蜜罐主机.pptVIP

第16章 蜜罐主机和欺骗网络 基础 蜜罐主机是一种资源，它被伪装成一个实际目标。蜜罐主机希望人们去攻击或入侵它。 目的 ?分散攻击者的注意力 ?收集同攻击和攻击者有关的信息。 价值 默默地收集尽可能多的同入侵有关的信息，例如攻击模式，使用的程序，攻击意图和黑客社团文化等等。 帮助我们明白黑客社团以及他们的攻击行为，以便更好的防御安全威胁。 两种类型的蜜罐主机 产品型蜜罐（production）和研究型蜜罐（research）。 产品型蜜罐用于帮助降低组织的安全风险； 研究型蜜罐意味着收集尽可能多的信息。 连累等级（level of involvement） 罐主机的一个重要特性就是其连累等级。 连累等级是指攻击者可以同蜜罐主机所在的操作系统的交互程度。 低连累蜜罐主机 例如，一条简单的命令：netcat –l –p 80 /log/honeypot/port_80.log ，就可以侦听80号端口（HTTP），并记录所有进入的通信到一个日志文件当中。 低连累蜜罐主机 中连累蜜罐主机 高连累蜜罐主机 蜜罐主机的布置 蜜罐主机可以放置在： 防火墙外面（Internet） DMZ（非军事区） 防火墙后面（Intranet） 每种摆放方式都有各自的优缺点。 蜜罐主机的布置 欺骗网络（honeynet） 关键问题 信息控制代表了一种规则，你必须能够确定你的信息包能够发送到什么地方。其目的是，当你欺骗网络里的蜜罐主机被入侵后，它不会被用来攻击欺骗网络以外的机器。 信息捕获则是要抓到入侵者群体的所有流量，从他们的击键到他们发送的信息包。只有这样，我们才能进一步分析他们使用的工具、策略及目的。 反欺骗网络技术及工具 fragrouter（/~dugsong/fragroute/） 能对抗入侵检测系统，它把包分片重组。 Rain Forest Puppy则开发了一个扫描函数库libwhisker(/rfp/libwhisker/README)，该函数库支持多种反入侵检测系统的功能。 以该库为基础的扫描工具nikto（/code/nikto.shtml）可以扫描140种服务器的2200个潜在的文件/CGI安全漏洞。 K2发表的ADMmutate，可绕过现有大多数IDS检测。 * * 信息对抗 *