首页 编程 软件学院 查看内容

HONEYPOT(蜜罐)技术

2004-12-17 09:29 1151 0

摘要: 作者:四川大学电子信息学院 刘松  [email protected] 什么是蜜罐      蜜罐(Honeypot)是一种在互联网上运行的计算 &nbs...
关键词: nbsp 蜜罐 攻击者 Honeypot 系统 端口 一个 入侵者 配置 定向

作者:四川大学电子信息学院 刘松  [email protected] 什么是蜜罐      蜜罐(Honeypot)是一种在互联网上运行的计算  机系统。它是专门为吸引并诱骗那些试图非法闯  入他人计算机系统的人(如电脑黑客)而设计的,蜜  罐系统是一个包含漏洞的诱骗系统,它通过模拟  一个或多个易受攻击的主机,给攻击者提供一个  容易攻击的目标。由于蜜罐并没有向外界提供真  正有价值的服务,因此所有对蜜罐尝试都被视为  可疑的。蜜罐的另一个用途是拖延攻击者对真正  目标的攻击,让攻击者在蜜罐上浪费时间。简单  点一说:蜜罐就是诱捕攻击者的一个陷阱。 Honeypot的特点 (1) 它不是一个单一的系统,而是一个网络,是  一种高度相 互作用的Honeypot ,装有多个系统和应用软  件。 (2) 所有放置在Honeynet 内的系统都是标准  的产品系统, 即真实的系统和应用软件都不是仿效的。 Honeypot分类  可以有多种方法对其进行分类:根据蜜罐  的设计目的不同,可以分为产品型蜜罐和  研究型蜜罐二种;根据蜜罐的工作方式不  同可以分为牺牲型蜜罐和外观型蜜罐二  种。                      蜜罐的主要技术 蜜罐的主要技术有网络欺骗,端口重定向,报警,数据控制   和数据捕获等。 1.网络欺骗技术: 为了使蜜罐对入侵者更有吸引力,就要采用各种欺骗手段。   例如在欺骗主机上模拟一些操作系统一些网络攻击者最"喜   欢"的端口和各种认为有入侵可能的漏洞。 2.端口重定向技术:   端口重定向技术,可以在工作系统中模拟一个非工作服务。   例如我们正常使用WEB服务(80),而用TELNET(23)和FTP   (21)重定向到蜜罐系统中,而实际上这两个服务是没有开   启的,而攻击者扫描时则发现这两个端口是开放的,而实际   上两个端口是HONEYPOT虚拟出来的,对其服务器而不产生危   害性。 3.攻击(入侵)报警和数据控制  蜜罐系统本身就可以模拟成一个操作系统,我们可以把其   本身设定成为易攻破的一台主机,也就是开放一些端口和   弱口令之类的,并设定出相应的回应程序,如在LINUX中的   SHELL,和FTP程序,当攻击者"入侵"进入系统(这里所   指是HONEYPOT虚拟出来的系统)后,当进入后就相当于攻   击者进入一个设定"陷阱",那么攻击者所做一切都在其   监视之中:如TELNET密码暴力破解,添加新用户,权限提升,   删除添加文件,还可以给入侵者一个网络连接让其可以进   行网络传输,并可以作为跳板 4.数据的捕获技术 在攻击者入侵的同时,蜜罐系统将记录攻击者输入输出信   息,键盘记录信息,屏幕信息,以及攻击者曾使用过的工   具,并分析攻击者所要进行的下一步。捕获的数据不能放   在加有HONEYPOT的主机上,因为有可能被攻击者发现,从   而使其觉察到这是一个"陷阱"而提早退出  举例说明:  图1   典型的Sebek部署。客户端模块安装在蜜罐(蓝   色)里,蜜罐里攻击者行为被捕获后发送到网络   (对攻击者是不可见的)并且由Honey wall网关被   动的收集。                     Tiny Honeypot介绍 Tiny Honeypot 是由George Bakos最初编写,Tiny Honeypot最出色的一点就是系  统容易受到攻击,不用担心电脑黑客和电脑高手们不能入侵,一般会成功的,Tiny  Honeypot具有很好的收集那些坏家伙(入侵者) 入侵的信息和信息保存机制。 Tiny Honeypot安装: 首先要下载thp-0.4.6.tar.gz程序然后执行下列命令: cd /usr/local                                                #切换目录到/usr/local zcat thp-0.4.6.tar.gz | tar -xvf -                          #解压gz文件 ln -s thp-0.4.6.tar.gz thp                                  #建立软链接 mkdir /var/log/hpot                                         #新建目录 chown nobody:nobody /var/log/hpot                           #设定目录权限 chmod 700 /var/log/hpot                                     #修改查看日志权限 cp ./thp/xinetd.d/* /etc/xinetd.d edit xinetd files to change to :"disable = no"            #修改参数(后面详解)                                                #make any path & preferences                                                  adjustements in thp.conf & iptables.rules ./thp/iptables.rules                           #修改规则 /etc/rc.d/init.d/portmap start                 #启动portmap pmap_set < ./thp/fakerpc /etc/rc.d/init.d/xinetd start                    #启动xinetd  配置过程:  1 .建议在ROOT用户上进行安装,"chmod 700 /var/log/hpot"修改   访问日志的权限,使只有ROOT才能对其进行访问  2.edit xinetd files to change to :"disable = no"  3../thp/iptables.rules 编译iptables.rules访问规则,注意修改其   ip_forward环境变量为"". 0 4.对honeypot进行网络配置       对 Honeypot进行网络及环境变量配置,如IP地址,   允许正常使用的端口,Honeypot重定向的端口以久虚拟的   网络服务,如正常使用80端口进行WWW服务,21,23端口   进行虚拟,Honeypot可以虚拟出许多的服务,如FTP服   务,WWW服务,远程SHELL,SMTP服务等,在这里就不   一一细说了。   配置实例 实例对Thp的配置 入侵检测实例应用: 启动Honeypot 现有一台主机对其虚拟主机(Honeypot A)进行分析及入侵检测:   入侵者通过远程对Honeypot A进行23端口shell连接并远程执行shell命令                                               , 入侵者通过远程对Honeypot A进行21端口Ftp连接并执行命令                                          , 接下由于我设定的为多用户模式,故可以进行实时检测,打开  /var/log/thp后查看日志文件(注意要具有ROOT用户权限) 对入侵主机进行入侵分析,从日志中可以查看入侵者曾进行的命令和正  在执行的命令. 我们已经一步步的完成使用Linux系统  Honeynet的构建和配置,这个配置包含了多  个Honeynet新技术,但是必须注意的是信息  安全的更新飞速,Honeypot的技术仍不完善,  还需要在新的条件不断的发展和完善!
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部