Module9：诱捕系统实习.ppt

* 假設為我們路由器的IP位址，為Honeyd主機的IP位址。1-14是Honeyd虛擬的Honeypot的IP位址。最簡單的情況是虛擬Honeypot的IP位於我們區域網路內。首先，封包從Internet進來，且封包的Destination=Honeypot Windows NT 4.0(3) * 而封包到達路由器時，路由器查詢它的路由表由找到3的轉送位址。 * 如果沒有配置專用的路由，路由器透過ARP請求確定虛擬Honeypot MAC位址，因為沒有相應的實體機器ARP請求會被對應。 * 因此我們配置Honeyd主機用自己的MAC位址的對3的ARP請求做出回應，這樣透過ARP代理路由器就把發送Honeypot Windows NT 4.0的封包轉到Honeyd主機的MAC位址。 * * Honeyd不同於為每個connection建立的一個新的process (ie.Honeyd子系統(subsystem))和內部服務(internal service)。差別在於,Honeyd是一個運行在某個虛擬Honeypot名稱空間下的應用程式，Honeyd的特定應用是在相應的虛擬Honeypot初始化的時候被建立的。一個Honeyd subsystem可以監聽某一服務的Port、接收connection和回應該Port的網路連接。Subsystem是作為外部的應用程式被建立的，而內部服務則是一個Honeyd內部running的python的腳本。內部服務要求的資源比子系統更少，但只能接收連接，不能建立網路連接。如圖所示。 * Honeyd不同於為每個connection建立的一個新的process (ie.Honeyd子系統(subsystem))和內部服務(internal service)。差別在於,Honeyd是一個運行在某個虛擬Honeypot名稱空間下的應用程式，Honeyd的特定應用是在相應的虛擬Honeypot初始化的時候被建立的。一個Honeyd subsystem可以監聽某一服務的Port、接收connection和回應該Port的網路連接。Subsystem是作為外部的應用程式被建立的，而內部服務則是一個Honeyd內部running的python的腳本。內部服務要求的資源比子系統更少，但只能接收連接，不能建立網路連接。如圖所示。 * Honeyd不同於為每個connection建立的一個新的process (ie.Honeyd子系統(subsystem))和內部服務(internal service)。差別在於,Honeyd是一個運行在某個虛擬Honeypot名稱空間下的應用程式，Honeyd的特定應用是在相應的虛擬Honeypot初始化的時候被建立的。一個Honeyd subsystem可以監聽某一服務的Port、接收connection和回應該Port的網路連接。Subsystem是作為外部的應用程式被建立的，而內部服務則是一個Honeyd內部running的python的腳本。內部服務要求的資源比子系統更少，但只能接收連接，不能建立網路連接。如圖所示。 * 在Honeyd框架中，透過配置模板(Template)來配置虛擬的Honeypot。配置語言是一種Context-free文法，可以設定虛擬網路，作業系統和服務。以下是一個完整的Windows模板配置範例。 以下為一個模本範例 * 在個性化引擎中設定該模板的Nmap 指紋 為Microsoft Windows XP Home Edition。 * 設定預設的TCP和UDP和ICMP 動作 為開啟。 * 設定系統監聽80埠號和23埠號，並且呼叫腳本iisemul8.pl 和cmdexe.pl來處理。 * 打開TCP 139、137 Port以及打開UDP 137、135 Port。 * 分成主要四個modules： Vulnerability Modules: 模擬網路服務的弱點。 Shellcode parsing modules: 分析與反解Exploit Payload，找出Mal-URL。 Fetch Modules: 利用HTTP、FTP、TFTP…從遠端抓取惡意程式Binary。 Submission Modules: 將抓下來的惡意程式存到Disk，或其他伺服器。 簡單來說，分別會有模擬HTTP、FTP、TFTP等有弱點的service，並在該埠號上作監聽，並利用這些有漏洞的服務被攻擊而下載到惡意程式的Binary檔案後再儲存。 * * Honeyd透過虛擬主機，網路和人為配置的服務，可以應用在網路安全的許多領域。例如︰病毒探測、反蠕蟲、阻止垃圾郵件和轉移攻擊目標等。當然，無論是Honeyd還是其他的Honeypot系統都是正在