实验四 虚拟蜜罐实验.pdfVIP

  1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
实验四 虚拟蜜罐实验 1、实验类型  验证性实验 2、实验目的  通过安装配置Honeyd ,深入了解Honeyd 的安全配置方法和主要功能 3、背景知识 3.1 蜜罐(Honeypot ) 蜜罐是一种安全资源,其价值就在于被探测、被攻击或被攻陷。因此带有欺骗、诱捕性 质的网络、主机、服务均可看成一个蜜罐。除了欺骗攻击者,蜜罐一般不支持其他正常的业 务,因此任何访问蜜罐的行为都是可疑的,这是蜜罐工作的基础。 3.2 虚拟蜜罐(Honeyd ) Honeyd 是一款针对Unix 系统设计的、开源、低交互程度的蜜罐,用于对可疑活动检测、 捕获和预警。Honeyd 能在网络层次上模拟大量虚拟蜜罐,可用于模拟多个IP 地址的情况。 当攻击者企图访问时,Honeyd 就会接收到这次连接请求,以目标系统的身份对攻击者进行 回复。 Honeyd 一般作为后台进程来运行,其产生的蜜罐由后台进程模拟,所以运行 Honeyd 的主机能有效地控制系统的安全。Honeyd 可同时模拟不同的操作系统,能让一台主机在一 个模拟的局域网环境中配置多个地址;支持任意的TCP/IP 网络服务,还可以模拟IP 协议栈, 使外界的主机可以对虚拟的蜜罐主机进行 ping 命令操作和路由跟踪等网络操作,虚拟主机 上任何类型的服务都可以依照一个简单的配置文件进行模拟,也可以为真实主机的服务提供 代理。此外,Honeyd 提供了对应的指纹匹配机制,是可以以假乱真、欺骗攻击者的指纹识 别工具。 Honeyd 软件依赖于以下几个库及arpd 工具:  Libevent :是一个非同步事件通知的函数库。通过使用 libevent ,开发人员可以设 定某些事件发生时所执行的函数,可以代替以往程序所使用的循环检查;  Libdnet :是一个提供了跨平台的网络相关 API 的函数库,包括 arp 缓存,路由表 查询,IP 包及物理帧的传输等;  Libpcap :是一个数据包捕获(Packet Sniffing )的函数库,大多数网络软件都以它 为基础;  Arpd 工具:arpd 运行在与honeyd 相同的系统上,是honeyd 众多协作工具中最重 要的一个。Arpd 工作时监视局域网内的流量,并通过查看honeyd 系统的ARP 表 判断其它系统的活动与否。当一次企图对局域网内系统的连接发生时,Arpd 通过 查找ARP 表得知目的IP 地址不存在后,就会尝试对受害者的IP 地址进行ARP 广 播,如果honeyd 得到了响应,说明目标系统确实存在,于是把目标系统的IP 地址 与MAC 地址的对应写入honeyd 的ARP 表,并对这次连接尝试不动作,因为这可 能是合法流量。如果Arpd 没有从目标接收到Arp 响应,那么它就认为目标系统并 不存在,假设这是一次攻击行为,于是就尝试充当受害者的IP 地址并对攻击者作 出回应。由此可见,arpd 将对指定的IP 地址范围内未使用的IP 用honeyd 主机的 MAC 地址做出arp 应答。这样对指定的IP 地址范围内未使用的IP 的连接访问都 被重定向至honeyd 主机。因此这样的设计在局域网中特别能最大化的诱骗蠕虫病 毒的攻击,转移攻击流,为下一步检测和捕获蠕虫病毒奠定了基础。 4、实验内容 (1)准备实验环境  物理环境组成:宿主机 (Linux )和测试机 (Win7 )  可选:  宿主机(Linux )使用虚拟机,测试机(Win7 )使用个人电脑  宿主机(Linux )和测试机(Win7 )都使用虚拟机  网络连接选择无线连接,连接实验室的SSID:snERt.h3C (密码cisco.swust)  二者的IP 地址设置位于同一网段 IP地址自行设定 IP地址自行设定 蜜罐虚拟机

文档评论(0)

baoyue + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档