第三代Honeynet部署與數(shù)據(jù)庫連接

1、基于Honeynet的網(wǎng)絡(luò)預(yù)警的研究與實(shí)現(xiàn)目的：實(shí)現(xiàn)對特定攻擊和威脅方式的預(yù)警 如攻擊掃描，SYN FLOOD方式的拒絕服務(wù)攻擊，另外動(dòng)態(tài)展示網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和流量及預(yù)警信息第一部分 Win32下的Honeynet環(huán)境部署：使用的部分軟硬件：VMwave 5.5ROO-CDROM 1.4windowsXP SP1(用于蜜罐機(jī))windowsXP SP3(用于宿主機(jī))Linux Redhat 8100M單網(wǎng)卡2G內(nèi)存Sebek 3.XX-sacn 3.3SecureCRT 5.1.3MySQL GUI Tools 5.0拓?fù)鋱D為這個(gè)：1-1虛擬蜜網(wǎng)網(wǎng)關(guān)機(jī)（Honeywall）搭建與配置：下面是與狩獵

2、女神中國項(xiàng)目組文檔寫得不一樣，在Roo1.4和VM5.5以上版本中，磁盤適配器注意選擇LSI SCSI模式，注意需要輸入完整路徑名：為網(wǎng)關(guān)虛擬機(jī)添加兩塊網(wǎng)卡，一塊Host-only模式，一塊橋接模式：因?yàn)樗拗鳈C(jī)只有一塊物理網(wǎng)卡，所以需要在一塊網(wǎng)卡上綁定兩個(gè)IP：載入ROO-CDROM的ISO文件，啟動(dòng)虛擬機(jī)后自動(dòng)引導(dǎo)回車開始自動(dòng)安裝.安裝完成后，進(jìn)入系統(tǒng)：默認(rèn)賬號密碼是roo / honey ，然后使用su - 指令提示權(quán)限，默認(rèn)密碼還是honey ：設(shè)置蜜罐網(wǎng)絡(luò)(honeypot IP Address)設(shè)置蜜罐網(wǎng)段（LAN CIDR Prefix ）：設(shè)置蜜網(wǎng)網(wǎng)關(guān):Honeywall con

3、figuration - Remote management 設(shè)置遠(yuǎn)程管理IP (Management IP):設(shè)置管理網(wǎng)段掩碼：（Management netmask）：設(shè)置管理網(wǎng)段網(wǎng)關(guān)：（Management gateway）：Sebek配置：Honeywall configuration - Sebek:1-2蜜罐機(jī)（honeypot）的安裝與配置.：1，正常步驟安裝蜜罐虛擬機(jī)2，正常步驟安裝系統(tǒng)，如XP, Linux3，將XP的IP的設(shè)置為114，將Linux的IP設(shè)置成為105，在蜜罐機(jī)上開放IIS，MySQL，telnet，網(wǎng)絡(luò)打印機(jī)等服

4、務(wù).另外，宿主機(jī)上VM自動(dòng)生成的兩個(gè)連接，叫什么Vnet1和 Vnet8的，不用設(shè)置，本來怎樣就怎樣1-3關(guān)于數(shù)據(jù)的收集1，sebek安裝與使用下載地址：/sebek/在蜜罐機(jī)winxp中安裝sebek的客戶端Sebek-Win32-3.0.4利用共享文件夾將安裝包拷進(jìn)蜜罐機(jī)，執(zhí)行setup.exe然后運(yùn)行Configuration Wizard配置sebek客戶端：注意：需要填寫蜜網(wǎng)網(wǎng)關(guān)機(jī)Honeywall的Sebek通信口的mac地址，在本實(shí)驗(yàn)中為eth2，在honeywall中使用ifconfig eth2命令可獲得可以使用ifco

5、nfig eth0 xxx.xxx.xxx.xxx指令給eth0和eth1口也配上Ip ，不配也沒什么關(guān)系注意：下面的Magic號可以手動(dòng)輸入，可以自動(dòng)生成，但是在所有蜜罐機(jī)上此號必須相同,建議把目的IP地址也寫上，這里就是eth2口的ip地址。1-3平臺測試 然后可以用X-scan進(jìn)行攻擊測試了，順便可以測試下Walleye和SSH登陸管理接口是否工作正常：需要注意的是：（我就是卡在這個(gè)問題這里好久） ROO引進(jìn)了一個(gè)新的格式處理工具Hflow,，將ebek 捕獲到的結(jié)果、IDS 的報(bào)警信息、p0f 的系統(tǒng)識別結(jié)果、NIPS 的輸出結(jié)果、Argus 的分析結(jié)果統(tǒng)一格式化處理，然后放入MySQ

6、L數(shù)據(jù)庫。根據(jù)蜜網(wǎng)中國組的回信，得知Hflow進(jìn)程可能會(huì)不穩(wěn)定掛起，導(dǎo)致網(wǎng)絡(luò)流數(shù)據(jù)無法解析進(jìn)入mysql數(shù)據(jù)庫。后果就是在walleye上看不到任何流量變化.解決辦法是在登陸honeywall后切換到root用戶，運(yùn)行/etc/rc.d/init.d/hflow restart 重啟該服務(wù)同樣Roo 提供的sebek 是3.x 版本，該版本與2.x 版本并不兼容，因此，在安裝蜜罐時(shí)，也必須安裝sebek 3.x 客戶端。由于防火墻在記錄sebek 時(shí)以sebek 服務(wù)器的地址進(jìn)行判斷，所以建議在蜜罐的 sebek 客戶端文件 sbk_install.sh 設(shè)置sebek 的服務(wù)器IP 地址，雖

7、然沒有該IP 地址也可以工作。有時(shí)也會(huì)出現(xiàn) sebek服務(wù)器啟動(dòng)出錯(cuò)，像上面的 hflow問題一樣，運(yùn)行 /etc/rc.d/init.d/sebekd restart 重啟該服務(wù)。 開始測試：使用SecureCRT登陸到honeywall的管理口登陸正常：使用X-scan掃描主機(jī)：使用登陸WEB管理界面Walleye：首次登陸后，系統(tǒng)會(huì)要求加固密碼，必須達(dá)到以下要求：超過8位，數(shù)字，大小寫字母，特殊符號全都要有。C登陸正常，顯示剛才的掃描攻擊數(shù)據(jù)：第二部分 連接Honeywall數(shù)據(jù)庫我們的設(shè)想是從遠(yuǎn)端獲取蜜網(wǎng)網(wǎng)關(guān)截獲的數(shù)據(jù)，利用VC

8、編程實(shí)現(xiàn)預(yù)警界面，因此首先必須連接上網(wǎng)關(guān)內(nèi)的MySQL數(shù)據(jù)庫，因?yàn)閔oneywall的特殊性，這一步驟的操作與普通的數(shù)據(jù)庫連接復(fù)雜。Roo起的是safe-mysqld，只允許local訪問 你可以在roo本地登錄，并使用mysql u roo phoney登錄如果需要遠(yuǎn)程訪問mysql，則需要重新配置mysqld的配置文件，并設(shè)置特定用戶的遠(yuǎn)程位置登錄權(quán)限并確保在roo管理口的開放端口中包含3306（IPTabels防火墻會(huì)阻斷未許可的端口流量）我們現(xiàn)在添加一個(gè)可以在任何主機(jī)上登錄并擁有查詢刪除更新權(quán)限的賬號test密碼也是test，當(dāng)然這是有安全隱患的，建議選定一個(gè)較為復(fù)雜的賬號名和密碼。修

9、改sql配置文件,在honeywall命令行下執(zhí)行下面命令Cd /etc/ Vi f-將其修改成如下：添加3306端口到honeywall的允許口：Honeywall configuration -> Remote Management -> Allowed Inbound Tcp 中添加3306到這里有好多問題，還是連接不上，與honeyCN討論組的成員討論了幾天得出的結(jié)果是好像光在Honeywall configuration里添加3306端口還不夠，iptables防火墻還是會(huì)阻止。mysqladmin -u roo -p shutdown 停掉SQL進(jìn)程/etc/rc.d/

10、init.d/mysqldstart 啟動(dòng)sql進(jìn)程使用netstat -na |grep 3306指令查看3306端口是否開啟，例如：至于如何解除iptables對3306口的阻止，使用下面指令/sbin/iptables IINPUT p tcp -dport 3306 j ACCEPT另外根據(jù)討論組成員的建議，還修改了下面的內(nèi)容之前的f內(nèi)容修正為：mysqldskip-name-resolvedatadir=/var/lib/mysqlsocket=/var/lib/mysql/mysql.sockset-variable=key_buffer_size=256Mset-variable

11、=table_cache=256set-variable=sort_buffer=128Mmysql.serveruser=mysqlbasedir=/var/libmysqld_safelog-error=/var/log/mysqld.logpid-file=/var/run/mysqld/mysqld.pid對MySQL數(shù)據(jù)庫中db表進(jìn)行修改，操作如下：使用roo賬號登陸MySQLuse mysql;update user set grant_priv = 'Y' where user = 'roo' and host = 'localhost&#

12、39;flush privileges;另外需要注意的是，啟動(dòng)honeywall后可能需要重啟下mysql服務(wù)才能正常打開3306端口測試是否能連接上遠(yuǎn)端數(shù)據(jù)庫，可以使用MySQL GUI Tools 5.0測試連接：第三部分 MySQL數(shù)據(jù)的分析我們主要對其Hflow數(shù)據(jù)庫進(jìn)行操作，主要分析其中的flow表,和IDS表。Flow表記錄流量相關(guān)信息，IDS記錄入侵檢測系統(tǒng)相關(guān)數(shù)據(jù)。Flow表的表結(jié)構(gòu)為：sensor_id, flow_id, src_ip, dst_ip, src_port, dst_port, ip_proto, iface_in, marker_flags, src_sta

13、rt_sec, src_start_msec, src_end_sec, src_end_msec, src_packets, src_bytes, src_ip_flags, src_tcp_flags, src_icmp_packets, src_icmp_seen, dst_start_sec, dst_start_msec, dst_end_sec, dst_end_msec, dst_packets, dst_bytes, dst_ip_flags, dst_tcp_flags, dst_icmp_packets, dst_icmp_seen, client_os_id, serve

14、r_os_id, is_local其中src_ip, dst_ip保存的為源目的IP地址的十進(jìn)制表示，轉(zhuǎn)化為二進(jìn)制后，按每8位拆分可還原為正常的ip號IDS表的表結(jié)構(gòu)為：ids_id, sensor_id, sig_id, flow_id, sec, usec, priority, sig_rev, sig_gen, classification, type, to_be_deletedIDS_SIG表的表結(jié)構(gòu)為，該表估計(jì)用于描述IDS防御動(dòng)作ids_sig_gen, ids_sig_id, sensor_id, sig_name, reference-監(jiān)控模塊圖：與文禮的數(shù)據(jù)接口：一條基本的

15、預(yù)警信息應(yīng)該包括信息編號，檢測單元號，事件號，發(fā)生時(shí)間，源目的IP及端口號，于是設(shè)計(jì)以下八元組：Alert（alert_id, detector_id, event_id, time, source_ip, dest_ip, source_port, dest_port）create database alertinf;Use alertinf;CREATE TABLE Alert(alert_id INT UNSIGNED NOT NULL AUTO_INCREMENT,detector_id INT NOT NULL default '0',event_id INT NOT NULL default '0',source_ip INT(10) UNSIGNED NOT NULL DEFAULT '0',dest_ip INT(10) UNSIGNED NOT NULL DEFAULT '0',source_port INT NOT NULL default '0',dest_port I