L003007006-蜜罐實(shí)驗(yàn)-利用蜜罐捕捉攻擊實(shí)驗(yàn)

1、課程編寫(xiě)內(nèi)容蜜罐實(shí)驗(yàn)-利用蜜罐捕捉攻擊實(shí)驗(yàn)了解系統(tǒng)蜜罐的基本原理虛擬PC)WindowsXP操作系統(tǒng)Defnet蜜罐工具蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷。所有流入/流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示陷。蜜罐的核心價(jià)值就在于對(duì)這些攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析。蜜罐可以按照其部署目的區(qū)分為產(chǎn)蜜罐兩類，研究型蜜罐專門(mén)用于對(duì)黑客攻擊的捕獲和分析，通過(guò)部署研究型蜜罐，研究人員可以對(duì)黑客析，捕獲黑客的鍵擊記錄，了解到黑客所使用的攻擊工具及攻擊方法，甚至能夠監(jiān)聽(tīng)到黑客之間的交心理狀態(tài)等信息。研究型蜜罐需要研究人員投入大量的時(shí)間和精力進(jìn)行攻擊監(jiān)視和分析工作。而產(chǎn)品型一個(gè)組織的網(wǎng)絡(luò)提供安全保護(hù)，包括檢

2、測(cè)攻擊、防止攻擊造成破壞及幫助管理員對(duì)攻擊做出及時(shí)正確的產(chǎn)品型蜜罐較容易部署，而且不需要管理員投入大量的工作。蜜罐也可以按照其交互度的等級(jí)劃分為低蜜罐，高交互蜜罐提供完全真實(shí)的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，沒(méi)有任何的模擬，從黑客角度上看，高交互久的“活靶子”，因此在高交互蜜罐中，我們能夠獲得許多黑客攻擊的信息。高交互蜜罐在提升黑客活;然地加大了部署和維護(hù)的復(fù)雜度及風(fēng)險(xiǎn)的擴(kuò)大。交互度反應(yīng)了黑客在蜜罐上進(jìn)行攻擊活動(dòng)的自由度。低模擬操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，較容易部署且風(fēng)險(xiǎn)較小，但黑客在低交互蜜罐中能夠進(jìn)行的攻擊活動(dòng)較為有互蜜罐能夠收集的信息也比較有限。產(chǎn)品型蜜罐一般屬于低交互蜜罐。蜜罐還可以按照其實(shí)現(xiàn)方法區(qū)分蜜罐

3、。物理蜜罐是真實(shí)的網(wǎng)絡(luò)上存在的主機(jī)，運(yùn)行著真實(shí)的操作系統(tǒng)，提供真實(shí)的服務(wù)，擁有自己的則是由一臺(tái)機(jī)器模擬的，這臺(tái)機(jī)器會(huì)響應(yīng)發(fā)送到虛擬蜜罐的網(wǎng)絡(luò)數(shù)據(jù)流，提供模擬的網(wǎng)絡(luò)服務(wù)等。Defnet是一款著名的“蜜罐”虛擬系統(tǒng)，它會(huì)虛擬一臺(tái)有“缺陷”的服務(wù)器，等著惡意攻擊者上鉤。利用該統(tǒng)和真正的系統(tǒng)看起來(lái)沒(méi)有什么區(qū)別，但它是為惡意攻擊者布置的陷阱。通過(guò)它可以看到攻擊者都執(zhí)彳了哪些操作，使用了哪些惡意攻擊工具。通過(guò)陷阱的記錄，可以了解攻擊者的習(xí)慣，掌握足夠的攻擊者。遠(yuǎn)程telnet連接服務(wù)器利用Defnet設(shè)置蜜罐并進(jìn)行監(jiān)視1、學(xué)生單擊“開(kāi)打控制臺(tái)”按鈕打開(kāi)xpOl，輸入密碼123456，進(jìn)入VPC1虛擬機(jī)。L

4、0(f3007ft06xp01J打幵控制臺(tái)2、在D:toolsBUPT3108B中找到defnet.exe程序運(yùn)行DefnetHoneyPot,在DefnetHoneyPot的程序主“HoneyPot按鈕，彈出設(shè)置對(duì)話框，在設(shè)置對(duì)話框中，可以虛擬Web、FTP、SMTP、Finger、POP3和提供的服務(wù)，如下圖所示。*BUPT3108B._QlXA6J文件聞編輯(E)查看加收赫曲工具幫助00后退”Q由工搜索臣文件夾3IP地址)D:t0ol5BUFT31O8BVE轉(zhuǎn)到/IdetnetIDefnetHonej.otIDetnetSysterns立件和立件夾任務(wù)n創(chuàng)建1亍新文件夾曰將這平文件夾發(fā)布

5、到nWeb韻共享此文件夾其它逍置toolz我的文檔共享文檔我的電腦網(wǎng)上鄰居DEFNETHoneypo12004Demohttp:7/www.defnetcom.brr-.McnitcringSteppedTindovs安全獸報(bào)McnitcreStopG翥蟹護(hù)陵火s止T部您坦保持陰止毗程序嗎？名稱（N）：Den皀tHoneypot發(fā)行者CP）：BefnetSystems其它位置tools我的文襠共享文檔我的電腦網(wǎng)上鄰居詳細(xì)信息0已胡豈保持阻止(K)II解聆:陰止(U)|稍后詢問(wèn)如瞬觀翻蜒驕蠢懿果您開(kāi)始二耀缶BUPT3108B丙DEFNETHoneypot學(xué)Windows安全晉報(bào)ESrivis1苗述：DefnetHoneypot公司：DefnetSystems文件版本：創(chuàng)建曰期：2013-4-2313:06大?。?43KB我的電胞MBUPT3108B共貳橫的冃TrapF:le：SAATPPortisetup.ewe文件編輯查看（V收藏曲工具幫助（KJ地址DEFNETHonejjpqt2004Demo-http:.brBarr.er32od.exehicrosoftWindowsXP版本版權(quán)所有1985-2001MicrosoftCorp.I