教您部署蜜罐系统让攻击者自投落网 7页

　　教您部署蜜罐系统让攻击者自投落网～教育资源库　　众所周知，目前的互联网安全面临着巨大的考验。当网络被攻陷破坏后，我们甚至还不知道对手是谁，对他们使用了哪些工具、以何种方式达成攻击目标，以及为什么进行攻击更是一无所知。知己知彼，百战不殆，IT安全人员只有在掌握了攻击者的攻击技术、技巧和战术、甚至心理和习惯等，才能更有效地维护互联网安全，而蜜罐技术为捕获黑客的攻击行为，并深入分析黑客提供了基础。我们今天就部署蜜罐，请黑客入瓮。　　工具：　　DefHoneyPot　　下载Html/mfrj/sygjl/70420.html　　模拟环境：　　虚拟机AIP:192.168.1.10(蜜罐系统)　　虚拟机BIP:192.168.1.6(攻击主机)　　一、打造DefHoneyPot蜜罐，反击攻击者　　1、工具介绍　　DefHoneyPot2004是一个著名的蜜罐虚拟系统，它会虚拟一台有缺陷的电脑，等着恶意攻击者上钩。这种通过Def HoneyPot虚拟出来的系统和真正的系统看起来没有什么两样，但它是为恶意攻击者布置的陷阱。只不过，这个陷阱只能套住恶意攻击者，看看他都执行了那些命令，进行了哪些操作，使用了哪些恶意攻击工具。通过陷阱的记录，可以了解攻击者的习惯，掌握足够的攻击证据，甚至反击攻击者。　　2、下套诱捕　　DefHoneyPot是一款绿色软件，下载后直接使用，不用安装，其设置非常简单，迷惑性、仿真性不其它蜜罐强多了。　　(1)、设置虚拟系统　　运行DefHoneyPot，在DefHoneyPot的程序主界面右侧，点击HoneyPot按钮，弹出设置对话框，在设置对话框中，可以虚拟TP、Finger、POP3和Tel等常规网站提供的服务。(图1)　　例如要虚拟一个FTPServer服务，则可选中相应服务FTPServer复选框，并且可以给恶意攻击者FullAccess权限。并可设置好Directory项，用于指定伪装的文件目录项。(图2)　　在Finger Server的Aclvanced高级设置项中，可以设置多个用户，admin用户是伪装成管理员用户的，其提示信息是administrator即管理员组用户，并且可以允许40个恶意攻击者同时连接该用户。(图3)　　在TelServer的高级设置项中，还可以伪装驱动器盘符(Drive)、卷标(Volume)、序列号(serialno)，以及目录创建时间和目录名，剩余磁盘空间(Freespaceinbytes)，MAC地址，网卡类型等。(图4)。这样以来，就可以让虚拟出来的系统更加真实了。　　(2)、幕后监视恶意攻击者　　蜜罐搭建成功后，点击HoneyPot主程序界面的Monitore按钮，开始监视恶意攻击者了。当有人攻击我们的系统时，会进入我们设置的蜜罐。在HoneyPot左面窗口中的内容，就可以清楚地看到，恶意攻击者都在做什么，进行了哪些操作了。(图5)　　例如，蜜罐中显示信息如下：　　(9:20:52)TheIP192.168.1.6()triedinvasionbytel(CONNECTION)　　(9:21:31)TheIP192.168.1.6()triedinvasionbytel(USERadministrator) 　　(9:21:53)TheIP192.168.1.6()triedinvasionbytel(PASSin)　　(9:22:42)TheIP192.168.1.6()triedinvasionbytel(PASSWORD)　　(9:23:08)TheIP192.168.1.6()triedinvasionbytel(USERroot)　　(9:23:29)TheIP192.168.1.6()triedinvasionbytel(PASSWORD)　　123下一页友情提醒：，特别！Theinvasordisconnectedfromthetelserver　　(9:23:58)TheIP192.168.1.6()triedinvasionbytel(CONNECTION)　　(9:24:22)TheIP192.168.1.6()triedinvasionbytel(USERroot)　　(9:24:44)TheIP192.168.1.6()triedinvasionbytel(PASSicrosoftIIS等。TrapServer蜜罐运行时就会开放一个伪装的WEB服务器，虚拟服务器将对这个服务器的访问情况进行监视，并把所有对该服务器的访问记录下来，包括IP地址，访问文件等。通过这些对黑客的入侵行为进行简单的分析。 　　1、设置TrapServer　　下载TrapServer安装并运行，在服务器类别菜单下有三个选项。分别是启动IIS服务、启动Apache服务器和启动EasyPHP服务器，软件可以模拟上述三种服务器。(图7)　　TrapServer模拟的IIS、Apache和EasyPHP都是WEB服务器，所以默认监听的都是80端口。主页路径默认的是安装TrapServer目录下面的WEB文件夹，可以自己另外设置别的目录。但主页的路径不能修改，可以把自己做的主页放到文件夹里面，这样这款蜜罐就可以做为WEB服务器用了。软件默认监听的80端口，也可以修改，比如系统安装了IIS，占用了80，那么完全可以选择一个没有被占用的端口，比如7626之类的。　　2、TrapServer蜜罐监视　　选择要模拟的服务器类型后，在主界面点击开始监听按钮，即可启动蜜罐服务。我们在虚拟机B的浏览器中输入192.168.1.10，在虚拟机A中就可以监视到虚拟机B的操作。(图8)　　假如有攻击者通过浏览器输入自己服务器的IP，访问用TrapServer模拟的WEB服务，在Trap Server主界面里就会自动监听并显示攻击者的访问操作记录。例如，分离一些重复信息后，看到如下的记录(图9)。上一页123下一页友情提醒：，特别！　　<2008-1-20><11:06:51>ListeningforHTTPconnectionson0.0.0.0:80.　　Userloggedin　　<2008-1-20><11:07:23>mandGET/receibedform192.168.1.6:2025　　ServingfileC:ProgramFiles虚拟服务器软件(4628bytes/4628bytessentto192.168.1.6:1943)　　Userloggedout　　第一行表示，TrapServer开始侦听服务器的80端口。接下来是有一个账户登录服务器，发送了一个命令，行为是GET，后面是该账户的IP地址和使用的端口。再下面一行就是登录者获取的文件，是IIS下面的index.htm，发送2648个字节给这个地址的GET请求，完成之后用户退出。 　　其实有黑客攻击经验的用户都知道此记录代表的意思。他表示有攻击者用Tel连接了我们的蜜罐服务器，并进行了版本探测。很多朋友都系统用手工的方法去探测服务器版本，最常用的就是直接用Tel去连接服务器的80端口(图10)，然后输入getindex.htm，通过返回的信息就知道服务器的版本了。　　3、TrapServer蜜罐的应用　　在实际应用方面，TrapServer正是当下非常流行的SQL注入的天敌，能详细地记录各种手工的和利用工具实现的方法，并完整地再现当时的入侵过程。　　另外，在遭受攻击时，如果不知道攻击者的真实IP地址，可以点击跟踪按钮，软件会跟踪IP经过的路由，揪出攻击者的IP地址。(图11)　　好了，蜜罐准备好了，攻击者来吧，让攻击来得更猛烈些吧!上一页123友情提醒：，特别！