蜜罐技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
为。由于针对Honeypot的任何操作都不是正常的,这样就 使得任何新的以前没有见过的攻击很容易暴露。 (4) 资源最小化
Honeypot所需要的资源很少,即使工作在一个大型网 络环境中也是如此。一个简单的Pentium主机就可以模拟具 有多个IP地址的C类网络。 (5) 解密
无论攻击者对连接是否加密都没有关系,Honeypot都 可以捕获他们的行为。
运行honeyd
cd / honeyd_kit-1.0c-a 进入honeyd文件夹
./start-arpd.sh 运行arpd
启动arpd,起导入网络流量的作用,如图所示:
19
四.实验步骤
./start-honeyd.sh 行honeyd
启动honeyd,如下图所示:运
20
四.实验步骤
配置文件:honeyd.conf create default set default personality "Microsoft Windows XP Home
logs
用于记录蜜罐的连接信息
nmap.prints
nmap指纹识别库
nmap.assoc
联合指纹文件
17
四.实验步骤
pf.os
被动操作系统指纹识别库
scripts
用于模拟蜜罐服务的脚本
start-arpd.sh
开始监听流量
start-honeyd.sh
开始honeyd进程
xprobe2.conf
9
2.3 Honeyd软件介绍 (2)
Honeyd能让一台主机在一个模拟的局域网环境中配有 多个地址(曾测试过的最多可以达到65536个),外界的主 机可以对虚似的主机进行ping、traceroute等网络操作, 虚拟主机上任何类型的服务都可以依照一个简单的配置文 件进行模拟,也可以为真实主机的服务提供代理。
8
2.3 Honeyd软件介绍 (1)
Honeyd是一个很小巧的用于创建虚拟的网络上的主机 的后台程序,这些虚拟主机可以配置使得它们提供任意的 服务,利用个性处理可以使得这些主机显示为在某个特定 版本的操作系统上运行。
Honeyd是GNU General Public License下发布的开源 软件,目前也有一些商业公司在使用这个软件。其最初面 向的是类Linux操作系统,可以运行在BSD系统,Solaris, GNU/Linux等操作系统上,由Niels Provos开发和维护。这 里主要介绍面向类linux系统的Honeyd程序。
6
2.2 蜜罐技术的优点(2)
Honeypot和NIDS相比较: (1) 数据量小:
Honeypot仅仅收集那些对它进行访问的数据。在同样 的 条 件 下 , NIDS 可 能 会 记 录 成 千 上 万 的 报 警 信 息 , 而 Honeypot却只有几百条。这就使得Honeypot收集信息更容 易,分析起来也更为方便。 (2) 减少误报率:
5
2.2 蜜罐技术的优点(1)
Honeypot是一个相对新的安全技术,其价值就在被检 测、攻击,以致攻击者的行为能够被发现、分析和研究。 它的概念很简单:Honeypot没有任何产品性目的,没有授 权任何人对它访问,所以任何对Honeypot的访问都有可能 是检测、扫描甚至是攻击。
Honeypot的检测价值在于它的工作方式。正如前文所 提到的,由于Honeypot没有任何产品性功能,没有任何授 权的合法访问,所以在任何时间来自任何地方对Honeypot 的任何访问都有可能是非法的可疑行为。Honeypot 的工作 方式同NIDS 等其他的传统检测技术正好相反,NIDS不能解 决的问题,Honeypot却能轻易解决。
Honeyd可以通过提供威胁检测与评估机制来提高计算 机系统的安全性,也可以通过将真实系统隐藏在虚拟系统 中来阻止外来的攻击者。因为Honeyd只能进行网络级的模 拟,不能提供真实的交互环境,能获取的有价值的攻击者 的信息比较有限,所以Honeyd所模拟的蜜罐系统常常是作 为真实应用的网络中转移攻击者目标的设施,或者是与其 他高交互的蜜罐系统一起部署,组成功能强大但花费又相 对较少的网络攻击信息收集系统。
docs
相关文档
honeyd
已经编译好的honeyd执行文件
honeyd.conf
修改过的honeyd配置文件
honeyd.conf.simple
一个功能简单的配置文件
honeyd.conf.bloat
一个功能比较复杂的配置文件
works 一个应用于大规模网络的配置文件
12
四.实验步骤
采 用 同 样 步 骤 完 成 libevent-1.1a.tar.gz,libpcap0.9.3.tar.gz,honeyd-1.0.tar.gz的安装。 检查honeyd安装位置 whereis honeyd 如果成功的话应该如图所示:显示honeyd 路径
13
四.实验步骤
编辑honeyd.conf vi /etc/honeyd.conf 如图所示: honeyd配置文件
a/scripts/win32/win2k/iis.sh" # 上 面 的 Web 服 务 的 记 录 在 / honeyd_kit-1.0c-
a/logs/web.log add default tcp port 8080 "/honeyd_kit-1.0c-
a/scripts/HoneyWeb-0.4/HoneyWeb-0.4.py" add default tcp port 21 "/honeyd_kit-1.0c-
Xprobe2指纹识别库
使用vi命令打开starthoneyd.sh,看honeyd如何运行。
vi /honeyd_kit-10c-a/start-honeyd.sh 如图所示:honeyd 执行脚本
18
四.实验步骤
从该脚本可以看出honeyd参数的设置:
-f honeyd.conf
加载配置文件
-p nmap.prints
Honeypot 能显著减少误报率。任何对Honeypot 的访 问都是未授权的、非法的,这样Honeypot 检测攻击就非常 有效,从而大大减少了错误的报警信息,甚至可以避免。 这样网络安全人员就可以集中精力采取其他的安全措施。
7
2.2 蜜罐技术的优点(3)
(3) 捕获漏报 Honeypot可以很容易地鉴别捕获针对它的新的攻击行
a/scripts/telnet/faketelnet.pl" add default tcp port 110 "/honeyd_kit-1.0c-
a/scripts/win32/win2k/msftp21.sh"
四.实验步骤
#上面的ftp服务的记录在/honeyd_kit-1.0c-a/logs/ftp.log add default tcp port 2121 "/honeyd_kit-1.0c-
a/scripts/unix/linux/ftp.sh" add default tcp port 23 "/honeyd_kit-1.0c-
“蜜罐”的思想最早是由Clifford Stoll 于1988 年5 月提出。该作者在跟踪黑客的过程中,利用了一些包含虚 假信息的文件作为黑客“诱饵”来检测入侵,这就是蜜罐的 基本构想,但他并没有提供一个专门让黑客攻击的系统。
蜜罐正式出现是 Bill Cheswick 提到采用服务仿真和 漏洞仿真技术来吸引黑客。服务仿真技术是蜜罐作为应用 层程序打开一些常用服务端口监听,仿效实际服务器软件的 行为响应黑客请求。例如,提示访问者输入用户名和口令, 从而吸引黑客进行登录尝试。所谓漏洞仿真是指返回黑客 的响应信息会使黑客认为该服务器上存在某种漏洞,从而引 诱黑客继续攻击。
14
四.实验步骤
第一行create linux:建立一个模板命名为linux。 第二行set linux personality “Linux2.4.20”:将蜜罐虚 拟出来的主机操作系统定位Linux2.4.20。 第三行set linux default tcp action reset:模拟关闭所 有的TCP端口。 第 四 行 set linux tcp port 80 “perl scripts/iis0.95/iisemul8.pl”:打开蜜罐80端口,利用iisemul8.pl虚 拟出IIS服务。 第六行 bind 192.168.0.4 linux:用蜜罐虚拟出利用该模 板的主机,IP为192.168.0.4。
10
三. 实验环境
硬件:局域网内联网的两台主机,其中一台为Linux操 作系统主机用作安装“蜜罐”。另一台为windows主机,对 蜜罐进行扫描。
软 件 : libdnet-1.10.tar.gz,libevent-1.1a.tar.gz, libpcap-0.9.3.tar.gz,honeyd-1.0.tar.gz(Honeyd 源 代 码 包 ) , honeyd_kit-1.0c-a.tar.gz(Honeyd 快 速 安 装 包),Superscan,Flashfxp(或其他FTP客户端软件)。
将honeyd_kit-1.0c-a.tar.gz复制到linux根目录下。 直接解压
tar xvzf honeyd_kit-1.0c-a.tar.gz 如果以root身份登录系统,则已经可以直接运行honeyd。
16
四.实验步骤
(3) 配置和运行Honeyd
在快速安装包里包括:
arpd
arp欺骗工具
经过以上步骤,已经成功的手动安装了honeyd。其具体 的配置和使用方法,将在下一部分针对honeyd快速安装包详 细讲解。
15
四.实验步骤
(2) 快速安装Honeyd 我 们 在 honeyd_kit-1.0c-a.tar.gz 的 基 础 上 , 对
honeyd进行了一些修改,完善了honeyd_kit-1.0c-a.tar.gz 的快速安装包。
加载nmap指纹库
-a nmap.assoc
加载联合指纹库
-0 pf.os
加载被动操作系统指纹识别
-x xprobe2.conf
加载xprobe2指纹库
-l /honeyd_kit-1.0c-a/logs/honeyd.log 指定日志文件
192.168.1.100-192.168.1.253
指定虚拟的蜜罐主机IP地址
Edition" set default default tcp action reset set default default udp action reset set default default icmp action open add default tcp port 80 "/honeyd_kit-1.0c-
蜜罐技术
1
一. 实验目的
通过安装和配置“蜜罐”,了解“蜜罐”的原理, 及其配置使用方法。
通过在Linux下配置Honeypot蜜罐软件,进一步了 解该技术。
2
二. 实验原理
2.1 “蜜罐”技术的起源 2.2 蜜罐技术的优点 2.3 Honeyd介绍
3
2.1 “蜜罐”技术的起源(1)
入侵检测系统能够对网络和系统的活动情况进行监视, 及时发现并报告异常现象。但是,入侵检测系统在使用中存 在着难以检测新类型黑客攻击方法,可能漏报和误报的问题。
蜜罐使这些问题有望得到进一步的解决,通过观察和 记录黑客在蜜罐上的活动ቤተ መጻሕፍቲ ባይዱ人们可以了解黑客的动向、黑客 使用的攻击方法等有用信息。如果将蜜罐采集的信息与IDS 采集的信息联系起来,则有可能减少IDS 的漏报和误报,并能 用于进一步改进IDS 的设计,增强IDS 的检测能力。
4
2.1.“蜜罐”技术的起源(2)
注意:windows主机的默认网关要改为本机地址。而且 每个学生虚拟的网段不要重叠,可以通过修改start-arpd 和start-honeyd来实现。
11
四.实验步骤
(1) 手动安装Honeyd(推荐使用快速安装包) 安 装 libdnet-1.10.tar.gz,libevent-1.1a.tar.gz, libpcap-0.9.3.tar.gz三个honeyd的支持软件。 将这三个包复制到Linux根目录下,直接解压安装 tar xvzf libdnet-1.10.tar.gz 进入libdnet-1.10目录 cd / libdnet-1.10 运行./configure 运行make 运行make install
Honeypot所需要的资源很少,即使工作在一个大型网 络环境中也是如此。一个简单的Pentium主机就可以模拟具 有多个IP地址的C类网络。 (5) 解密
无论攻击者对连接是否加密都没有关系,Honeypot都 可以捕获他们的行为。
运行honeyd
cd / honeyd_kit-1.0c-a 进入honeyd文件夹
./start-arpd.sh 运行arpd
启动arpd,起导入网络流量的作用,如图所示:
19
四.实验步骤
./start-honeyd.sh 行honeyd
启动honeyd,如下图所示:运
20
四.实验步骤
配置文件:honeyd.conf create default set default personality "Microsoft Windows XP Home
logs
用于记录蜜罐的连接信息
nmap.prints
nmap指纹识别库
nmap.assoc
联合指纹文件
17
四.实验步骤
pf.os
被动操作系统指纹识别库
scripts
用于模拟蜜罐服务的脚本
start-arpd.sh
开始监听流量
start-honeyd.sh
开始honeyd进程
xprobe2.conf
9
2.3 Honeyd软件介绍 (2)
Honeyd能让一台主机在一个模拟的局域网环境中配有 多个地址(曾测试过的最多可以达到65536个),外界的主 机可以对虚似的主机进行ping、traceroute等网络操作, 虚拟主机上任何类型的服务都可以依照一个简单的配置文 件进行模拟,也可以为真实主机的服务提供代理。
8
2.3 Honeyd软件介绍 (1)
Honeyd是一个很小巧的用于创建虚拟的网络上的主机 的后台程序,这些虚拟主机可以配置使得它们提供任意的 服务,利用个性处理可以使得这些主机显示为在某个特定 版本的操作系统上运行。
Honeyd是GNU General Public License下发布的开源 软件,目前也有一些商业公司在使用这个软件。其最初面 向的是类Linux操作系统,可以运行在BSD系统,Solaris, GNU/Linux等操作系统上,由Niels Provos开发和维护。这 里主要介绍面向类linux系统的Honeyd程序。
6
2.2 蜜罐技术的优点(2)
Honeypot和NIDS相比较: (1) 数据量小:
Honeypot仅仅收集那些对它进行访问的数据。在同样 的 条 件 下 , NIDS 可 能 会 记 录 成 千 上 万 的 报 警 信 息 , 而 Honeypot却只有几百条。这就使得Honeypot收集信息更容 易,分析起来也更为方便。 (2) 减少误报率:
5
2.2 蜜罐技术的优点(1)
Honeypot是一个相对新的安全技术,其价值就在被检 测、攻击,以致攻击者的行为能够被发现、分析和研究。 它的概念很简单:Honeypot没有任何产品性目的,没有授 权任何人对它访问,所以任何对Honeypot的访问都有可能 是检测、扫描甚至是攻击。
Honeypot的检测价值在于它的工作方式。正如前文所 提到的,由于Honeypot没有任何产品性功能,没有任何授 权的合法访问,所以在任何时间来自任何地方对Honeypot 的任何访问都有可能是非法的可疑行为。Honeypot 的工作 方式同NIDS 等其他的传统检测技术正好相反,NIDS不能解 决的问题,Honeypot却能轻易解决。
Honeyd可以通过提供威胁检测与评估机制来提高计算 机系统的安全性,也可以通过将真实系统隐藏在虚拟系统 中来阻止外来的攻击者。因为Honeyd只能进行网络级的模 拟,不能提供真实的交互环境,能获取的有价值的攻击者 的信息比较有限,所以Honeyd所模拟的蜜罐系统常常是作 为真实应用的网络中转移攻击者目标的设施,或者是与其 他高交互的蜜罐系统一起部署,组成功能强大但花费又相 对较少的网络攻击信息收集系统。
docs
相关文档
honeyd
已经编译好的honeyd执行文件
honeyd.conf
修改过的honeyd配置文件
honeyd.conf.simple
一个功能简单的配置文件
honeyd.conf.bloat
一个功能比较复杂的配置文件
works 一个应用于大规模网络的配置文件
12
四.实验步骤
采 用 同 样 步 骤 完 成 libevent-1.1a.tar.gz,libpcap0.9.3.tar.gz,honeyd-1.0.tar.gz的安装。 检查honeyd安装位置 whereis honeyd 如果成功的话应该如图所示:显示honeyd 路径
13
四.实验步骤
编辑honeyd.conf vi /etc/honeyd.conf 如图所示: honeyd配置文件
a/scripts/win32/win2k/iis.sh" # 上 面 的 Web 服 务 的 记 录 在 / honeyd_kit-1.0c-
a/logs/web.log add default tcp port 8080 "/honeyd_kit-1.0c-
a/scripts/HoneyWeb-0.4/HoneyWeb-0.4.py" add default tcp port 21 "/honeyd_kit-1.0c-
Xprobe2指纹识别库
使用vi命令打开starthoneyd.sh,看honeyd如何运行。
vi /honeyd_kit-10c-a/start-honeyd.sh 如图所示:honeyd 执行脚本
18
四.实验步骤
从该脚本可以看出honeyd参数的设置:
-f honeyd.conf
加载配置文件
-p nmap.prints
Honeypot 能显著减少误报率。任何对Honeypot 的访 问都是未授权的、非法的,这样Honeypot 检测攻击就非常 有效,从而大大减少了错误的报警信息,甚至可以避免。 这样网络安全人员就可以集中精力采取其他的安全措施。
7
2.2 蜜罐技术的优点(3)
(3) 捕获漏报 Honeypot可以很容易地鉴别捕获针对它的新的攻击行
a/scripts/telnet/faketelnet.pl" add default tcp port 110 "/honeyd_kit-1.0c-
a/scripts/win32/win2k/msftp21.sh"
四.实验步骤
#上面的ftp服务的记录在/honeyd_kit-1.0c-a/logs/ftp.log add default tcp port 2121 "/honeyd_kit-1.0c-
a/scripts/unix/linux/ftp.sh" add default tcp port 23 "/honeyd_kit-1.0c-
“蜜罐”的思想最早是由Clifford Stoll 于1988 年5 月提出。该作者在跟踪黑客的过程中,利用了一些包含虚 假信息的文件作为黑客“诱饵”来检测入侵,这就是蜜罐的 基本构想,但他并没有提供一个专门让黑客攻击的系统。
蜜罐正式出现是 Bill Cheswick 提到采用服务仿真和 漏洞仿真技术来吸引黑客。服务仿真技术是蜜罐作为应用 层程序打开一些常用服务端口监听,仿效实际服务器软件的 行为响应黑客请求。例如,提示访问者输入用户名和口令, 从而吸引黑客进行登录尝试。所谓漏洞仿真是指返回黑客 的响应信息会使黑客认为该服务器上存在某种漏洞,从而引 诱黑客继续攻击。
14
四.实验步骤
第一行create linux:建立一个模板命名为linux。 第二行set linux personality “Linux2.4.20”:将蜜罐虚 拟出来的主机操作系统定位Linux2.4.20。 第三行set linux default tcp action reset:模拟关闭所 有的TCP端口。 第 四 行 set linux tcp port 80 “perl scripts/iis0.95/iisemul8.pl”:打开蜜罐80端口,利用iisemul8.pl虚 拟出IIS服务。 第六行 bind 192.168.0.4 linux:用蜜罐虚拟出利用该模 板的主机,IP为192.168.0.4。
10
三. 实验环境
硬件:局域网内联网的两台主机,其中一台为Linux操 作系统主机用作安装“蜜罐”。另一台为windows主机,对 蜜罐进行扫描。
软 件 : libdnet-1.10.tar.gz,libevent-1.1a.tar.gz, libpcap-0.9.3.tar.gz,honeyd-1.0.tar.gz(Honeyd 源 代 码 包 ) , honeyd_kit-1.0c-a.tar.gz(Honeyd 快 速 安 装 包),Superscan,Flashfxp(或其他FTP客户端软件)。
将honeyd_kit-1.0c-a.tar.gz复制到linux根目录下。 直接解压
tar xvzf honeyd_kit-1.0c-a.tar.gz 如果以root身份登录系统,则已经可以直接运行honeyd。
16
四.实验步骤
(3) 配置和运行Honeyd
在快速安装包里包括:
arpd
arp欺骗工具
经过以上步骤,已经成功的手动安装了honeyd。其具体 的配置和使用方法,将在下一部分针对honeyd快速安装包详 细讲解。
15
四.实验步骤
(2) 快速安装Honeyd 我 们 在 honeyd_kit-1.0c-a.tar.gz 的 基 础 上 , 对
honeyd进行了一些修改,完善了honeyd_kit-1.0c-a.tar.gz 的快速安装包。
加载nmap指纹库
-a nmap.assoc
加载联合指纹库
-0 pf.os
加载被动操作系统指纹识别
-x xprobe2.conf
加载xprobe2指纹库
-l /honeyd_kit-1.0c-a/logs/honeyd.log 指定日志文件
192.168.1.100-192.168.1.253
指定虚拟的蜜罐主机IP地址
Edition" set default default tcp action reset set default default udp action reset set default default icmp action open add default tcp port 80 "/honeyd_kit-1.0c-
蜜罐技术
1
一. 实验目的
通过安装和配置“蜜罐”,了解“蜜罐”的原理, 及其配置使用方法。
通过在Linux下配置Honeypot蜜罐软件,进一步了 解该技术。
2
二. 实验原理
2.1 “蜜罐”技术的起源 2.2 蜜罐技术的优点 2.3 Honeyd介绍
3
2.1 “蜜罐”技术的起源(1)
入侵检测系统能够对网络和系统的活动情况进行监视, 及时发现并报告异常现象。但是,入侵检测系统在使用中存 在着难以检测新类型黑客攻击方法,可能漏报和误报的问题。
蜜罐使这些问题有望得到进一步的解决,通过观察和 记录黑客在蜜罐上的活动ቤተ መጻሕፍቲ ባይዱ人们可以了解黑客的动向、黑客 使用的攻击方法等有用信息。如果将蜜罐采集的信息与IDS 采集的信息联系起来,则有可能减少IDS 的漏报和误报,并能 用于进一步改进IDS 的设计,增强IDS 的检测能力。
4
2.1.“蜜罐”技术的起源(2)
注意:windows主机的默认网关要改为本机地址。而且 每个学生虚拟的网段不要重叠,可以通过修改start-arpd 和start-honeyd来实现。
11
四.实验步骤
(1) 手动安装Honeyd(推荐使用快速安装包) 安 装 libdnet-1.10.tar.gz,libevent-1.1a.tar.gz, libpcap-0.9.3.tar.gz三个honeyd的支持软件。 将这三个包复制到Linux根目录下,直接解压安装 tar xvzf libdnet-1.10.tar.gz 进入libdnet-1.10目录 cd / libdnet-1.10 运行./configure 运行make 运行make install