L003007005-系统蜜罐部署实验

课程编写

内容

名称系统蜜罐部署实验

要求了解系统蜜罐的基本原理，掌握Defnet蜜罐系统的使用。虚拟PC）Windows XP操作系统

描述Defnet工具

识

蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。所有流入/流出蜜罐的网络流量都可能预攻陷。蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。蜜罐可以按照其部署目的区分为型蜜罐两类，研究型蜜罐专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，研究人员可以对黑分析，捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法，甚至能够监听到黑客之间的交的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作。而产品为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确般产品型蜜罐较容易部署，而且不需要管理员投入大量的工作。蜜罐也可以按照其交互度的等级划分为互蜜罐，高交互蜜罐提供完全真实的操作系统和网络服务，没有任何的模拟，从黑客角度上看，高交互已久的“活靶子”，因此在高交互蜜罐中，我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客自然地加大了部署和维护的复杂度及风险的扩大。交互度反应了黑客在蜜罐上进行攻击活动的自由度。仅模拟操作系统和网络服务，较容易部署且风险较小，但黑客在低交互蜜罐中能够进行的攻击活动较为交互蜜罐能够收集的信息也比较有限。产品型蜜罐一般属于低交互蜜罐。蜜罐还可以按照其实现方法区拟蜜罐。物理蜜罐是真实的网络上存在的主机，运行着真实的操作系统，提供真实的服务，拥有自己的罐则是由一台机器模拟的，这台机器会响应发送到虚拟蜜罐的网络数据流，提供模拟的网络服务等。 Defnet是一款著名的“蜜罐”虚拟系统，它会虚拟一台有“缺陷”的服务器，等着恶意攻击者上拟出来的系统和真正的系统看起来没有什么区别，但它是为恶意攻击者布置的陷阱。通过它可以看到攻命令，进行了哪些操作，使用了哪些恶意攻击工具。通过陷阱的记录，可以了解攻击者的习惯，掌握足至反击攻击者。

容利用Defnet设置蜜罐并进行监视设置蜜罐提醒方式

骤

1、学生单击“网络拓扑”进入实验场景，单击“打开控制台”按钮，进入目标主机

2、输入默认账号administrator，密码123456，进入目标主机桌面。

3、在d:\tools\BUPT3108B中找到defnet.exe程序运行Defnet HoneyPot，解除阻止。如下图所示。

4、在Defnet HoneyPot的程序主界面右侧，点击“HoneyPot”按钮，在设置对话框中，可以虚拟Web、POP3和Telnet等常规网站提供的服务。如图：

5、虚拟一个FTP Server服务，可选中相应服务“FTP Server”复选框，并可以给恶意攻击者“Full 可设置好“Directory”项，用于指定伪装的文件目录项，具体如下图所示。

6、点击右下角“Advanced”设置“Telnet Server”的高级设置项，设置伪装驱动器盘符(Drive)、卷号(serial no)，以及目录创建时间和目录名，剩余磁盘空间(Free space in bytes)，MAC地址，网卡图所示。这样以来，就可以让虚拟出来的系统更加真实了。

7、设置“Finger Server”的“A d vanced”高级设置项，设置多个用户，如下图所示。

8、蜜罐提醒设置

如果我们不能在电脑前跟踪攻击者的攻击动作时，当想了解攻击者都做了些什么时，可以使用Ho 醒”功能。在软件主界面点击“Options”按钮，在打开设置窗口中，设置自己的E-mail信箱，其自动录下来，发送到设置的邮箱中。选中“Send logs by e-mail”，在输入框中填写自己的邮箱地址，邮发送者邮箱地址。再选中“Authenticaton required”，填写邮箱的登录名和密码，自己就可以随时情况了。

9、实验到此结束，关闭实验场景。