- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
实验四 虚拟蜜罐实验
1、实验类型
验证性实验
2、实验目的
通过安装配置Honeyd ,深入了解Honeyd 的安全配置方法和主要功能
3、背景知识
3.1 蜜罐(Honeypot )
蜜罐是一种安全资源,其价值就在于被探测、被攻击或被攻陷。因此带有欺骗、诱捕性
质的网络、主机、服务均可看成一个蜜罐。除了欺骗攻击者,蜜罐一般不支持其他正常的业
务,因此任何访问蜜罐的行为都是可疑的,这是蜜罐工作的基础。
3.2 虚拟蜜罐(Honeyd )
Honeyd 是一款针对Unix 系统设计的、开源、低交互程度的蜜罐,用于对可疑活动检测、
捕获和预警。Honeyd 能在网络层次上模拟大量虚拟蜜罐,可用于模拟多个IP 地址的情况。
当攻击者企图访问时,Honeyd 就会接收到这次连接请求,以目标系统的身份对攻击者进行
回复。
Honeyd 一般作为后台进程来运行,其产生的蜜罐由后台进程模拟,所以运行 Honeyd
的主机能有效地控制系统的安全。Honeyd 可同时模拟不同的操作系统,能让一台主机在一
个模拟的局域网环境中配置多个地址;支持任意的TCP/IP 网络服务,还可以模拟IP 协议栈,
使外界的主机可以对虚拟的蜜罐主机进行 ping 命令操作和路由跟踪等网络操作,虚拟主机
上任何类型的服务都可以依照一个简单的配置文件进行模拟,也可以为真实主机的服务提供
代理。此外,Honeyd 提供了对应的指纹匹配机制,是可以以假乱真、欺骗攻击者的指纹识
别工具。
Honeyd 软件依赖于以下几个库及arpd 工具:
Libevent :是一个非同步事件通知的函数库。通过使用 libevent ,开发人员可以设
定某些事件发生时所执行的函数,可以代替以往程序所使用的循环检查;
Libdnet :是一个提供了跨平台的网络相关 API 的函数库,包括 arp 缓存,路由表
查询,IP 包及物理帧的传输等;
Libpcap :是一个数据包捕获(Packet Sniffing )的函数库,大多数网络软件都以它
为基础;
Arpd 工具:arpd 运行在与honeyd 相同的系统上,是honeyd 众多协作工具中最重
要的一个。Arpd 工作时监视局域网内的流量,并通过查看honeyd 系统的ARP 表
判断其它系统的活动与否。当一次企图对局域网内系统的连接发生时,Arpd 通过
查找ARP 表得知目的IP 地址不存在后,就会尝试对受害者的IP 地址进行ARP 广
播,如果honeyd 得到了响应,说明目标系统确实存在,于是把目标系统的IP 地址
与MAC 地址的对应写入honeyd 的ARP 表,并对这次连接尝试不动作,因为这可
能是合法流量。如果Arpd 没有从目标接收到Arp 响应,那么它就认为目标系统并
不存在,假设这是一次攻击行为,于是就尝试充当受害者的IP 地址并对攻击者作
出回应。由此可见,arpd 将对指定的IP 地址范围内未使用的IP 用honeyd 主机的
MAC 地址做出arp 应答。这样对指定的IP 地址范围内未使用的IP 的连接访问都
被重定向至honeyd 主机。因此这样的设计在局域网中特别能最大化的诱骗蠕虫病
毒的攻击,转移攻击流,为下一步检测和捕获蠕虫病毒奠定了基础。
4、实验内容
(1)准备实验环境
物理环境组成:宿主机 (Linux )和测试机 (Win7 )
可选:
宿主机(Linux )使用虚拟机,测试机(Win7 )使用个人电脑
宿主机(Linux )和测试机(Win7 )都使用虚拟机
网络连接选择无线连接,连接实验室的SSID:snERt.h3C (密码cisco.swust)
二者的IP 地址设置位于同一网段
IP地址自行设定 IP地址自行设定
蜜罐虚拟机
文档评论(0)