教您部署蜜罐系统让攻击者自投落网.docVIP

　　教您部署蜜罐系统 让攻击者自投落网～教育资源库 　　众所周知，目前的互联网安全面临着巨大的考验。当网络被攻陷破坏后，我们甚至还不知道对手是谁，对他们使用了哪些工具、以何种方式达成攻击目标，以及为什么进行攻击更是一无所知。知己知彼，百战不殆，IT安全人员只有在掌握了攻击者的攻击技术、技巧和战术、甚至心理和习惯等，才能更有效地维护互联网安全，而蜜罐技术为捕获黑客的攻击行为，并深入分析黑客提供了基础。我们今天就部署蜜罐，请黑客入瓮。 　　工具： 　　Def HoneyPot 　　下载Html/mfrj/sygjl/70420.html 　　模拟环境： 　　虚拟机A IP:0 (蜜罐系统) 　　虚拟机B IP: (攻击主机) 　　一、打造Def HoneyPot 蜜罐，反击攻击者 　　1、工具介绍 　　Def HoneyPot 2004是一个著名的蜜罐虚拟系统，它会虚拟一台有缺陷的电脑，等着恶意攻击者上钩。这种通过Def HoneyPot虚拟出来的系统和真正的系统看起来没有什么两样，但它是为恶意攻击者布置的陷阱。只不过，这个陷阱只能套住恶意攻击者，看看他都执行了那些命令，进行了哪些操作，使用了哪些恶意攻击工具。通过陷阱的记录，可以了解攻击者的习惯，掌握足够的攻击证据，甚至反击攻击者。 　　2、下套诱捕 　　Def HoneyPot是一款绿色软件，下载后直接使用，不用安装，其设置非常简单，迷惑性、仿真性不其它蜜罐强多了。 　　(1)、设置虚拟系统 　　运行Def HoneyPot，在Def HoneyPot的程序主界面右侧，点击HoneyPot按钮，弹出设置对话框，在设置对话框中，可以虚拟TP、Finger、POP3和Tel等常规网站提供的服务。(图1) 　　例如要虚拟一个FTP Server服务，则可选中相应服务FTP Server复选框，并且可以给恶意攻击者Full Access权限。并可设置好Directory项，用于指定伪装的文件目录项。(图2) 　　在Finger Server的Aclvanced高级设置项中，可以设置多个用户，admin用户是伪装成管理员用户的，其提示信息是administrator即管理员组用户，并且可以允许40个恶意攻击者同时连接该用户。(图3) 　　在Tel Server的高级设置项中，还可以伪装驱动器盘符(Drive)、卷标(Volume)、序列号(serial no)，以及目录创建时间和目录名，剩余磁盘空间(Free space in bytes)，MAC地址，网卡类型等。(图4)。这样以来，就可以让虚拟出来的系统更加真实了。 　　(2)、幕后监视恶意攻击者 　　蜜罐搭建成功后，点击HoneyPot主程序界面的Monitore按钮，开始监视恶意攻击者了。当有人攻击我们的系统时，会进入我们设置的蜜罐。在HoneyPot左面窗口中的内容，就可以清楚地看到，恶意攻击者都在做什么，进行了哪些操作了。(图5) 　　例如，蜜罐中显示信息如下： 　　(9:20:52) The IP () tried invasion by tel (CONNECTION ) 　　(9:21:31) The IP () tried invasion by tel (USER administrator) 　　(9:21:53) The IP () tried invasion by tel (PASSin) 　　(9:22:42) The IP () tried invasion by tel (PASSWORD ) 　　(9:23:08) The IP () tried invasion by tel (USER root) 　　(9:23:29) The IP () tried invasion by tel (PASSWORD ) 　　 123下一页 友情提醒：，特别！The invasor disconnected from the tel server 　　(9:23:58) The IP () tried invasion by tel (CONNECTION ) 　　(9:24:22) The IP () tried invasion by tel (USER root) 　　(9:24:44) The IP () tried invasion by tel (PASSicrosoft IIS等。Trap Server蜜罐运行时就会开放一个伪装的WEB服务器，虚拟服务器将对这个服务器的访问情况进行监视，并把所有对该服务器的访问记录下来，包括IP地址，访问文件等。通过这些对黑客的入侵行为进行简单的分析。