑客社团有深入的了解,包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。
只有在充分了解对手的前提下,安全技术人员和网络管理员才能更有效地维护互联网安全。
基于lamp的蜜罐系统的设计与实现
基于lamp的蜜罐系统的设计与实现基于LAMP(Linux + Apache + MySQL + PHP)的蜜罐系统设计与实现可以分为以下步骤:1. 系统架构设计:- 选择一个适当的Linux发行版作为操作系统,例如Ubuntu或CentOS。
- 安装并配置Apache作为Web服务器,在其中创建多个虚拟主机以模拟不同的服务。
- 安装并配置MySQL数据库,用于存储蜜罐系统的相关数据。
- 安装并配置PHP作为服务器端脚本语言,用于开发和管理蜜罐系统的界面和逻辑。
2. 蜜罐环境搭建:- 根据需要选择不同类型的蜜罐,如Web蜜罐、邮件蜜罐、数据库蜜罐等。
- 配置虚拟主机以模拟真实的Web应用程序或服务,并在其中添加一些蜜罐特性,如隐藏URL、添加易受攻击的漏洞等。
- 在数据库中创建表结构用于存储蜜罐系统的相关数据,如攻击日志、攻击者IP、攻击流量等。
3. 攻击监测与记录:- 配置日志记录机制,将所有收到的请求和响应信息都记录下来。
- 监测网络流量,分析和识别可疑的攻击行为。
- 分析攻击日志,提取有用的信息,如攻击者的IP地址、使用的工具和技术、攻击的目标等。
4. 蜜罐系统管理:- 开发一个用户界面,用于管理蜜罐系统的配置和监控。
- 在界面中提供对蜜罐的管理功能,如启动/停止蜜罐、配置虚拟主机、查看攻击日志等。
- 实现告警机制,当蜜罐系统检测到可疑的攻击行为时,发送警报通知管理员。
5. 数据分析与演示:- 利用数据库中存储的数据,进行数据分析和挖掘。
- 开发数据可视化模块,通过图表和报表展示攻击趋势和分析结果。
- 根据数据分析结果,优化蜜罐系统的配置和功能,提高系统的安全性和可靠性。
值得注意的是,基于LAMP的蜜罐系统设计与实现是一个复杂的过程,需要深入理解操作系统、网络安全和Web开发等领域的知识。
同时,蜜罐系统也应与真实系统隔离开来,以防止攻击行为影响到实际业务。
创宇蜜罐-威胁诱捕与溯源系统私有版用户手册说明书
创宇蜜罐威胁诱捕与溯源系统用户手册V1.6.0「私有版V2.1.4」(文档编号:MG-SY-2021-007)北京知道创宇信息技术股份有限公司文档说明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京知道创宇信息技术股份有限公司(以下简称“知道创宇”)所有,受到有关产权及版权法保护。
任何个人、机构未经知道创宇的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
威胁诱捕与溯源系统用户手册V1.6.0「私有版V2.1.4」©版权所有北京知道创宇信息技术股份有限公司北京市朝阳区望京SOHO T3-A座-15层SOHO T3-A Block-15,Wangjing,Chaoyang District,Beijing客户热线(Customer Hotline):400-060-9587/************邮编(Post Code):100102邮箱(Email):****************文档更新记录目录1.产品介绍 (1)2.登录 (2)3.风险大盘 (2)3.1.数据时间筛选 (2)3.2.威胁总览 (3)3.3.威胁数据 (3)4.安全态势大屏 (4)5.蜜罐管理 (5)5.1.蜜罐部署 (5)5.2.蜜罐列表 (11)5.3.蜜罐设置 (11)5.4.定制蜜罐 (13)5.4.1.克隆蜜罐 (14)5.4.2.自定义蜜罐 (15)5.4.3.默认蜜罐 (17)6.客户端管理 (17)6.1.客户端列表 (17)6.2.客户端部署 (17)6.3.客户端操作 (20)6.4.客户端卸载 (20)7.蜜饵管理 (21)7.1.邮件蜜饵 (21)7.2.文件蜜饵 (24)8.威胁情报 (25)8.1.攻击者画像 (25)8.2.遗留文件下载 (26)8.3.攻击日志 (26)8.4.安全事件 (30)9.数据管理 (31)9.1.行为分析报告 (31)9.2.日志数据下载 (32)10.策略配置 (33)10.1.SYSLOG配置 (33)10.2.白名单配置 (34)10.2.1.计入攻击日志配置 (34)10.2.2.添加白名单IP (34)10.2.3.添加白名单MAC (35)10.2.4.白名单删除 (36)10.3.插件配置 (36)10.4.蜜罐模板配置 (36)10.4.1.默认蜜罐 (36)10.4.2.定制蜜罐 (37)10.5.虚拟IP配置 (37)10.6.特征管理 (37)11.权限管理 (38)11.1.用户管理 (38)11.1.1.用户列表 (38)11.1.2.添加用户 (39)11.2.用户组管理 (39)11.3.功能模块管理 (41)12.日志管理 (41)12.1.审计日志 (41)12.2.日志清除 (42)13.系统配置 (43)13.1.1.邮箱配置 (43)13.2.安全策略配置 (44)13.2.1.JWT认证方法 (45)14.监控管理 (46)14.1.系统监控 (46)14.2.系统告警配置 (47)14.3.蜜罐监控 (47)15.硬件配置 (47)15.1.证书配置 (47)15.2.网络配置 (48)16.升级更新 (48)17.问题排查 (49)17.1.错误日志导出 (49)17.2.远程协助 (50)18.账号设置 (50)19.通知管理 (51)附录1.中继模式配置方法 (52)1.假设前提 (52)2.交换机配置 (52)3.客户端网卡配置 (53)3.1独立客户端网络配置 (53)3.2系统内置客户端配置(隔离网卡) (53)1.产品介绍近年来,随着攻防手段的不断演变,不论是交锋日益激烈的网络安全日常防护,还是常态化的网络攻防演练,高对抗性俨然成为了网络安全攻防的本质。
蜜罐系统的名词解释
蜜罐系统的名词解释在当今的信息安全领域中,蜜罐系统(Honeypot)是一种被广泛使用的技术,用于吸引和诱导黑客入侵,从而获取和分析攻击者的行为和手段。
蜜罐系统通过模拟真实的目标资源来诱使攻击者侵入,然后监控和记录攻击过程中所产生的数据和信息。
本文将对蜜罐系统进行名词解释,并探讨其在信息安全领域中的重要性以及不同类型的蜜罐系统。
一、蜜罐系统的基本原理和作用蜜罐系统通过创建一个看似易受攻击的目标资源,如一个网络服务器或应用程序,来吸引黑客入侵。
这些蜜罐系统通常在真实网络环境中被部署,但与真实系统相比,它们拥有低价值或无价值的信息和数据,因此不存在对真实系统的风险。
一旦黑客侵入了蜜罐系统,它们将在蜜罐系统内进行操作,而真实系统则保持安全。
蜜罐系统会监控和记录攻击者的行为,例如攻击方法、入侵技术以及攻击者在蜜罐系统中所执行的操作。
这样的信息有助于安全专家了解黑客的策略和手段,以便采取相应的防御措施。
蜜罐系统的作用不仅仅是吸引攻击者,还能使安全专家更好地了解黑客的攻击技巧,从而提高系统的安全性。
通过对攻击者的行为进行分析和研究,安全专家可以及时更新防御策略和技术,以保护真实系统免受类似攻击的威胁。
二、蜜罐系统的分类蜜罐系统可以根据其部署方式和目标资源的类型进行分类。
以下列举了几种常见的蜜罐系统类型:1. 高交互蜜罐:这种类型的蜜罐系统提供与真实系统相似的功能和服务。
它们模拟了真实系统的各个方面,以便吸引攻击者进行更深入的操作和交互。
高交互蜜罐系统能够记录更多的攻击信息,但同时也需要更多的资源来维护和监控。
2. 低交互蜜罐:相比高交互蜜罐,低交互蜜罐系统提供了更有限的功能和服务。
它们通常只模拟了真实系统的部分或简化版功能,同时减少了对攻击者的交互需求。
这种类型的蜜罐系统在资源消耗方面较低,但也相应地提供了较少的攻击信息。
3. 客户端蜜罐:这种类型的蜜罐系统模拟了常见的客户端应用程序,如网络浏览器或电子邮件客户端。
蜜罐技术的概念
蜜罐技术的概念摘要:蜜罐技术作为一种安全防御工具,在网络安全领域扮演着重要的角色。
本文将从蜜罐技术的定义、原理和分类等方面进行深入剖析,并结合实际案例探讨蜜罐技术在网络安全中的应用和意义。
一、蜜罐技术的定义和概念蜜罐技术(Honeypot)是指一种特别设计、部署在网络中的虚拟系统或服务,用来吸引和诱骗攻击者,并监测其攻击行为,从而获取攻击信息并进行分析,以保护真实系统和网络不受攻击。
蜜罐技术本质上是一种主动防御手段,通过诱导攻击者进入虚拟环境,有效降低实际系统的风险。
二、蜜罐技术的原理与分类1. 蜜罐技术的原理蜜罐技术基于的主要原理是“吸引、欺骗、监视和分析”,即通过模拟和设计目标系统,制造出一种看似真实的系统环境,吸引攻击者的注意,引诱其进行攻击行为,同时通过监视和分析攻击者的行为,获取攻击情报并进行后续的安全防御。
2. 蜜罐技术的分类从部署位置上可以将蜜罐技术分为外部蜜罐和内部蜜罐两种。
外部蜜罐是部署在网络外部,用来吸引来自互联网的攻击,而内部蜜罐则是部署在内部网络,用来监测内部网络的恶意行为。
根据对攻击者的识别程度,可以将蜜罐技术分为低交互蜜罐和高交互蜜罐两种。
三、蜜罐技术的应用意义1. 攻击情报收集:蜜罐技术可以通过吸引攻击者的注意,获取攻击行为和手段的情报,有利于对攻击方式和模式进行分析和研究。
2. 安全防御:通过蜜罐技术可以提前发现并分析网络攻击,有利于加强对网络系统的安全防护,降低实际系统受到攻击的风险。
3. 攻击溯源:蜜罐技术可以帮助追踪攻击者的IP地址、攻击手段和入侵路径,有助于锁定攻击者的位置和身份,并采取相应的措施进行回击或防范。
四、蜜罐技术的典型案例1. Kippo蜜罐:Kippo是一种基于SSH协议的低交互式蜜罐系统,可以模拟一个SSH服务器,并记录攻击者的攻击行为以及使用的工具和手段,为安全研究和攻击行为分析提供了重要数据。
2. Dionaea蜜罐:Dionaea是一种设计用来模拟各种协议和服务的高交互式蜜罐系统,可以捕获和记录来自网络上不同设备的攻击行为,对分析新型恶意软件和网络攻击具有重要意义。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于蜜罐网络的邮件捕获系统摘要:关键词1 介绍网络钓鱼是伴随着网络技术的发展而产生的,根据中国反网络钓鱼联盟的2011年4月报告,4月份联盟处理钓鱼网站数量达2635,2 相关工作2.1 蜜罐系统蜜罐系统就是一种用于捕捉探测,攻击和漏洞扫描行为的安全工具,其本身是一个包含漏洞的系统,其工作的条件在于认定每一个试图主动与其连接的行为都是可疑的,甚至是恶意的。
蜜罐技术的创始人Lance Spitzner对蜜罐进行了如下定义:蜜罐是一种资源,其价值在于被攻击。
传统的安全工具入侵检测同样也可以通过分析数据来侦测入侵行为,但蜜罐可以捕获到实质的数据,并对数据进行分析。
基于蜜罐系统与攻击者之间的信息资源的交互程度,可以将蜜罐分为高交互式与低交互式两种。
高交互式的蜜罐系统中,攻击者会与真实的操作系统,服务和程序进行通信。
当此类蜜罐被攻击者攻击后,就会获得攻击者的行为特征,攻击所使用的工具信息等资源。
配置高交互式的蜜罐时,其安全性要格外注意,因为如果被攻击者发现的话,就可能借此系统来攻击其他的网络。
此类蜜罐主要作用如下:学习攻击者的攻击行为,了解攻击工具的具体使用和攻击所利用的系统漏洞。
低交互式的蜜罐系统只能提供一些简单的服务,系统中安装的工具都只是用于模拟操作系统与服务的,所以当攻击者与蜜罐进行实质性通信时会断开连接,所以相对来说其安全性更高,但捕获的信息有限。
此类蜜罐主要作用如下:识别端口扫描,攻击特征提取,攻击趋势分析与恶意程序收集。
本文将使用低交互式的蜜罐系统来模拟smtp服务来获取邮件。
2.2 垃圾邮件所使用漏洞在大多数国家里,制造、传播垃圾邮件的行为都是不合法的,所以很多垃圾邮件制造商都会想着隐藏自己的行为。
图一给出了垃圾邮件制造商隐藏自己踪迹的常用方法。
中继转发Smtp协议就是简单邮件传输协议,与25端口和tcp协议联系在一起,主要用于可靠的并有效的进行邮件传输。
在smtp协议中具有中继转发服务,即通过别人的邮件服务器将邮件递送到目的地址,一般来说,中继转发服务针对的对象都是有选择的并通过认证了的用户。
然而一些具有安全漏洞的smtp服务器都会无限制的开放中继转发服务,这种服务器就有可能被垃圾邮件制造商发现并进行滥用。
开放代理代理服务器是介于客户端与服务器之间的另一台服务器,其用于获取某种特定的服务,允许多于一台的主机共用一个IP地址连接互联网,代理就像是一个中间人,与其他客户端进行连接。
而一个有安全漏洞的代理服务器允许任意一个IP地址连接任意一个IP地址或端口,这种代理服务器称之为开放代理。
垃圾邮件制造商会持续的扫描开放的代理,一旦定位了就会使这些代理服务器与垃圾邮件服务器连接,然后使用代理与其他正常的邮件服务器连接,通过发送特定的smtp指令就可以发送垃圾邮件了。
3 蜜罐系统Honeyd是一款强大的开源虚拟蜜罐软件,属于一种低交互式的蜜罐系统,可运行在UNIX和windows系统中。
可以在虚拟的网络环境中模拟多个地址,虚拟蜜罐主机可以根据具体的配置文件模拟多种网络服务,外部的主机可以对虚拟蜜罐主机进行常规的ping、tracert 等操作,回应数据包时,honeyd的个性化引擎使回应包与被配置的操作系统特征相适应,同样honeyd也可以为真实的主机提供代理。
3.1 honeyd体系结构Honeyd软件结构由配置数据库,中央包分配器,协议处理器,个性化引擎和自选路由组件组成。
具体架构如图二所示:图二系统接收到的数据会由中央包分发器处理,中央包分发器首先会检查IP长度和校验和。
然后根据配置数据库的数据查找到符合目标位置的蜜罐主机配置。
确定具体的配置后,数据包就会交付给协议处理器进行相应处理。
由于不同的主机处理方式也各不相同,这就导致了发送的数据也就具有的不同的特点,由于攻击者会通过一些扫描工具来利用这些特点收集系统的信息,对于honeyd来说,最为重要的就是在扫描时自己的蜜罐身份不能被暴露出来,所以个性引擎组件的工作内容就是模拟不同系统的不同特征。
具体来说,honeyd利用Nmap的指纹库来作为TCP和UDP连接的个性化参考,利用Xprobe指纹库来作为ICMP连接的个性化参考。
3.2利用honeyd构建虚拟网络:对于在整个系统运行前,honeyd需要正确的配置,honeyd通过使用一个基于文本的配置文件,指定虚拟蜜罐的IP地址,每一个蜜罐主机可用的服务等。
具体的几类指令有:create,set,add,bind,delete。
其中create用于创建每一个主机所要使用的模板;set和add用于改变模板的设置,set命令从Nmap指纹文件中选取一个特征赋给一个模板,例如指令set linux personality “linux 2.6.6”,即设定一个模板名为linux的模拟运行linux 2.6.6版本操作系统,而add命令是模板应用的核心,其指定可远程访问的服务以及每一个端口上运行的应用程序,命令格式,如指令add linux proto tcp port 25 “./script/spam.py”,即当一个远程主机与带有linux模板主机的25端口建立tcp连接时,honeyd启动一个新的进程执行服务脚本./script/spam.py;bind命令就是给一个IP地址分配模板,例如bind windows ;而delete 可以用来重新配置运行中的蜜罐。
在本文中honeyd主要用于模拟两种服务:具有开放中继转发漏洞的邮件服务器和具有开放代理漏洞的代理服务器。
图三给出了系统的具体架构。
3.3 核心模板分析其中两个模板是整个系统的核心---SMTP模拟器和开放代理模拟器。
对于SMTP模拟器,honeyd接受来自25端口、TCP协议的数据包,并且以一个SMTP 服务的角色进行回应,每接受一份信息,其表现的都像一个开放中继转发的邮件服务器进行转发,其实际上信息不会被发送出去而是存储在当地服务器里面。
下面给出了SMTP模拟器的局部配置。
if command in ["HELO", "EHLO"]:whom = data[5:].strip()self.hello = whomself.push("250 Hello %s, pleased to meet you.\r\n" % whom)elif command == 'MAIL':whom = data[10:].strip()self.mailfrom = whomself.push("250 %s... Sender ok\r\n" % whom)elif command == 'RCPT':whom = data[8:].strip()self.rcptto.append(whom)self.push("250 %s... Recipient ok\r\n" % whom)elif command == "DA TA":self.set_terminator('\r\n.\r\n')self.found_terminator = self.data_found_terminatorself.push('354 Enter mail, end with "." on a line by itself\r\n')elif command == "QUIT":self.push("221 %s closing connection\r\n" % self.host)self.close_when_done()elif command == "RSET":self.reset()self.push('250 Reset state\r\n')else:self.push("500 Command unrecognized\r\n")对于开放代理模拟器,具体分为两种:Http代理模拟器和SOCKS代理模拟器。
Http代理模拟器其正常接收多个TCP端口的数据并提供代理服务,当垃圾邮件商连接该模块时,垃圾邮件商就会要求代理服务器连接到受害者的邮件服务器上,代理服务器收到该请求后,不会直接响应该请求,其会连接到自己的邮件服务器上,并发送给垃圾邮件商一个回应包,使之以为连接成功了。
垃圾邮件商就会认为其已经成功连接到了目标SMTP服务器,从而发送垃圾邮件。
SOCKS代理模拟器其接受多个TCP端口的数据并提供SOCKS代理服务,该模拟行为表现的想一个不需要认证的代理,允许来自任意IP地址的连接。
在成功连接到该模拟器后,垃圾邮件商就要求连接到外部的一个TCP端口和地址。
如果要求连接的tcp端口号不是25的话,就回应一个错误信息;如果tcp端口号为25端口的话,随后的行为与Http代理模拟器类似。
4 部署中存在的问题及解决方案4.1 honeyd接收数据的方式对于honeyd来说,为了将配置的虚拟主机的网络数据直接进去honeyd,一般可以使用两种方法:(1)将虚拟主机的路由入口设置为指向honeyd,那么路由器转发到虚拟蜜罐的数据就可以直接流入honeyd主机了。
(2)一般路由器接收到发往虚拟主机的数据包后,会使用ARP指令来寻找虚拟主机的位置,由于虚拟主机不会发出响应,这样ARP指令不会得到应答,所以honeyd主机可通过配置将自己的MAC地址去响应所有自己配置的虚拟主机IP的ARP指令,这种方法称之为代理ARP。
4.2 honeyd部署位置的选取一般来说,honeyd配置的位置有两种--防火墙外和防火墙内,这两种配置各有优缺点。
当配置在防火墙内时,蜜罐可以很处于安全的位置不易受到攻击,同样也可以检测来自内部网络的攻击,但作为蜜罐的特殊性,其价值在于获取攻击资源,而在内部网络中很多来自外部的攻击都会被防火墙所屏蔽,这样就很难做到收取到足够的资源;相反,将蜜罐部署在防火墙外部,就可以接收到来自外部的数据,但却很难接受到内部的数据,而且由于防火墙也有可能防御来自蜜罐的数据,所以蜜罐只能由其自身记录数据,综上所述,最为合适的位置应该部署在防火墙的DMZ内。
部署在DMZ内的难度很大,一旦蜜罐被攻陷了,攻击者会使用蜜罐作为跳板来攻击其他的服务,因为要使其他服务与蜜罐安全的隔离,所以也增加了DMZ部署的负担。
4.3 蜜罐系统对系统的影响由于蜜罐的特殊性,其难免会与系统造成一定的影响,所以蜜罐部署工作还有一个重点就是降低对系统的影响。