蜜罐与蜜网技术资料.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * set default personality Microsoft Windows XP Home Edition set default default tcp action reset set default default udp action reset set default default icmp action open add default tcp port 80 /honeyd_kit-1.0c-a/scripts/win32/win2k/iis.sh #上面的Web服务的记录在/honeyd_kit-1.0c-a/logs/web.log add default tcp port 8080 /honeyd_kit-1.0c-a/scripts/HoneyWeb-0.4/ HoneyWeb-0.4.py 16.5 实验：Honeyd的安装和配置 add default tcp port 21 /honeyd_kit-1.0c-a/scripts/win32/win2k/msftp.sh #上面的ftp服务的记录在/honeyd_kit-1.0c-a/logs/ftp.log add default tcp port 2121 /honeyd_kit-1.0c-a/scripts/unix/linux/ftp.sh add default tcp port 23 /honeyd_kit-1.0c-a/scripts/telnet/faketelnet.pl add default tcp port 110 /honeyd_kit-1.0c-a/scripts/win32/win2k/ exchange-pop3.sh add default tcp port 139 open add default tcp port 137 open add default udp port 137 open add default udp port 135 open 16.5 实验：Honeyd的安装和配置 这里只设置80端口的iis.sh脚本模拟的Web服务，以及21端口msftp.sh脚本模拟的FTP服务。其余设为open的端口可以被检测到，但没有设置脚本，所以不会提供具体服务。 测试。首先运行honeyd： ./start-arpd.sh ./start-honeyd.sh 测试活动主机，IP地址段是蜜罐虚拟出的00-53，在Superscan扫描该网段，看蜜罐是否启动成功，还可以继续使用Superscan检测该网段的主机开放端口。在浏览器中输入00，可以测试蜜罐的虚拟Web服务。运行flashfxp并登录00，可以测试蜜罐的虚拟FTP服务。 16.5 实验：Honeyd的安装和配置 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * * * * * * * * * * * * * * * * * * * * * * * * * * * 蜜网有着三大核心需求： 数据控制； 数据捕获； 数据分析。 通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全，以减轻蜜网架设的风险；数据捕获技术能够检测并审计黑客攻击的所有行为数据；而数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。 16.3.2 第二代蜜网方案 目前“蜜网项目组”已经开发出较为完善的第二代蜜网架构，并以一张可启动光盘的形式提供部署和维护第二代蜜网所需的关键工具： HoneyWall 和Sebek。 以下结合“蜜网项目组” 及其推出的第二代蜜网技术方案对蜜网的核心需求进行分析。 16.3.2 第二代蜜网方案 第二代蜜网方案的整体架构如下图所示，其中最为关键的部件为称为HoneyWall的蜜网网关，包括三个网络接口，eth0接入外网，eth1 连接蜜网,而eth2 作为一个秘密通道，连接到一个监控网络。 16.3.2 第二代蜜网方案 第二代蜜网体系架构 16.3.2 第二代蜜网方案