網(wǎng)絡(luò)攻防實驗環(huán)境構(gòu)建課件

1

網(wǎng)絡(luò)攻防實驗環(huán)境構(gòu)建1網(wǎng)絡(luò)攻防實驗環(huán)境構(gòu)建1內(nèi)容1.

網(wǎng)絡(luò)攻防實驗環(huán)境2.

虛擬化技術(shù)3.

蜜網(wǎng)(Honeynet)技術(shù)4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實驗環(huán)境5.

網(wǎng)絡(luò)攻防的活動與競賽形式2內(nèi)容2一些名言和典故3

"不聞不若見之，聞之不若見之，見之不若知之，知之不若行之，學至于行之而止矣，行之，明也。"——荀子《儒效篇》

"實踐出真知",“實踐是檢驗真理的唯一標準"——毛澤東《毛澤東選集》

"紙上談兵"(趙括)

"知其然，而不知其所以然"——梁啟超《論小說與群治之關(guān)系》一些名言和典故3 "不聞不若見之，聞之不若見之，見之不若知為什么需要網(wǎng)絡(luò)攻防實驗環(huán)境?4

網(wǎng)絡(luò)攻防是基礎(chǔ)知識和實踐緊密結(jié)合的技術(shù)方向

基礎(chǔ)知識:

計算機各個方面專業(yè)知識都要"略懂"

操作系統(tǒng)、網(wǎng)絡(luò)的基本結(jié)構(gòu)與底層機制

編程語言、匯編語言及軟件編譯執(zhí)行機理

密碼學與信息安全專業(yè)基礎(chǔ)

…

實踐技能:

各種網(wǎng)絡(luò)和系統(tǒng)實踐技能也要"略懂"

系統(tǒng)底層機制進行深入探究的技術(shù)能力:

網(wǎng)絡(luò)、程序…

掌握網(wǎng)絡(luò)滲透測試的實踐技能支持更好的研究和防御

掌握對攻擊的分析實踐技能了解安全威脅,支持更好的防范

掌握攻擊防御和響應技能為什么需要網(wǎng)絡(luò)攻防實驗環(huán)境?4 網(wǎng)絡(luò)攻防是基礎(chǔ)知識和實踐緊專屬的網(wǎng)絡(luò)攻防實驗環(huán)境5

學習網(wǎng)絡(luò)攻防技術(shù)需要一個實驗環(huán)境

學打籃球：你就需要籃球場

拿Internet直接作為攻防實驗學習環(huán)境

違背傳統(tǒng)黑客道德與精神

效率低下學習方式，“腳本小子”/低水平駭客

專屬的網(wǎng)絡(luò)攻防實驗環(huán)境

環(huán)境的可控性、可重復性

“我的地盤我作主”專屬的網(wǎng)絡(luò)攻防實驗環(huán)境5 學習網(wǎng)絡(luò)攻防技術(shù)需要一個實驗環(huán)境網(wǎng)絡(luò)攻防實驗環(huán)境的基本組成6

攻擊機:

發(fā)起網(wǎng)絡(luò)攻擊的主機Win32:

Windows

XPLinux:

more

powerful,

建議攻擊平臺

攻擊目標主機（靶機）Win32桌面操作系統(tǒng):

Windows

XPLinux服務器操作系統(tǒng):

Ubuntu

/

…Win32服務器操作系統(tǒng):

Win

2K3

/Win

2K

Server

攻擊檢測、分析與防御平臺

攻擊目標主機網(wǎng)關(guān)位置

網(wǎng)關(guān):

網(wǎng)絡(luò)流分析、檢測、防御

攻擊目標主機:

系統(tǒng)日志采集與分析

構(gòu)建一個基本網(wǎng)絡(luò)攻防環(huán)境，需要4-5臺主機及相關(guān)聯(lián)網(wǎng)設(shè)備

網(wǎng)絡(luò)攻防實驗環(huán)境的基本組成6 攻擊機:發(fā)起網(wǎng)絡(luò)攻擊的主機V-Net:

基于虛擬蜜網(wǎng)的攻防實驗環(huán)境7虛擬機技術(shù)

(Virtual

Machine)

通過虛擬化技術(shù)在一臺主機上構(gòu)建攻防實驗環(huán)境

降低部署成本同時提高易管理性虛擬機軟件:

VMware

Workstation/vSphere蜜網(wǎng)技術(shù)

(Honeynet)

陷阱網(wǎng)絡(luò)：誘騙和分析網(wǎng)絡(luò)攻擊

高交互式蜜罐：提供攻擊目標環(huán)境

蜜網(wǎng)網(wǎng)關(guān)/Sebek：攻擊網(wǎng)絡(luò)/系統(tǒng)行為捕獲與分析虛擬機+蜜網(wǎng)=虛擬蜜網(wǎng)

(Virtual

Honeynet)V-Net:基于虛擬蜜網(wǎng)的攻防實驗環(huán)境7虛擬機技術(shù)(Vi8基于虛擬蜜網(wǎng)的攻防實驗環(huán)境拓撲8基于虛擬蜜網(wǎng)的攻防實驗環(huán)境拓撲8內(nèi)容1.

網(wǎng)絡(luò)攻防實驗環(huán)境2.

虛擬化技術(shù)3.

蜜網(wǎng)(Honeynet)技術(shù)介紹4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實驗環(huán)境5.

網(wǎng)絡(luò)攻防的活動與競賽形式9內(nèi)容9虛擬化技術(shù)和云計算熱潮

Google

Trends：虛擬化和云計算查詢熱度趨勢比較

虛擬化技術(shù)：

21世紀以來的IT技術(shù)熱點

云計算：近年來IT領(lǐng)域最熱點的詞匯10虛擬化技術(shù)和云計算熱潮 GoogleTrends：虛擬化什么是虛擬化?11虛擬化(Virtualization)

創(chuàng)建某種事物的虛擬(非真實)版本的方法和過程.虛擬(Virtual)

通常用于區(qū)分純粹概念上的事物和擁有物理實體的事物.

計算領(lǐng)域中的虛擬化[][webopedia]

創(chuàng)建某種計算資源的虛擬版本的方法和過程.

某種事物

某種計算資源

示例:

處理器,

內(nèi)存,

磁盤,

完整的計算機,

網(wǎng)絡(luò)等什么是虛擬化?11虛擬化(Virtualization)計算機系統(tǒng)最重要的三個接口

ISA:

指令集架構(gòu)Interface

3:

系統(tǒng)ISA,OS可見,

用于管理硬件Interface

4:

用戶ISA,應用程序可見

ABI:

應用程序二進制接口Interface

2:

系統(tǒng)調(diào)用接口Interface

4:

用戶ISA

API:

應用程序編程接口Interface

1:

高級編程語言庫函數(shù)調(diào)用Interface

4:

用戶ISAFigure:

Computer

SystemArchitecture12計算機系統(tǒng)最重要的三個接口 ISA:指令集架構(gòu)Inter什么是虛擬機？13

什么是虛擬機?

機器("machine")的虛擬版本

那什么是機器"Machine"?

從一個進程的角度定義機器

一個邏輯內(nèi)存地址空間;

用戶級的指令和寄存器;

I/O

(僅通過操作系統(tǒng)系統(tǒng)調(diào)用可見)

實際上,

ABI接口定義了進程角度所看到的機器;

API接口定義了一個高級編程語言程序所看到的機器.

從操作系統(tǒng)的角度定義機器

底層硬件特性定義了機器.

ISA提供了操作系統(tǒng)和機器之間的接口.什么是虛擬機？13 什么是虛擬機?進程級虛擬機和系統(tǒng)級虛擬機

進程級虛擬機

進程級虛擬機是執(zhí)行單一進程的虛擬平臺.Java

VM,

FVM

Sandbox,etc.

系統(tǒng)級虛擬機

系統(tǒng)級虛擬機提供了支持操作系統(tǒng)和上層眾多應用進程的一個完整、持久穩(wěn)固的系統(tǒng)環(huán)境.VMware,

Qemu,

etc.

基本概念guest,

host,

runtime,VMM14進程級虛擬機和系統(tǒng)級虛擬機 進程級虛擬機142011年3月6日 網(wǎng)絡(luò)攻防技術(shù)與實踐課程

18Copyright

(c)

2008－2009

諸葛建偉系統(tǒng)級虛擬機2011年3月6日 網(wǎng)絡(luò)攻防技術(shù)與實踐課程 18系統(tǒng)級虛擬15Hosted

VS.

HypervisorHypervisor

VMHosted

VM16HostedVS.HypervisorHyperviso系統(tǒng)級虛擬機實現(xiàn)需求和目標17

系統(tǒng)級虛擬機實現(xiàn)需求

向Guest

OS提供與真實硬件相類似的硬件接口硬件接口:CPU,

Memory,

I/O

(Disk,

Network,外設(shè))

系統(tǒng)級虛擬機實現(xiàn)目標

兼容性:

具備運行歷史遺留軟件的能力

性能:

較低的虛擬化性能開銷

簡單性:

支持安全隔離

(沒有/很少安全缺陷),

可靠性(不失效)

多種不同技術(shù),

分別提供不同的設(shè)計平衡系統(tǒng)級虛擬機實現(xiàn)需求和目標17 系統(tǒng)級虛擬機實現(xiàn)需求VMware的產(chǎn)品線和技術(shù)解決方案VMwarevSphereTM18VMware的產(chǎn)品線和技術(shù)解決方案VMware1829VMware

Workstation29VMwareWorkstation19VMware虛擬機的虛擬硬件設(shè)置CPU

虛擬CPU(單核/雙核)

內(nèi)存

從宿主物理內(nèi)存分配

硬盤

宿主文件系統(tǒng)中文件

外設(shè)

網(wǎng)卡

光驅(qū)USB

聲卡

…30VMware虛擬機的虛擬硬件設(shè)置CPU3020VMware支持的虛擬網(wǎng)絡(luò)拓撲模式

VMware虛擬網(wǎng)卡支持三種基本拓撲連接橋接模式(bridged)

虛擬的透明網(wǎng)橋

虛擬機網(wǎng)卡對外可見，可直接綁定外網(wǎng)IP主機模式(host-only)

虛擬交換機

網(wǎng)絡(luò)地址轉(zhuǎn)換模式(NAT)

虛擬機不能直接連接外網(wǎng)

由宿主進行網(wǎng)絡(luò)地址轉(zhuǎn)換后訪問外網(wǎng)31橋接模式主機模式網(wǎng)絡(luò)地址轉(zhuǎn)換模式VMware支持的虛擬網(wǎng)絡(luò)拓撲模式 VMware虛擬網(wǎng)卡支21VMware的虛擬網(wǎng)絡(luò)管理VMware forWindows版本Edit

|

Virtual

Network

Settings…VMware for

Linux版本vmware-config.pl22VMware的虛擬網(wǎng)絡(luò)管理VMware for22內(nèi)容1.

網(wǎng)絡(luò)攻防實驗環(huán)境2.

虛擬化技術(shù)與云計算熱潮3.

蜜網(wǎng)(Honeynet)技術(shù)介紹4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實驗環(huán)境5.

網(wǎng)絡(luò)攻防的活動與競賽形式23內(nèi)容23蜜罐(Honeypot)技術(shù)的提出

防御方嘗試改變攻防博弈不對稱性提出的一種主動防護技術(shù)

蜜罐:

一類安全資源，其價值就在于被探測、被攻擊及被攻陷

“蜜罐公理”:無任何業(yè)務用途任何蜜罐捕獲行為都是惡意

繞過攻擊檢測“NP難”問題

蜜罐技術(shù)的提出和發(fā)展198920071990TheCuckoo’sEgg中引入蜜罐技術(shù)2005NielsProvos發(fā)布Honeyd1.02000LanceSpitzner等人 第一代創(chuàng)建蜜網(wǎng)項目組 蜜網(wǎng)技術(shù)第二代蜜網(wǎng)技術(shù)蜜網(wǎng)研究聯(lián)盟成立2001 20032005第三代蜜網(wǎng)技術(shù)20021998FredCohen發(fā)布DTK2001FredCohen發(fā)布AFrameworkforDeception2003LanceSpitzner提出蜜場技術(shù)24蜜罐(Honeypot)技術(shù)的提出 防御方嘗試改變攻防博弈蜜罐技術(shù)－如何實施誘騙？25

欺騙環(huán)境(Pot)的構(gòu)建:黑洞

VS.

模擬

VS.

真實

零交互式蜜罐:

黑洞，沒有任何響應

低交互式蜜罐－虛擬蜜罐:

模擬網(wǎng)絡(luò)拓撲、協(xié)議棧、服務(Honeyd/Nepenthes)；模擬OS

(Sandbox)

高交互式蜜罐

物理蜜罐:

完全真實的硬件、OS、應用、服務

虛擬機蜜罐:

模擬的硬件(VMWare)/真實的OS、應用、服務

部署陷阱,

誘騙攻擊者(Honey)

守株待兔:

安全漏洞－針對掃描式攻擊

酒香也怕巷子深:

散播陷阱信息,

引誘攻擊者

(GoogleHacking

Honeypot,

HoneyEmail)重定向技術(shù)

(Honeyfarm)

主動出擊:

利用爬蟲技術(shù)－客戶端蜜罐(HoneyClawer

惡意網(wǎng)站監(jiān)測)蜜罐技術(shù)－如何實施誘騙？25 欺騙環(huán)境(Pot)的構(gòu)建:蜜罐技術(shù)－誘騙之后

欺騙環(huán)境的核心功能需求

數(shù)據(jù)控制

數(shù)據(jù)捕獲

數(shù)據(jù)分析

欺騙環(huán)境的配置管理

欺騙與反欺騙的較量

欺騙環(huán)境偽裝:

環(huán)境偽裝/業(yè)務偽裝對欺騙環(huán)境的識別:

fingerprintingAnti-Honeypot,

Anti-Anti-Honeypot,

…

－

更深一層的博弈問題26蜜罐技術(shù)－誘騙之后 欺騙環(huán)境的核心功能需求26低交互式蜜罐技術(shù)27

低交互式蜜罐技術(shù)

具有與攻擊源主動交互的能力

模擬網(wǎng)絡(luò)服務響應，模擬漏洞

容易部署，容易控制攻擊

低交互式－交互級別由于模擬能力而受限，數(shù)據(jù)獲取能

力和偽裝性較弱，一般僅能捕獲已知攻擊

低交互式蜜罐工具

iSink

–

威斯康星州立大學Internet

Motion

Sensor

–

密歇根大學，ArborNetworksHoneyd

－

Google公司軟件工程師Niels

ProvosNepenthes

–

Nepenthes開發(fā)團隊商業(yè)產(chǎn)品:

KFSensor,

Specter,

HoneyPoint…低交互式蜜罐技術(shù)27 低交互式蜜罐技術(shù)高交互式蜜罐技術(shù)28

高交互式蜜罐技術(shù)

使用真實的操作系統(tǒng)、網(wǎng)絡(luò)服務與攻擊源進行交互

高度的交互等級－對未知漏洞、安全威脅具有天然的可適性，數(shù)據(jù)獲取能力、偽裝性均較強

弱勢－資源需求較大，可擴展性較弱，部署安全風險較高

虛擬機蜜罐

VS.

物理蜜罐虛擬機(Virtual

Machine)/仿真器(Emulator)技術(shù)

節(jié)省硬件資源、容易部署和控制、容易恢復、安全風險降低

高交互式蜜罐工具Honeynet

–

蜜網(wǎng)項目組

(The

Honeynet

Project)

HoneyBow

(基于高交互式蜜罐的惡意代碼捕獲器)

–

北京大學狩獵女神項目組Argos

–

荷蘭阿姆斯特丹大學

(Vrije

UniversiteitAmsterdam)

歐盟分布式蜜罐項目(NoAH)參與方高交互式蜜罐技術(shù)28 高交互式蜜罐技術(shù)蜜網(wǎng)技術(shù)的提出－從蜜罐到蜜網(wǎng)29

低交互式(虛擬)蜜罐高交互式(虛擬機/物理)蜜罐

使用真實的網(wǎng)絡(luò)拓撲，操作系統(tǒng)和應用服務

為攻擊者提供足夠的活動空間

能夠捕獲更為全面深入的攻擊信息

單點蜜罐工具蜜網(wǎng)體系框架

體系框架中可包含多個蜜罐

同時提供核心的數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析機制

構(gòu)建一個高度可控的攻擊誘騙和分析網(wǎng)絡(luò)蜜網(wǎng)技術(shù)的提出－從蜜罐到蜜網(wǎng)29低交互式(虛擬)蜜罐高蜜網(wǎng)項目組(TheHoneynet

Project)

全球非贏利性研究機構(gòu)

1999年起源于郵件組WarGames

2000-今:

19

Chapters狩獵女神項目組－China

Chapter

目標

探尋黑客界的攻擊工具、戰(zhàn)術(shù)和動機，并分享所得

著名成員創(chuàng)始人/CEO:

LanceSpitznerFyodor,

DaveDittrich,

NielsProvos,

AntonChuvakin,

Ron

Dodge

…30蜜網(wǎng)項目組(TheHoneynetProject) 全2011年3月6日網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛建偉48蜜網(wǎng)技術(shù)的發(fā)展配置Lance

Spitzner在1999年提出并實現(xiàn)?

在Linux操作系統(tǒng)上構(gòu)建?

蜜罐主機位于一個3層路由器后面?

防火墻限制往外連接?

網(wǎng)絡(luò)流抓捕工具記錄所有的數(shù)據(jù)包困難?

攻擊可以繞過防火墻?

只能抓取和監(jiān)聽明文通訊?

需要多個不同類型工具一起工作?

難以構(gòu)建、配置和部署?

運營和維護需要花費大量的時間?

沒有內(nèi)嵌的數(shù)據(jù)分析功能蜜網(wǎng)網(wǎng)關(guān)光盤?

可啟動的Linux光盤可在5分內(nèi)完成蜜網(wǎng)網(wǎng)關(guān)的安裝?

集成了數(shù)據(jù)捕獲、數(shù)據(jù)控制和數(shù)據(jù)分析的所有工具?

提供蜜網(wǎng)部署的標準化工具數(shù)據(jù)捕獲?

每個進出蜜網(wǎng)的數(shù)據(jù)包都被記錄?

IDS提供對攻擊的高層摘要視圖?

Sebek將記錄在蜜罐系統(tǒng)中的攻擊行為，上傳到蜜網(wǎng)網(wǎng)關(guān)數(shù)據(jù)控制?

由2層防火墻進行網(wǎng)絡(luò)連接數(shù)限制?

網(wǎng)絡(luò)入侵防御系統(tǒng)阻斷向外發(fā)起的攻擊數(shù)據(jù)分析?

所有捕獲的數(shù)據(jù)均可通過一個Web接口進行查看?

通過Email報警通知管理員蜜網(wǎng)中的可疑行為分布式蜜網(wǎng)?

由世界各國組織機構(gòu)部署多個蜜網(wǎng)?

通過集中點對分布式蜜網(wǎng)進行管理?

收集到的攻擊數(shù)據(jù)匯總到集中數(shù)據(jù)庫?

通過蜜網(wǎng)網(wǎng)關(guān)光盤進行實現(xiàn)和部署?

目前正在進行積極研發(fā)2005-20072007-1999-2005原理?

網(wǎng)絡(luò)流監(jiān)聽工具記錄蜜網(wǎng)中所有的網(wǎng)絡(luò)流?

對從被攻陷蜜罐發(fā)起的向外攻擊進行阻斷?

黑客認為蜜罐系統(tǒng)是業(yè)務網(wǎng)絡(luò)中的一部分?

蜜罐系統(tǒng)被黑客掃描、攻擊及攻陷?

蜜罐系統(tǒng)沒有任何業(yè)務用戶和用途?

所有在蜜網(wǎng)中的網(wǎng)絡(luò)行為都是可疑的2011年3月6日網(wǎng)絡(luò)攻防技術(shù)與實踐課程48蜜網(wǎng)技術(shù)的發(fā)展配31蜜網(wǎng)體系框架32蜜網(wǎng)體系框架32蜜網(wǎng)技術(shù)核心機制33

數(shù)據(jù)控制機制

防止蜜網(wǎng)被黑客/惡意軟件利用攻擊第三方

數(shù)據(jù)捕獲機制

獲取黑客攻擊/惡意軟件活動的行為數(shù)據(jù)

網(wǎng)絡(luò)行為數(shù)據(jù)－網(wǎng)絡(luò)連接、網(wǎng)絡(luò)流

系統(tǒng)行為數(shù)據(jù)－進程、命令、打開文件、發(fā)起連接

數(shù)據(jù)分析機制

理解捕獲的黑客攻擊/惡意軟件活動的行為

配置和管理機制

有效的配置和管理蜜網(wǎng)環(huán)境蜜網(wǎng)技術(shù)核心機制33 數(shù)據(jù)控制機制第三代蜜網(wǎng)34

第二代蜜網(wǎng)技術(shù)－2003年Eeyore光盤概念驗證性實現(xiàn)

第三代蜜網(wǎng)技術(shù)－2005年5月發(fā)布ROO蜜網(wǎng)網(wǎng)關(guān)光盤

從LiveCD到安裝光盤－更易部署和定制

基于最小化版本的Fedora

Core

3－更安全，yum自動化升級多種配置機制(hwctl,

menu,

walleye)－更容易配置

提供數(shù)據(jù)分析工具Walleye－更加易用第三代蜜網(wǎng)34 第二代蜜網(wǎng)技術(shù)－2003年Eeyore光盤數(shù)據(jù)控制35數(shù)據(jù)控制35IPTables實現(xiàn)連接數(shù)限制36

網(wǎng)絡(luò)連接數(shù)限制

對內(nèi)部發(fā)起到外部的網(wǎng)絡(luò)連接進行數(shù)量限制TCP/UDP/ICMP/other

IP/etc/init.d/rc.firewall通過IPTables進行配置實現(xiàn)RoachMotel

Mode

－

“黑店模式”

“反接”防火墻，只進不出

允許外部發(fā)起到內(nèi)部的網(wǎng)絡(luò)連接

阻斷內(nèi)部發(fā)起到外部的網(wǎng)絡(luò)連接IPTables實現(xiàn)連接數(shù)限制36網(wǎng)絡(luò)連接數(shù)限制攻擊數(shù)據(jù)包過濾Snort_inline:NIPSiptables

-A

FORWARD-i

$LAN_IFACE

-m

state

--stateRELATED,ESTABLISHED

-j

QUEUE

過濾模式：? 丟棄(Drop)：簡單丟棄攻擊數(shù)據(jù)包拒絕(Reject)：丟棄并發(fā)RST? 替換(Replace)：替換攻擊數(shù)據(jù)內(nèi)容Replace規(guī)則示例Packet

Flow37NETWORKIPTABLESIP_QUEUESNORT_INLINEIP_QUEUEIPTABLESNETWORK攻擊數(shù)據(jù)包過濾Snort_inline:NIPSiptab011年3月6日術(shù)與實踐課程數(shù)據(jù)控制機制圖示IPTableseth0Snort_inlineIPTableseth1SebekHoneyWallSebekSwatchIPTables日志Snort報警信息eth2管理員限制丟棄修改

無效化向外已知攻擊方法網(wǎng)絡(luò)連接數(shù)掃描、DoSEmail報警蜜罐主機蜜罐主機對攻擊者隱蔽38011年3月6日術(shù)與實踐課程數(shù)據(jù)控制機制圖示IPTables數(shù)據(jù)捕獲機制39

快數(shù)據(jù)通道網(wǎng)絡(luò)行為數(shù)據(jù)

–

HoneyWall

網(wǎng)絡(luò)流數(shù)據(jù):

Argus

入侵檢測報警:

Snort

操作系統(tǒng)信息:

p0f系統(tǒng)行為數(shù)據(jù)

–

Sebek@Honeypot

進程、文件、命令、鍵擊記錄以rootkit方式監(jiān)控sys_socket,

sys_open,

sys_read系統(tǒng)調(diào)用

網(wǎng)絡(luò)行為與系統(tǒng)行為數(shù)據(jù)之間的關(guān)聯(lián)

–

sys_socket

慢數(shù)據(jù)通道網(wǎng)絡(luò)原始數(shù)據(jù)包

–

tcpdump@HoneyWall數(shù)據(jù)捕獲機制39 快數(shù)據(jù)通道網(wǎng)絡(luò)行為數(shù)據(jù)40網(wǎng)絡(luò)行為數(shù)據(jù)40系統(tǒng)行為數(shù)據(jù)-SebekSebek工作原理劫持Linux系統(tǒng)調(diào)用-sys_read,

sys_open,sys_socket,

…劫持Win32核心API-ZwOpenFile,

ZwReadFile,

ZwEnumerateKey,

ZwSecureConnectPort等13個

核心APISebek版本3.2.0

for

Linux3.0.0

for

*BSD

3.0.4

for

Win32

…41系統(tǒng)行為數(shù)據(jù)-SebekSebek工作原理41Sebek的隱藏機制42Sebek

Linux

Client

采用一種Rookit隱藏機制Sebek:

可裝載內(nèi)核模塊(LKM:

loadable

kernel

module)

Cleaner:

另一內(nèi)核模塊，從內(nèi)核模塊列表中清除Sebek內(nèi)核模塊Sebek

Win32

Client

實現(xiàn)為一個系統(tǒng)內(nèi)核驅(qū)動，進行隱藏但通過遍歷PsLoadedModuleList可發(fā)現(xiàn)Sebek的隱藏機制42SebekLinuxClientSebek系統(tǒng)行為數(shù)據(jù)隱蔽上傳43Sebek系統(tǒng)行為數(shù)據(jù)隱蔽上傳43網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛建偉61數(shù)據(jù)捕獲機制體系結(jié)構(gòu)圖網(wǎng)絡(luò)攻防技術(shù)與實踐課程61數(shù)據(jù)捕獲機制體系結(jié)構(gòu)圖442011年3月6日網(wǎng)絡(luò)攻防技術(shù)與實踐課程62Gen

3

蜜網(wǎng)數(shù)據(jù)模型sensorPK

sensor_idstatenamecountry_codecommand osPK

sensor_idPK

os_idgenredetailsys_socketPK

sensor_idPK

sys_socket_idFK1 process_idFK2 argus_idcalltypeArgus:

網(wǎng)絡(luò)流數(shù)據(jù)argusPK

sensor_idPK

argus_idip_protolocalsrc_ipdst_ipsrc_portdst_portsrc_pktsdst_pktssrc_bytesdst_bytesFK1

client_os_ididsPK

sensor_idPK

ids_idFK2

ids_sig_idsig_idFK1

argus_idpriorityPK

sensor_idPK

command_idnamesys_openPK

sensor_idPKsys_open_idFK1 process_iduidfilenamesys_readPK

sensor_idPKsys_read_idFK1

process_iduidlengthdatap0fSnort:

入侵檢測報警Sebek:系統(tǒng)行為數(shù)據(jù)Copyright

(c)

2008－2009

諸葛建偉processPKPKsensor_id

process_idsrc_ippidids_sigPKPKsensor_id

ids_sig_idsig_namereferenceprocess_treePKPK,FK1PK,FK2sensor_id

child_process

parent_processprocess_to_comPKPK,FK2PK,FK1sensor_id

process_id

command_idArgus:網(wǎng)絡(luò)流數(shù)據(jù)2011年3月6日網(wǎng)絡(luò)攻防技術(shù)與實踐課程62Gen3蜜網(wǎng)452011年3月6日網(wǎng)絡(luò)攻防技術(shù)與實踐課程63數(shù)據(jù)捕獲機制圖示Arguseth0eth1TcpdumpSebekHoneyWall蜜罐主機Sebek蜜罐主機hflowd系統(tǒng)行為數(shù)據(jù)eth2管理員對攻擊者隱蔽Snortp0fIPTablessebekdhflow

DB網(wǎng)絡(luò)連接報警OSpcap文件Walleye2011年3月6日網(wǎng)絡(luò)攻防技術(shù)與實踐課程63數(shù)據(jù)捕獲機制圖示46數(shù)據(jù)分析－Walleye64Perl語言編寫的Web

GUI通過DBI連接mysql數(shù)據(jù)庫mysql數(shù)據(jù)庫中的信息由hflowd.pl提交

數(shù)據(jù)分析視圖

摘要視圖

網(wǎng)絡(luò)流視圖

進程樹視圖進程細節(jié)信息（open_file,

read_data,command…）

網(wǎng)絡(luò)流信息:

網(wǎng)絡(luò)流數(shù)據(jù)包解碼，snort檢測結(jié)果

Pcap數(shù)據(jù)－慢通道數(shù)據(jù)分析－Walleye64Perl語言編寫的WebGUI47Walleye摘要視圖內(nèi)/外連接數(shù)內(nèi)/外IDS報警流量及IDS報警統(tǒng)計65Walleye摘要視圖內(nèi)/外連接數(shù)內(nèi)/外流量及IDS報警48Walleye－網(wǎng)絡(luò)連接視圖p0f操作系Snort報警統(tǒng)辨識6Walleye－網(wǎng)絡(luò)連接視圖p0f操作系Snort統(tǒng)辨識649Walleye－網(wǎng)絡(luò)原始流視圖67Walleye－網(wǎng)絡(luò)原始流視圖6750Walleye－進程樹視圖68Walleye－進程樹視圖68511年3月6日 網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛建偉Walleye－鍵擊記錄視圖201521年3月6日 網(wǎng)絡(luò)攻防技術(shù)與實踐課程Walleye－鍵擊記錄上手實踐53安裝VMware

Workstation1)

下載并安裝VMware

Workstation軟件

2)

查看VMware的虛擬網(wǎng)卡和虛擬網(wǎng)絡(luò)設(shè)置

瀏覽honeynetproject網(wǎng)站，并閱讀網(wǎng)站上的knowyourenemy系列論文。下載虛擬機鏡像：/share/link?shareid=116501&uk=3828326324上手實踐53安裝VMwareWorkstation內(nèi)容1.

網(wǎng)絡(luò)攻防實驗環(huán)境2.

虛擬化技術(shù)3.

蜜網(wǎng)(Honeynet)技術(shù)介紹4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實驗環(huán)境5.

網(wǎng)絡(luò)攻防的活動與競賽形式54內(nèi)容54網(wǎng)絡(luò)攻防虛擬機鏡像55虛擬機鏡像名稱虛擬機鏡像類型基礎(chǔ)操作系統(tǒng)發(fā)布者LinuxMetasploitableLinux靶機Ubuntu

8.04MetasploitProjectWinXPMetasploitableWindows靶機WinXP

SP0

EnSelf-builtSEED

VMLinux攻擊機/

靶機Ubuntu

9.04SEED

ProjectBack

Track

4Linux攻擊機Ubuntu

8.10Remote ExploitTeamWinXP

AttackerWindows攻擊機WinXP

SP3

CNSelf-builtHoneyWall蜜網(wǎng)網(wǎng)關(guān)ROO

v1.4The HoneynetProject網(wǎng)絡(luò)攻防虛擬機鏡像55虛擬機鏡像名稱虛擬機鏡像類型基礎(chǔ)操作系Linux

Metasploitable56

發(fā)布時間2010.5,

Metasploit

ProjectLinux

Metasploitable基礎(chǔ)操作系統(tǒng)：Ubuntu

8.04

Server

構(gòu)建虛擬機軟件：VMware

6.5開放服務:

proftpd/openssh/telnet/bind/apache/samba/mysql/distccd/postgresWeb服務:

tomcat/tikiwiki/twikiMetasploit

Exploit:

distcc/tomcat/tikiwiki/twiki

弱口令:smb/ssh/telnet/apache/mysql/postgres/tomcat

有待進一步豐富漏洞環(huán)境LinuxMetasploitable56 發(fā)布時間Windows

Metasploitable57Win2ks_Metasploitable基礎(chǔ)操作系統(tǒng)版本：Windows

2000

Server

SP4

EN網(wǎng)絡(luò)服務:

IIS,

MSSQL,

SMB,

ServU,

…

Metasploit適用的攻擊模塊:

~150(未測試)WinXP_Metasploitable

基礎(chǔ)操作系統(tǒng)版本:

WinXP

SP2

EN客戶端軟件：IE,

Adobe,

Office,

Realplayer,baofeng,

winamp,

…

Metasploit適用的攻擊模塊:

200-300(未測試)WindowsMetasploitable57Win2ksSEED

VM58SEED

(SEcurity

EDucation)

信息安全教育實驗環(huán)境美國紐約雪城大學(Syracuse

University)的Wenliang

Du教授SEED

VM

TCP/IP協(xié)議棧攻擊；SQL注入/XSS攻擊SEEDVM58SEED(SEcurityEDucatBack

Track

459Back

Track

非常流行的滲透測試和信息安全審計的Linux發(fā)行版本基于Ubuntu

8.10

集成了二十多類幾百款安全軟件

攻擊破解之利器，蹭網(wǎng)卡附帶DVD光盤BT4軟件包集合軟件包用途BT4軟件包集合軟件包用途BackTrack-Enumeration查點工具軟件BackTrack-Bluetooth藍牙攻擊破解軟件BackTrack-Tunneling隧道工具軟件BackTrack-Sniffers網(wǎng)絡(luò)嗅探工具軟件BackTrack-Bruteforce暴力破解軟件BackTrack-VOIP網(wǎng)絡(luò)電話攻擊軟件BackTrack-Spoofing欺騙攻擊軟件BackTrack-Debuggers調(diào)試工具軟件BackTrack-Passwords口令破解軟件BackTrack-Penetration滲透測試攻擊軟件BackTrack-Wireless無線攻擊破解軟件BackTrack-Database數(shù)據(jù)庫軟件BackTrack-Discovery掃描發(fā)現(xiàn)軟件BackTrack-RFIDRFID攻擊破解軟件BackTrack-CiscoCisco攻擊軟件BackTrack-PythonPythonBackTrack-WebWeb滲透測試軟件BackTrack-Drivers驅(qū)動Applicaitons應用程序BackTrack-GPUGPU計算BackTrack-Forensics取證分析軟件BackTrack-Misc其他BackTrack-FuzzersFuzz注入測試軟件BackTrack459BackTrackBT4軟件包WinXP

Attacker虛擬機鏡像60

自制WinXP攻擊機鏡像軟件工具包類別包含軟件列表基礎(chǔ)環(huán)境配置JAVA

SDK

1.6.21、CC/G++編譯器

(MinGW)

4.5.0、Python解釋器2.7、AdobeFlash

Player

10.1、cygwin

1.7.7-1、Adobe

Reader

9.3、Perl

Strawberry

5.12.0瀏覽器軟件Firefox

3.6.9

中國版、Chrome

6.0.472.53、Opera

10.61、IE

6.0網(wǎng)絡(luò)傳輸軟件Filezilla

Server

0.9.36、Filezilla

Client

編程工具Eclipse

Classic

3.6、DEV-CPP

文本編輯器Source

Navigator

4.2、MadEdit

0.1.2

beta、WinHex

15.7

SR-3

試用版反匯編工具OllyDbg

2、IDA

Pro

5.7

demo、IDA

Pro

4.9

Free、C32asm

0.8.8、W32Dasm8.93反編譯工具JD-GUI0.3.3、dcc、boomerang

alpha

0.3.1靜態(tài)分析工具Peid

0.95、LordPE、超級巡警脫殼器

v1.3、ASpack

unpacker

v1.1、upx

3.06、fs滲透攻擊工具Metasploit

3.4.2-dev、Metasploit

2.7網(wǎng)絡(luò)掃描與嗅探Nmap

/Zenmap

5.30

beta1、Wireshark

1.4.0、Nessus

4.2.2、Xscan

3.3、Snort密碼學工具CryptoCal

1.2、PrimeGenerator

1.1、RSAtools

2、DSAtools

1.3、UltraCracking

Machine、MD5Crack

4.1監(jiān)視工具WinDump

3.9.5、Process

Explorer

12.04、Process

Monitor

2.92WinXPAttacker虛擬機鏡像60自制WinXPHoneyWall虛擬機鏡像61

HoneyWall

-

虛擬蜜網(wǎng)中最核心的功能部件The

Honeynet

Project開源發(fā)布ROO

v1.4

數(shù)據(jù)捕獲IPTables/Snort/tcpdump/Sebekd

數(shù)據(jù)控制IPTables/Snort_inline

數(shù)據(jù)分析Hflowd/walleyeHoneyWall虛擬機鏡像61 HoneyWall-個人版網(wǎng)絡(luò)攻防實驗環(huán)境宿主要求62

硬件

CPU:

P4

1.5G以上

*內(nèi)存:

1G以上，建議2G以上

硬盤:

3-4個虛擬機需20G左右空間

聯(lián)網(wǎng)（或激活）的百兆網(wǎng)卡以上

軟件Windows平臺/Linux平臺均可，個人興趣VMware

Workstation或Server版本

虛擬機

蜜網(wǎng)網(wǎng)關(guān): 虛擬CPU/256M+/8G/3虛擬網(wǎng)卡; ROO

v1.4

靶機:

虛擬CPU/128M+/4G+/1虛擬網(wǎng)卡;

Windows/Linux

攻擊機:

虛擬CPU/128M+/4G+/1虛擬網(wǎng)卡;Windows/Linux個人版網(wǎng)絡(luò)攻防實驗環(huán)境宿主要求62 硬件V-Net攻防環(huán)境使用的聯(lián)網(wǎng)方式虛擬機:蜜網(wǎng)網(wǎng)關(guān)宿主NAT模式主機模式虛擬機:靶機虛擬機:攻擊機63V-Net攻防環(huán)境使用的聯(lián)網(wǎng)方式虛擬機:宿主NAT模式主機模個人版網(wǎng)絡(luò)攻防實驗環(huán)境拓撲結(jié)構(gòu)80個人版網(wǎng)絡(luò)攻防實驗環(huán)境拓撲結(jié)構(gòu)8064個人版網(wǎng)絡(luò)攻防實驗環(huán)境中的網(wǎng)絡(luò)配置65

宿主+VMware虛擬機軟件

vmnet1

–

主機模式

vmnet8

–

NAT模式，連接宿主物理網(wǎng)卡，通過NAT后連接外網(wǎng)

虛擬機-蜜網(wǎng)網(wǎng)關(guān)

eth0(外網(wǎng)口)

–連接vmnet8:NAT模式

eth1(內(nèi)網(wǎng)口)

–連接vmnet1:

主機模式

eth0和eth1構(gòu)成一個透明網(wǎng)橋

eth2(管理口)

–連接vmnet8:NAT模式

宿主通過vmnet8的虛擬網(wǎng)卡對蜜網(wǎng)網(wǎng)關(guān)進行管理

虛擬機-靶機

eth0–

連接vmeth1:

主機模式

虛擬機-攻擊機eth0–

連接vmeth8:NAT模式個人版網(wǎng)絡(luò)攻防實驗環(huán)境中的網(wǎng)絡(luò)配置65 宿主+VMware內(nèi)容1.

網(wǎng)絡(luò)攻防實驗環(huán)境2.

虛擬化技術(shù)3.

蜜網(wǎng)(Honeynet)技術(shù)介紹4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實驗環(huán)境5.

網(wǎng)絡(luò)攻防的活動與競賽形式66內(nèi)容66黑客會議-網(wǎng)絡(luò)攻防活動集中場所67

國際上最著名的兩大黑客會議Defcon

(since

1992)Blackhat

(since1997)拉斯維加斯,

Jeff

Moss

中國最著名的黑客會議XCon

(since

2002)

北京,

8月,

安全焦點團隊主辦黑客會議-網(wǎng)絡(luò)攻防活動集中場所67國際上最著名的兩大黑客網(wǎng)絡(luò)攻防活動與競賽形式-Demo

Demo

-

“耳聽為虛、眼見為實”Barnaby

Jack

在2010年Black

Hat會議上遠程操縱ATM機瘋狂吐現(xiàn)金演示68網(wǎng)絡(luò)攻防活動與競賽形式Demo-“耳聽為虛、眼見為實網(wǎng)絡(luò)攻防活動與競賽形式-上手體驗

(Hands-on)

“紙上得來終覺淺，絕知此事要躬行”69網(wǎng)絡(luò)攻防活動與競賽形式“紙上得來終覺淺，絕知此事要躬行”網(wǎng)絡(luò)攻防活動與競賽形式-實驗

(Lab)70

計算機專業(yè)學習需要Lab

編程語言

–

編程實習,

ACM

POJ

操作系統(tǒng)

–

操作系統(tǒng)實習(Minix)

計算機網(wǎng)絡(luò)

–

網(wǎng)絡(luò)實習

…

網(wǎng)絡(luò)攻防技術(shù)

–

網(wǎng)絡(luò)攻防實驗LabSEED(SEcurityEDucation)信息安全教育實驗環(huán)境:

TCP/IP協(xié)議攻擊,

SQL/XSS攻擊網(wǎng)絡(luò)攻防活動與競賽形式70計算機專業(yè)學習需要Lab網(wǎng)絡(luò)攻防活動與競賽形式-競賽

(Contest)71

Defcon每年都會有多達幾十個不同的競賽

經(jīng)典的撬鎖(也被納入物理安全范疇)

系統(tǒng)破解Wi-Fi天線DIY

CTF奪旗競賽…

CanSecWest會議從2007年開始的Pwn2OwnCTF(Capture

the

Flag)網(wǎng)絡(luò)攻防活動與競賽形式71Defcon每年都會有多達幾十黑客會議上的奪旗賽Defcon

2008

CTF賽現(xiàn)場72黑客會議上的奪旗賽72CTF現(xiàn)場-沒有硝煙的戰(zhàn)場73CTF現(xiàn)場-沒有硝煙的戰(zhàn)場73網(wǎng)絡(luò)攻防活動與競賽形式-綿羊墻(The

Wall

of

Sheep)

起源于2002年defcon“F**ked

sheep“

引起人們對網(wǎng)絡(luò)安全的關(guān)注，用來教育人們74網(wǎng)絡(luò)攻防活動與競賽形式起源于2002年defcon74作業(yè)2-網(wǎng)絡(luò)攻防實驗環(huán)境搭建和

測試75

作業(yè)內(nèi)容:

利用虛擬蜜網(wǎng)技術(shù)進行網(wǎng)絡(luò)攻防實驗環(huán)境構(gòu)建，并進行網(wǎng)絡(luò)連通性測試與驗證

至少包括一臺攻擊機、一臺靶機、SEED虛擬機和蜜網(wǎng)網(wǎng)關(guān)

作業(yè)提交:

實驗報告，根據(jù)自己的理解和實驗經(jīng)過，詳細說明網(wǎng)絡(luò)攻防實驗環(huán)境的結(jié)構(gòu)和組成模塊；搭建和測試過程及遇到的問題；解決問題的過程、方法和收獲等提交方式:nsassignment15@126.com

作業(yè)命名：學號_姓名_作業(yè)＊＊(2011611001_張三_作業(yè)2)作業(yè)2-網(wǎng)絡(luò)攻防實驗環(huán)境搭建和測試75 作業(yè)內(nèi)容:利用Thanks76Thanks761

網(wǎng)絡(luò)攻防實驗環(huán)境構(gòu)建1網(wǎng)絡(luò)攻防實驗環(huán)境構(gòu)建77內(nèi)容1.

網(wǎng)絡(luò)攻防實驗環(huán)境2.

虛擬化技術(shù)3.

蜜網(wǎng)(Honeynet)技術(shù)4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實驗環(huán)境5.

網(wǎng)絡(luò)攻防的活動與競賽形式78內(nèi)容2一些名言和典故79

"不聞不若見之，聞之不若見之，見之不若知之，知之不若行之，學至于行之而止矣，行之，明也。"——荀子《儒效篇》

"實踐出真知",“實踐是檢驗真理的唯一標準"——毛澤東《毛澤東選集》

"紙上談兵"(趙括)

"知其然，而不知其所以然"——梁啟超《論小說與群治之關(guān)系》一些名言和典故3 "不聞不若見之，聞之不若見之，見之不若知為什么需要網(wǎng)絡(luò)攻防實驗環(huán)境?80

網(wǎng)絡(luò)攻防是基礎(chǔ)知識和實踐緊密結(jié)合的技術(shù)方向

基礎(chǔ)知識:

計算機各個方面專業(yè)知識都要"略懂"

操作系統(tǒng)、網(wǎng)絡(luò)的基本結(jié)構(gòu)與底層機制

編程語言、匯編語言及軟件編譯執(zhí)行機理

密碼學與信息安全專業(yè)基礎(chǔ)

…

實踐技能:

各種網(wǎng)絡(luò)和系統(tǒng)實踐技能也要"略懂"

系統(tǒng)底層機制進行深入探究的技術(shù)能力:

網(wǎng)絡(luò)、程序…

掌握網(wǎng)絡(luò)滲透測試的實踐技能支持更好的研究和防御

掌握對攻擊的分析實踐技能了解安全威脅,支持更好的防范

掌握攻擊防御和響應技能為什么需要網(wǎng)絡(luò)攻防實驗環(huán)境?4 網(wǎng)絡(luò)攻防是基礎(chǔ)知識和實踐緊專屬的網(wǎng)絡(luò)攻防實驗環(huán)境81

學習網(wǎng)絡(luò)攻防技術(shù)需要一個實驗環(huán)境

學打籃球：你就需要籃球場

拿Internet直接作為攻防實驗學習環(huán)境

違背傳統(tǒng)黑客道德與精神

效率低下學習方式，“腳本小子”/低水平駭客

專屬的網(wǎng)絡(luò)攻防實驗環(huán)境

環(huán)境的可控性、可重復性

“我的地盤我作主”專屬的網(wǎng)絡(luò)攻防實驗環(huán)境5 學習網(wǎng)絡(luò)攻防技術(shù)需要一個實驗環(huán)境網(wǎng)絡(luò)攻防實驗環(huán)境的基本組成82

攻擊機:

發(fā)起網(wǎng)絡(luò)攻擊的主機Win32:

Windows

XPLinux:

more

powerful,

建議攻擊平臺

攻擊目標主機（靶機）Win32桌面操作系統(tǒng):

Windows

XPLinux服務器操作系統(tǒng):

Ubuntu

/

…Win32服務器操作系統(tǒng):

Win

2K3

/Win

2K

Server

攻擊檢測、分析與防御平臺

攻擊目標主機網(wǎng)關(guān)位置

網(wǎng)關(guān):

網(wǎng)絡(luò)流分析、檢測、防御

攻擊目標主機:

系統(tǒng)日志采集與分析

構(gòu)建一個基本網(wǎng)絡(luò)攻防環(huán)境，需要4-5臺主機及相關(guān)聯(lián)網(wǎng)設(shè)備

網(wǎng)絡(luò)攻防實驗環(huán)境的基本組成6 攻擊機:發(fā)起網(wǎng)絡(luò)攻擊的主機V-Net:

基于虛擬蜜網(wǎng)的攻防實驗環(huán)境83虛擬機技術(shù)

(Virtual

Machine)

通過虛擬化技術(shù)在一臺主機上構(gòu)建攻防實驗環(huán)境

降低部署成本同時提高易管理性虛擬機軟件:

VMware

Workstation/vSphere蜜網(wǎng)技術(shù)

(Honeynet)

陷阱網(wǎng)絡(luò)：誘騙和分析網(wǎng)絡(luò)攻擊

高交互式蜜罐：提供攻擊目標環(huán)境

蜜網(wǎng)網(wǎng)關(guān)/Sebek：攻擊網(wǎng)絡(luò)/系統(tǒng)行為捕獲與分析虛擬機+蜜網(wǎng)=虛擬蜜網(wǎng)

(Virtual

Honeynet)V-Net:基于虛擬蜜網(wǎng)的攻防實驗環(huán)境7虛擬機技術(shù)(Vi8基于虛擬蜜網(wǎng)的攻防實驗環(huán)境拓撲8基于虛擬蜜網(wǎng)的攻防實驗環(huán)境拓撲84內(nèi)容1.

網(wǎng)絡(luò)攻防實驗環(huán)境2.

虛擬化技術(shù)3.

蜜網(wǎng)(Honeynet)技術(shù)介紹4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實驗環(huán)境5.

網(wǎng)絡(luò)攻防的活動與競賽形式85內(nèi)容9虛擬化技術(shù)和云計算熱潮

Google

Trends：虛擬化和云計算查詢熱度趨勢比較

虛擬化技術(shù)：

21世紀以來的IT技術(shù)熱點

云計算：近年來IT領(lǐng)域最熱點的詞匯86虛擬化技術(shù)和云計算熱潮 GoogleTrends：虛擬化什么是虛擬化?87虛擬化(Virtualization)

創(chuàng)建某種事物的虛擬(非真實)版本的方法和過程.虛擬(Virtual)

通常用于區(qū)分純粹概念上的事物和擁有物理實體的事物.

計算領(lǐng)域中的虛擬化[][webopedia]

創(chuàng)建某種計算資源的虛擬版本的方法和過程.

某種事物

某種計算資源

示例:

處理器,

內(nèi)存,

磁盤,

完整的計算機,

網(wǎng)絡(luò)等什么是虛擬化?11虛擬化(Virtualization)計算機系統(tǒng)最重要的三個接口

ISA:

指令集架構(gòu)Interface

3:

系統(tǒng)ISA,OS可見,

用于管理硬件Interface

4:

用戶ISA,應用程序可見

ABI:

應用程序二進制接口Interface

2:

系統(tǒng)調(diào)用接口Interface

4:

用戶ISA

API:

應用程序編程接口Interface

1:

高級編程語言庫函數(shù)調(diào)用Interface

4:

用戶ISAFigure:

Computer

SystemArchitecture88計算機系統(tǒng)最重要的三個接口 ISA:指令集架構(gòu)Inter什么是虛擬機？89

什么是虛擬機?

機器("machine")的虛擬版本

那什么是機器"Machine"?

從一個進程的角度定義機器

一個邏輯內(nèi)存地址空間;

用戶級的指令和寄存器;

I/O

(僅通過操作系統(tǒng)系統(tǒng)調(diào)用可見)

實際上,

ABI接口定義了進程角度所看到的機器;

API接口定義了一個高級編程語言程序所看到的機器.

從操作系統(tǒng)的角度定義機器

底層硬件特性定義了機器.

ISA提供了操作系統(tǒng)和機器之間的接口.什么是虛擬機？13 什么是虛擬機?進程級虛擬機和系統(tǒng)級虛擬機

進程級虛擬機

進程級虛擬機是執(zhí)行單一進程的虛擬平臺.Java

VM,

FVM

Sandbox,etc.

系統(tǒng)級虛擬機

系統(tǒng)級虛擬機提供了支持操作系統(tǒng)和上層眾多應用進程的一個完整、持久穩(wěn)固的系統(tǒng)環(huán)境.VMware,

Qemu,

etc.

基本概念guest,

host,

runtime,VMM90進程級虛擬機和系統(tǒng)級虛擬機 進程級虛擬機142011年3月6日 網(wǎng)絡(luò)攻防技術(shù)與實踐課程

18Copyright

(c)

2008－2009

諸葛建偉系統(tǒng)級虛擬機2011年3月6日 網(wǎng)絡(luò)攻防技術(shù)與實踐課程 18系統(tǒng)級虛擬91Hosted

VS.

HypervisorHypervisor

VMHosted

VM92HostedVS.HypervisorHyperviso系統(tǒng)級虛擬機實現(xiàn)需求和目標93

系統(tǒng)級虛擬機實現(xiàn)需求

向Guest

OS提供與真實硬件相類似的硬件接口硬件接口:CPU,

Memory,

I/O

(Disk,

Network,外設(shè))

系統(tǒng)級虛擬機實現(xiàn)目標

兼容性:

具備運行歷史遺留軟件的能力

性能:

較低的虛擬化性能開銷

簡單性:

支持安全隔離

(沒有/很少安全缺陷),

可靠性(不失效)

多種不同技術(shù),

分別提供不同的設(shè)計平衡系統(tǒng)級虛擬機實現(xiàn)需求和目標17 系統(tǒng)級虛擬機實現(xiàn)需求VMware的產(chǎn)品線和技術(shù)解決方案VMwarevSphereTM94VMware的產(chǎn)品線和技術(shù)解決方案VMware1829VMware

Workstation29VMwareWorkstation95VMware虛擬機的虛擬硬件設(shè)置CPU

虛擬CPU(單核/雙核)

內(nèi)存

從宿主物理內(nèi)存分配

硬盤

宿主文件系統(tǒng)中文件

外設(shè)

網(wǎng)卡

光驅(qū)USB

聲卡

…30VMware虛擬機的虛擬硬件設(shè)置CPU3096VMware支持的虛擬網(wǎng)絡(luò)拓撲模式

VMware虛擬網(wǎng)卡支持三種基本拓撲連接橋接模式(bridged)

虛擬的透明網(wǎng)橋

虛擬機網(wǎng)卡對外可見，可直接綁定外網(wǎng)IP主機模式(host-only)

虛擬交換機

網(wǎng)絡(luò)地址轉(zhuǎn)換模式(NAT)

虛擬機不能直接連接外網(wǎng)

由宿主進行網(wǎng)絡(luò)地址轉(zhuǎn)換后訪問外網(wǎng)31橋接模式主機模式網(wǎng)絡(luò)地址轉(zhuǎn)換模式VMware支持的虛擬網(wǎng)絡(luò)拓撲模式 VMware虛擬網(wǎng)卡支97VMware的虛擬網(wǎng)絡(luò)管理VMware forWindows版本Edit

|

Virtual

Network

Settings…VMware for

Linux版本vmware-config.pl98VMware的虛擬網(wǎng)絡(luò)管理VMware for22內(nèi)容1.

網(wǎng)絡(luò)攻防實驗環(huán)境2.

虛擬化技術(shù)與云計算熱潮3.

蜜網(wǎng)(Honeynet)技術(shù)介紹4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實驗環(huán)境5.

網(wǎng)絡(luò)攻防的活動與競賽形式99內(nèi)容23蜜罐(Honeypot)技術(shù)的提出

防御方嘗試改變攻防博弈不對稱性提出的一種主動防護技術(shù)

蜜罐:

一類安全資源，其價值就在于被探測、被攻擊及被攻陷

“蜜罐公理”:無任何業(yè)務用途任何蜜罐捕獲行為都是惡意

繞過攻擊檢測“NP難”問題