第三代Honeynet部署與數(shù)據(jù)庫連接講解

1、基于 Honeynet 的網(wǎng)絡(luò)預(yù)警的研究與實(shí)現(xiàn) 目的：實(shí)現(xiàn)對特定攻擊和威脅方式的預(yù)警 如攻擊掃描， SYN FLOOD 方式的拒絕服務(wù)攻擊， 另外動態(tài)展示網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和流量及預(yù)警信息第一部分 Win32 下的 Honeynet 環(huán)境部署： 使用的部分軟硬件：VMwave 5.5ROO-CDROM 1.4windowsXP SP1（ 用于蜜罐機(jī) ） windowsXP SP3（ 用于宿主機(jī) ） Linux Redhat 8100M 單網(wǎng)卡2G 內(nèi)存Sebek 3.XX-sacn 3.3SecureCRT 5.1.3MySQL GUI Tools 5.0 拓?fù)鋱D為這個(gè)：1-1 虛擬蜜網(wǎng)網(wǎng)關(guān)機(jī)( H

2、oneywall )搭建與配置：新建虛擬機(jī)向?qū)нx擇一個(gè)客尸機(jī)操作系編你想要在該虛擬機(jī)上安裝哪一個(gè)操作系統(tǒng)?客戶機(jī)操作系統(tǒng)C Hicrosoft Windows O醞瑟O Koveil NetWare O Sun Solari s 耳他版卞(V)Red Hat Linux上一步存一步Q)習(xí)取消虛擬機(jī)名稱(V)oneywall瀏覽位言Q-)F: honeyne t honeyw all上一步辺2步)| | 取消 |下面是與狩獵女神中國項(xiàng)目組文檔寫得不一樣，在 Roo1.4 和 VM5.5 以上版本中，磁盤適配 器注意選擇 LSI SCSI 模式，注意需要輸入完整路徑名：為網(wǎng)關(guān)虛擬機(jī)添加兩塊網(wǎng)卡，一

3、塊 Host-only 模式，一塊橋接模式：因?yàn)樗拗鳈C(jī)只有一塊物理網(wǎng)卡，所以需要在一塊網(wǎng)卡上綁定兩個(gè)IP：載入 ROO-CDROM 的 ISO 文件，啟動虛擬機(jī)后自動引導(dǎo)回車開始自動安裝安裝完成后，進(jìn)入系統(tǒng)：默認(rèn)賬號密碼是 roo / honey ，然后使用 su - 指令提示權(quán)限，默認(rèn) 密碼還是 honey ：設(shè)置蜜罐網(wǎng)絡(luò)(honeypot IP Address)設(shè)置蜜罐網(wǎng)段( LAN CIDR Prefix )：設(shè)置蜜網(wǎng)網(wǎng)關(guān) :Honeywall configuration - Remote management設(shè)置遠(yuǎn)程管理 IP (Management IP):設(shè)置管理網(wǎng)段掩碼： ( M

4、anagement netmask)：設(shè)置管理網(wǎng)段網(wǎng)關(guān)： ( Management gateway)：Sebek 配置：Honeywall configuration - Sebek:1-2 蜜罐機(jī)( honeypot)的安裝與配置 1，正常步驟安裝蜜罐虛擬機(jī)2，正常步驟安裝系統(tǒng)，如 XP, Linux3，將 XP 的 IP 的設(shè)置為 114，將 Linux 的 IP 設(shè)置成為 105，在蜜罐機(jī)上開放 IIS ，MySQL ，telnet，網(wǎng)絡(luò)打印機(jī)等服務(wù) .另外，宿主機(jī)上 VM 自動生成的兩個(gè)連接，叫什么 Vnet1 和 Vnet8 的，不用設(shè)置，

5、本來怎 樣就怎樣1-3 關(guān)于數(shù)據(jù)的收集1， sebek安裝與使用下載地址： /sebek/在蜜罐機(jī) winxp 中安裝 sebek 的客戶端 Sebek-Win32-3.0.4 利用共享文件夾將安裝包拷進(jìn)蜜罐機(jī)，執(zhí)行 setup.exe 然后運(yùn)行 Configuration Wizard 配置 sebek 客戶端：注意： 需要填寫蜜網(wǎng)網(wǎng)關(guān)機(jī) Honeywall 的 Sebek 通信口的 mac 地址， 在本實(shí)驗(yàn)中為 eth2，在 honeywall 中使用 ifconfig eth2 命令可獲得可以使用 ifconfig eth0 xxx

6、.xxx.xxx.xxx 指令給 eth0 和 eth1 口也配上 Ip ，不配也沒什么關(guān)系注意：下面的 Magic 號可以手動輸入，可以自動生成，但是在所有蜜罐機(jī)上此號必須相同 建議把目的 IP 地址也寫上，這里就是 eth2 口的 ip 地址。1-3 平臺測試然后可以用 X-scan 進(jìn)行攻擊測試了，順便可以測試下 Walleye 和 SSH 登陸管理接口是 否工作正常：需要注意的是： （我就是卡在這個(gè)問題這里好久）ROO 引進(jìn)了一個(gè)新的格式處理工具 Hflow, ，將 ebek 捕獲到的結(jié)果、 IDS 的報(bào)警信息、 p0f 的系統(tǒng)識別結(jié)果、 NIPS 的輸出結(jié)果、 Argus 的分析結(jié)果

7、統(tǒng)一格式化處理， 然后放入 MySQL 數(shù)據(jù)庫。根據(jù)蜜網(wǎng)中國組的回信，得知 Hflow 進(jìn)程可能會不穩(wěn)定掛起，導(dǎo)致網(wǎng)絡(luò)流 數(shù)據(jù)無法解析進(jìn)入 mysql 數(shù)據(jù)庫。后果就是在 walleye 上看不到任何流量變化 .解決辦法是在登陸 honeywall 后切換到 root 用戶，運(yùn)行 /etc/rc.d/init.d/hflow restart 重啟 該服務(wù)同樣Roo 提供的 sebek 是 3.x 版本，該版本與 2.x 版本并不兼容，因此，在安裝蜜罐時(shí)， 也必須安裝 sebek 3.x 客戶端。由于防火墻在記錄 sebek 時(shí)以 sebek 服務(wù)器的地址進(jìn)行判斷， 所以建議在蜜罐的 sebek

8、 客戶端文件 sbk_install.sh 設(shè)置 sebek 的服務(wù)器 IP 地址，雖然沒 有該 IP 地址也可以工作。 有時(shí)也會出現(xiàn) sebek 服務(wù)器啟動出錯(cuò)， 像上面的 hflow 問題一樣， 運(yùn)行 /etc/rc.d/init.d/sebekd restart 重啟該服務(wù)。開始測試：使用 SecureCRT 登陸到 honeywall 的管理口 登陸正常：使用 X-scan 掃描主機(jī)：使用 登陸 WEB 管理界面 Walleye ： 首次登陸后，系統(tǒng)會要求加固密碼，必須達(dá)到以下要求：超過 8 位，數(shù)字，大小寫字母，特 殊符號全

9、都要有。 C登陸正常，顯示剛才的掃描攻擊數(shù)據(jù)：第二部分 連接 Honeywall 數(shù)據(jù)庫我們的設(shè)想是從遠(yuǎn)端獲取蜜網(wǎng)網(wǎng)關(guān)截獲的數(shù)據(jù)， 利用 VC 編程實(shí)現(xiàn)預(yù)警界面， 因此首先 必須連接上網(wǎng)關(guān)內(nèi)的 MySQL 數(shù)據(jù)庫，因?yàn)?honeywall 的特殊性，這一步驟的操作與普通的 數(shù)據(jù)庫連接復(fù)雜。Roo 起的是 safe-mysqld，只允許 local 訪問你可以在 roo 本地登錄，并使用 mysql u roo phoney 登錄如果需要遠(yuǎn)程訪問 mysql ，則需要重新配置 mysqld 的配置文件，并設(shè)置特定用戶的遠(yuǎn) 程位置登錄權(quán)限并確保在 roo 管理口的開放端口中包含 3306（ IPT

10、abels 防火墻會阻斷未許可的端口流量） 我們現(xiàn)在添加一個(gè)可以在任何主機(jī)上登錄并擁有查詢刪除更新權(quán)限的賬號 test 密碼也 是 test，當(dāng)然這是有安全隱患的，建議選定一個(gè)較為復(fù)雜的賬號名和密碼。修改 sql 配置文件 ,在 honeywall 命令行下執(zhí)行下面命令 Cd /etc/Vi f將其修改成如下：中添加 3306添加 3306 端口到 honeywall 的允許口：Honeywall configuration - Remote Management - Allowed Inbound Tcp到這里有好多問題，還是連接不上，與 honeyCN 討論組的成員討論了幾天得出的結(jié)果 是

11、好像光在 Honeywall configuration 里添加 3306端口還不夠， iptables 防火墻還是會阻止。mysqladmin -u roo -p shutdown 停掉 SQL 進(jìn)程/etc/rc.d/init.d/mysqld start 啟動 sql 進(jìn)程 使用netstat -na |grep 3306指令查看 3306端口是否開啟，例如：至于如何解除 iptables 對 3306口的阻止，使用下面指令/sbin/iptables IINPUT p tcp -dport 3306 j ACCEPT另外根據(jù)討論組成員的建議，還修改了下面的內(nèi)容之前的 f 內(nèi)容修正為：m

12、ysqldskip-name-resolve datadir=/var/lib/mysql socket=/var/lib/mysql/mysql.sock set-variable=key_buffer_size=256M set-variable=table_cache=256 set-variable=sort_buffer=128Mmysql.server user=mysql basedir=/var/lib mysqld_safelog-error=/var/log/mysqld.log pid-file=/var/run/mysqld/mysqld.pid對 MySQL 數(shù)據(jù)庫中

13、 db 表進(jìn)行修改，操作如下：使用 roo 賬號登陸 MySQLuse mysql;update user set grant_priv = Y where user = roo and host = localhost;flush privileges;另外需要注意的是，啟動 honeywall 后可能需要重啟下 mysql 服務(wù)才能正常打開 3306 端口測試是否能連接上遠(yuǎn)端數(shù)據(jù)庫，可以使用MySQL GUI Tools 5.0 測試連接：第三部分 MySQL 數(shù)據(jù)的分析我們主要對其 Hflow 數(shù)據(jù)庫進(jìn)行操作，主要分析其中的flow 表 ,和 IDS 表。Flow 表記錄流量相關(guān)信息，

14、IDS 記錄入侵檢測系統(tǒng)相關(guān)數(shù)據(jù)。Flow 表的表結(jié)構(gòu)為：sensor_id, flow_id, src_ip, dst_ip, src_port, dst_port, ip_proto, iface_in, marker_flags, src_start_sec, src_start_msec, src_end_sec, src_end_msec, src_packets, src_bytes, src_ip_flags, src_tcp_flags, src_icmp_packets, src_icmp_seen, dst_start_sec, dst_start_msec, dst_en

15、d_sec, dst_end_msec, dst_packets, dst_bytes, dst_ip_flags, dst_tcp_flags, dst_icmp_packets,dst icmp seen, client os id, server os id, is local其中 src_ip, dst_ip 保存的為源目的 IP 地址的十進(jìn)制表示， 轉(zhuǎn)化為二進(jìn)制后， 按每 8 位拆分可還原為正常的 ip 號IDS 表的表結(jié)構(gòu)為：ids_id, sensor_id, sig_id, flow_id, sec, usec, priority, sig_rev, sig_gen, clas

16、sification, type, to_be_deletedIDS_SIG 表的表結(jié)構(gòu)為，該表估計(jì)用于描述 IDS 防御動作 ids_sig_gen, ids_sig_id, sensor_id, sig_name, reference監(jiān)控模塊圖：與文禮的數(shù)據(jù)接口： 一條基本的預(yù)警信息應(yīng)該包括信息編號，檢測單元號，事件號，發(fā)生時(shí)間，源目的 IP 及端 口號，于是設(shè)計(jì)以下八元組：Alert ( alert_id, detector_id, event_id, time, source_ip, dest_ip, source_port, dest_port )create database alertinf;Use alertinf;CREATE TABLE Alert( alert_id INT UNSIGNED NOT NULL AUTO_INCREMENT, detector_id INTNOT NULL default 0,event_id INTNOT NULL default 0,source_ip INT(10) UNSIGNED NOT NULL DEFAULT 0, dest_ipINT(10) UNSIGNED NOT NULL DEFAULT 0,source_port INT N