“蜜罐”配置實驗

實驗23“蜜罐”配置實1.實驗?zāi)康耐ㄟ^安裝和配置“蜜罐”，了解“蜜罐”的原理，及其配置使用方法。2.實驗原理2.1“蜜罐,,技術(shù)的起源2.1“蜜罐,,技術(shù)的起源入侵檢測系統(tǒng)能夠?qū)W(wǎng)絡(luò)和系統(tǒng)的活動情況進行監(jiān)視，及時發(fā)現(xiàn)并報告異?，F(xiàn)象。但是,入侵檢測系統(tǒng)在使用中存在著難以檢測新類型黑客攻擊方法，可能漏報和誤報的問題。蜜罐使這些問題有望得到進一步的解決，通過觀察和記錄黑客在蜜罐上的活動,人們可以了解黑客的動向、黑客使用的攻擊方法等有用信息。如果將蜜罐采集的信息與IDS采集的信息聯(lián)系起來，則有可能減少IDS的漏報和誤報，并能用于進一步改進IDS的設(shè)計，增強IDS的檢測能力?！懊酃蕖钡乃枷胱钤缡怯蒀liffordStoll于1988年5月提出。該作者在跟蹤黑客的過程中，利用了一些包含虛假信息的文件作為黑客“誘餌”來檢測入侵,這就是蜜罐的基本構(gòu)想，但他并沒有提供一個專門讓黑客攻擊的系統(tǒng)。蜜罐正式出現(xiàn)是BillCheswick提到采用服務(wù)仿真和漏洞仿真技術(shù)來吸引黑客。服務(wù)仿真技術(shù)是蜜罐作為應(yīng)用層程序打開一些常用服務(wù)端口監(jiān)聽,仿效實際服務(wù)器軟件的行為響應(yīng)黑客請求。例如，提示訪問者輸入用戶名和口令,從而吸引黑客進行登錄嘗試。所謂漏洞仿真是指返回黑客的響應(yīng)信息會使黑客認為該服務(wù)器上存在某種漏洞，從而引誘黑客繼續(xù)攻擊。2.2蜜罐技術(shù)的優(yōu)點Honeypot是一個相對新的安全技術(shù)，其價值就在被檢測、攻擊，以致攻擊者的行為能夠被發(fā)現(xiàn)、分析和研究。它的概念很簡單：Honeypot沒有任何產(chǎn)品性目的，沒有授權(quán)任何人對它訪問，所以任何對Honeypot的訪問都有可能是檢測、掃描甚至是攻擊。Honeypot的檢測價值在于它的工作方式。正如前文所提到的，由于Honeypot沒有任何產(chǎn)品性功能，沒有任何授權(quán)的合法訪問，所以在任何時間來自任何地方對Honeypot的任何訪問都有可能是非法的可疑行為。Honeypot的工作方式同NIDS等其他的傳統(tǒng)檢測技術(shù)正好相反，NIDS不能解決的問題，Honeypot卻能輕易解決。Honeypot和NIDS相比較：數(shù)據(jù)量?。篐oneypot僅僅收集那些對它進行訪問的數(shù)據(jù)。在同樣的條件下，NIDS可能會記錄成千上萬的報警信息，而Honeypot卻只有幾百條。這就使得Honeypot收集信息更容易，分析起來也更為方便。減少誤報率：Honeypot能顯著減少誤報率。任何對Honeypot的訪問都是未授權(quán)的、非法的，這樣Honeypot檢測攻擊就非常有效，從而大大減少了錯誤的報警信息，甚至可以避免。這樣網(wǎng)絡(luò)安全人員就可以集中精力采取其他的安全措施。捕獲漏報Honeypot可以很容易地鑒別捕獲針對它的新的攻擊行為。由于針對Honeypot的任何操作都不是正常的，這樣就使得任何新的以前沒有見過的攻擊很容易暴露。資源最小化Honeypot所需要的資源很少，即使工作在一個大型網(wǎng)絡(luò)環(huán)境中也是如此。一個簡單的Pentium主機就可以模擬具有多個IP地址的C類網(wǎng)絡(luò)。解密無論攻擊者對連接是否加密都沒有關(guān)系，Honeypot都可以捕獲他們的行為。2.3Honeyd介紹Honeyd是一個很小巧的用于創(chuàng)建虛擬的網(wǎng)絡(luò)上的主機的后臺程序，這些虛擬主機可以配置使得它們提供任意的服務(wù)，利用個性處理可以使得這些主機顯示為在某個特定版本的操作系統(tǒng)上運行。Honeyd是GNUGeneralPublicLicense下發(fā)布的開源軟件，目前也有一些商業(yè)公司在使用這個軟件。其最初面向的是類Linux操作系統(tǒng)，可以運行在BSD系統(tǒng)，Solaris，GNU/Linux等操作系統(tǒng)上，由NielsProvos開發(fā)和維護。這里主要介紹面向類linux系統(tǒng)的Honeyd程序。Honeyd能讓一臺主機在一個模擬的局域網(wǎng)環(huán)境中配有多個地址(曾測試過的最多可以達到65536個)，外界的主機可以對虛似的主機進行ping,traceroute等網(wǎng)絡(luò)操作，虛擬主機上任何類型的服務(wù)都可以依照一個簡單的配置文件進行模擬，也可以為真實主機的服務(wù)提供代理。Honeyd可以通過提供威脅檢測與評估機制來提高計算機系統(tǒng)的安全性，也可以通過將真實系統(tǒng)隱藏在虛擬系統(tǒng)中來阻止外來的攻擊者。因為Honeyd只能進行網(wǎng)絡(luò)級的模擬，不能提供真實的交互環(huán)境，能獲取的有價值的攻擊者的信息比較有限，所以Honeyd所模擬的蜜罐系統(tǒng)常常是作為真實應(yīng)用的網(wǎng)絡(luò)中轉(zhuǎn)移攻擊者目標的設(shè)施，或者是與其他高交互的蜜罐系統(tǒng)一起部署，組成功能強大但花費又相對較少的網(wǎng)絡(luò)攻擊信息收集系統(tǒng)。3.實驗環(huán)境硬件：局域網(wǎng)內(nèi)聯(lián)網(wǎng)的兩臺主機，其中一臺為Linux操作系統(tǒng)主機用作安裝“蜜罐”。另一臺為windows主機，對蜜罐進行掃描。軟件：libdnet-1.10.tar.gz，libevent-1.1a.tar.gz，libpcap-0.9.3.tar.gz，honeyd-1.0.tar.gz（Honeyd源代碼包），honeyd_kit-1.0c-a.tar.gz（Honeyd快速安裝包），Superscan，F(xiàn)lashfxp（或其他FTP客戶端軟件）。注意：windows主機的默認網(wǎng)關(guān)要改為本機地址。而且每個學(xué)生虛擬的網(wǎng)段不要重疊，可以通過修改start-arpd和start-honeyd來實現(xiàn)。4.實驗步驟（1）手動安裝Honeyd（推薦使用快速安裝包）安裝libdnet-1.10.tar.gz，libevent-1.1a.tar.gz，libpcap-0.9.3.tar.gz三個honeyd的支持軟件。將這三個包復(fù)制到Linux根目錄下，直接解壓安裝tarxvzflibdnet-1.10.tar.gz進入libdnet-1.10目錄cd/libdnet-1.10運行./configure運彳亍make運彳亍makeinstall采用同樣步驟完成libevent-1.1a.tar.gz，libpcap-0.9.3.tar.gz，honeyd-1.0.tar.gz的安裝。檢查honeyd安裝位置whereishoneyd如果成功的話應(yīng)該如圖23.1所示：ErootP1oca1hosthoneyd-1.Bittwhereishoneydhoneyd:zetc/honeyd.confzetc/honeyd.conf~/list/loca1/bin/honeyd/usr/loca1/1ibzhoneydErootPloca1hosthoneyd-1.Bitt圖23.1顯示honeyd路徑編輯honeyd.confcreate1inux1inuxpersona1ity"LinuxZ.4.Z0Mtet1inuxdefanIttcpactionresetidd1inuxtcpport80"per1scripts/iis-0■95/iisemu18.p1^et1inuxdefauIttcpactionreset?ind19Z.168.0.4linux圖23.2honeyd配置文件第一行createlinux:建立一個模板命名為linux。第二行setlinuxpersonality“Linux2.4.20”：將蜜罐虛擬出來的主機操作系統(tǒng)定位Linux2.4.20。第三行setlinuxdefaulttcpactionreset：模擬關(guān)閉所有的TCP端口。第四行setlinuxtcpport80"perlscripts/iis-0.95/iisemul8.pl”：打開蜜罐80端口，利用iisemul8.pl虛擬出IIS服務(wù)。第六行bindlinux:用蜜罐虛擬出利用該模板的主機，IP為。經(jīng)過以上步驟，已經(jīng)成功的手動安裝了honeyd。其具體的配置和使用方法，將在下一部分針對honeyd快速安裝包詳細講解。⑵快速安裝Honeyd我們在honeyd_kit-1.0c-a.tar.gz的基礎(chǔ)上，對honeyd進行了一些修改，完善了honeyd_kit-1.0c-a.tar.gz的快速安裝包。將honeyd_kit-1.0c-a.tar.gz復(fù)制到linux根目錄下。直接解壓tarxvzfhoneyd_kit-1.0c-a.tar.gz如果以root身份登錄系統(tǒng)，則已經(jīng)可以直接運行honeydo(3)配置和運行Honeyd在快速安裝包里包括：arpdarp欺騙工具docs相關(guān)文檔honeyd已經(jīng)編譯好的honeyd執(zhí)行文件honeyd.conf修改過的honeyd配置文件honeyd.conf.simple一個功能簡單的配置文件honeyd.conf.bloat一個功能比較復(fù)雜的配置文件works一個應(yīng)用于大規(guī)模網(wǎng)絡(luò)的配置文件logs用于記錄蜜罐的連接信息nmap.printsnmap指紋識別庫nmap.assoc聯(lián)合指紋文件pf.os被動操作系統(tǒng)指紋識別庫scripts用于模擬蜜罐服務(wù)的腳本start-arpd.sh開始監(jiān)聽流量

start-honeyd.sh開始honeyd進程xprobe2.confXprobe2指紋識別庫使用vi命令打開starthoneyd.sh，看honeyd如何運行。vi/honeyd_kit-10c-a/start-honeyd.sh如圖23.3所示：ItLaunchHoneyd./honeydhijneyd.confnmap.printsxprobeZ.confnmap.asst^cpf.gs/honeyd_kit.6c-a/logs/honeyd.Ing......_圖23.3honeyd執(zhí)行腳本運彳亍honeydcd/運彳亍honeydcd/honeyd_kit-1.0c-a進入honeyd文件夾./start-arpd.sh啟動arpd,起導(dǎo)入網(wǎng)絡(luò)流量的作用，如圖23.4所示:-fhoneyd.conf加載配置文件-pnmap.prints加載nmap指紋庫-anmap.assoc加載聯(lián)合指紋庫-0pf.os加載被動操作系統(tǒng)指紋識別-xxprobe2.conf加載xprobe2指紋庫-l/honeyd_kit-1.0c-a/logs/honeyd.log指定日志文件00-53指定虛擬的蜜罐主機IP地址ErootOlocaIhost/]#cd/honeyd_kit-1.0c-aErootOlocaIhosthoneyd_kit-1.Bc-a]#./start-arpd.sh+./arpd19Z.168.1.0/Z4arpdEZ100]:1isteningonethB:arpand(dstnet19Z.168.1.0/Z4)andnotethersre00：0c：Z9：Ze：93：ec圖23.4運行arpd./start-honeyd.sh啟動honeyd,如圖23.5所示:[roots?locaIhost./start-honeyd.sh啟動honeyd,如圖23.5所示:[roots?locaIhost/I#cdzlioiiieyd_kit-1.8c-aErootf?locaIhosthoneyd_kit-1?0c-a]#./start-arpd.sh+./arpd19Z.168.1.0/Z4arpd[21351:1isteningoneth!3:arpand(dstnet192..1.0/24)andnotethersrc0S：：Z9：Ze：93：ec[root?locaIhosthoneyd_kit-1?Bc-a./start-honeyd.sh+./honeyd-fhoneyd.conf一pnmap.prints-xxpi'obeZ.conf-anmap.assL；c-Bpf.os-1/honeyd_kit-1.0c-a/logs/honeyd.lor/192.1&8.1.100-19Z.16B.1.253HoneydUl.8cCopyright(c)Z6^Z-Z004NielsProuos[uarn]epu1l_cibeate:Functionnotimplementedhoneyd[21331:starteduith-fFaoneijd.conf-pnmap.prints-xxpi*obe2.conf-anmap-Epf.os-1/honeyd_kit-1.0c-a/iogs/honeyd.log19Z.168.1.100^192.168.1.Z5.assocWarning^；ImpossibleSIrangeinClassfingerprint"IBM08/4^3Earning:Impossible81rangeinClassfingerprint"Mici'osoftUinduusMT4.0SP3”honeydEZ139]:1isteningrcp注rt67anddstport168.1.1^4/Z9ordstnet19Z.16^.i.19Z/Z7ordstnet40/33ore：33：ec^oneudstartintfasbackpromiscuouslyoneth8:(arporipproto47ar(udpands68)or(ipand(dstnet19Z..1.163/36ordstnet192.13Z.168.1.11Z/Z8ordstnetnet19Z.168.1.ZZ4/Z8ordstdstnet19Z.168.1.252/31)))19Z.168.1.1Z8/Z6ordstnetnet19Z.16^.i.Z48/Z9ordstandnotethersrc：0c：Z9：Zroundprocesscreatedefaultsetdefaultpersonality"MicrosoftWindowsXPHomeEdition"setdefaultdefaulttcpactionresetsetdefaultdefaultudpactionresetsetdefaultdefaulticmpactionopenadddefaulttcpport80"/honeyd_kit-1.0c-a/scripts/win32/win2k/iis.sh"#上面的Web服務(wù)的記錄在/honeyd_kit-1.0c-a/logs/web.logadddefaulttcpport8080"/honeyd_kit-1.0c-a/scripts/HoneyWeb-0.4/HoneyWeb-0.4.py"adddefaulttcpport21"/honeyd_kit-1.0c-a/scripts/win32/win2k/msftp.sh"#上面的ftp服務(wù)的記錄在/honeyd_kit-1.0c-a/logs/ftp.logadddefaulttcpport2121"/honeyd_kit-1.0c-a/scripts/unix/linux/ftp.sh"adddefaulttcpport23"/honeyd_kit-1.0c-a/scripts/telnet/faketelnet.pl"adddefaulttcpport110"/honeyd_kit-1.0c-a/scripts/win32/win2k/exchange-pop3.sh"adddefaulttcpport139openadddefaulttcpport137openadddefaultudpport137openadddefaultudpport135open這里我們主要要看80端口的iis.sh腳本模擬的WEBweb服務(wù)，以及21端口msftp.sh腳本模擬的FTP服務(wù)。其余設(shè)為open的端口可以被檢測到，但沒有設(shè)置腳本，所以不會提供具體服務(wù)。(4)測試honeyd運彳亍honeyd。./start-arpd.sh./start-honeyd.sh測試活動主機，IP地址由00-53(蜜罐虛擬地址)。使用Superscan掃描該網(wǎng)段，檢測主機是否活動。如圖23.6所示：SuperScan3.山查找主機名——設(shè)置——蔬口列表起始|1昵.168.1.起始|1昵.168.1.1?？赪結(jié)束.1咚168.1.253_前匚段|后匚段|疝段|17忽略IF[O]y蔥略IF底5]F從文件中讀取->|二祿度-超時-

FING

poo連接Koao讀取

4000r解析主機名W只掃描FING后有回應(yīng)的F顯示主機響應(yīng)G僅僅FINGL掃描所有列表中的端口。掃描所有在列表中選擇的端口L列表中定義L所有端口定義最快最慢.V00kV192<168.1.101hV*192.168.1.IDSJ0304kv192.168-1.105/0607LV08"5192-;168.1.109n活動竺機154開放端口圖23.6檢測活動主機測試主機開放端口。使用Superscan檢測該網(wǎng)段主機開放端口，選取00為例。如圖23.7所示:V?忽略IF[O]4.?忽略IF[355]「?從?文件中讀取活動主機開放端口保存緊箱所有展開所有刪除6使用Superscan檢測該網(wǎng)段主機開放端口，選取00為例。如圖23.7所示:V?忽略IF[O]4.?忽略IF[355]「?從?文件中讀取活動主機開放端口保存緊箱所有展開所有刪除6―曜-端口列表192.1681.100查解析r本機」界面□V192-168-1-100白21.F『G400度接r解析主機名v,具掃描FING后角回成的V顯京主機響應(yīng)廠僅僅FI1TGEooor掃描所有列表中的端口讀取4000L掃描所有在列表中選擇的蒲口C列表中定曳fF(*所有藏口定瑟』壓：008011—超時一1?掃描類型220bps_pc9MicrosoftFTPService(Version5.0)...23?80白.?,110II+0KMicrosoftExch：±rLge2000P0F3serverversion6.0.6249.0(bps~pc9.k*137】????139在瀏覽器中輸入00。服務(wù)成功則如圖23.8所示:測試蜜罐的虛擬FTP服務(wù)。運行flashfxp,登錄00。服務(wù)成功，可以看到相關(guān)登錄信息。如圖23.9所示:(5)honeyd虛擬服務(wù)腳本以上兩個虛擬出來的服務(wù)分別是由iis.sh和msftp.sh兩個腳本程序?qū)崿F(xiàn)的。我們可以看一下它們是如何工作的。1）在Linux下，使用vi打開腳本程序。vi/honeyd_kit-1.0c-a/scripts/win32/win2k/iis.sh這個腳本程序為我們提供了那個“Siteisunderheavyconstruction”頁面。在腳本程序中可以看到如下html代碼：<html><title>UnderHeavyConstruction</title><body><br><br><h1>SiteisunderHeavyConstruction</h1><b>comingsoon...<b></body></html>這就是該腳本虛擬出來的WEB頁，可以使人誤以為這里有一個IIS服務(wù)器。另外下面這段代碼指定該腳本自己的日志文件存放路徑。我們也將其設(shè)為honeyd的日志路徑：LOG="/honeyd_kit-1.0c-a/logs/web.log”2）在Linux下，使用vi打開腳本程序。vi/honeyd_kit-1.0c-a/scripts/win32/win2k/msftp.sh這個腳本程序為我們提供了FTP服務(wù)。在腳本程序中可以看到如下代碼，該代碼正是提供了我們交互信息，如圖23.10中紅框所示：echo-e"211-$HOSTMicrosoftWindowsNTFTPServerstatus:\r"echo-e"Version5.0\r”echo-e"Connectedto$HOST.$DOMAIN\r"在圖中為主機地址00echo-e"Loggedinas$PASS\r"echo-e"TYPE:$type,FORM:Nonprint;STRUcture:File;transferMODE:$mode\r"echo-e"Nodataconnection\r"echo-e"211Endofstatus.\r"⑤honeyd日志文件我們這里把honeyd的日志路徑設(shè)為/honeyd_kit-1.0c-a/logs/honeyd.log。cd/honeyd_kit-1.0c-a/logs如圖23.10所示：rootPlocaIhost/litcd/lioneyd_kit-1.3c-a/logsrootPlocaIhostlogs]#Isip.loghoneyd.logweb.lotfrootPlocaIhostlogs]tt其中ftp.log和web.log是由上面介紹的腳本程序產(chǎn)生的。honeyd的日志文件記錄了所有與蜜罐虛擬出來的主機連接的信息，包括了時間戳、協(xié)議類型、源地址、目的地址、端口號、操作系統(tǒng)類型等信息。使用vi命令查看。vihoneyd/log如圖23.11所示：：31：48.3687ndowsXPSm2005-1^-89-17:31:48.3689ndousXPSm2085-1^-89-17:31:48.3691ndousXPSPl]Z005-1S?-R9-17：31：48.3693ndousXPSPl]2005-1S-R9-17：31：4S.4676ndousXPSPl]Z005-1S-R9-17：31：48.4678ndowsXPSPl]2005-1SS-R9-17：31：48.4&G8ndousXPSPl]2085-li?-R9-l?：：31：48.3687ndowsXPSm2005-1^-89-17:31:48.3689ndousX