(擴(kuò)充)蜜罐與蜜網(wǎng)技術(shù)

蜜罐與蜜網(wǎng)技術(shù)

IntroductiontoHoneypotandHoneynet內(nèi)容概要蜜罐技術(shù)簡(jiǎn)介提出、發(fā)展歷程、概念、Honeyd、發(fā)展趨勢(shì)Gen3蜜網(wǎng)技術(shù)

蜜網(wǎng)基本原理、發(fā)展歷程、框架、技術(shù)細(xì)節(jié)、部署實(shí)例蜜罐與蜜網(wǎng)技術(shù)的應(yīng)用舉例僵尸網(wǎng)絡(luò)(Botnet)、網(wǎng)絡(luò)釣魚(yú)(Phishing)蜜罐技術(shù)概述

蜜罐技術(shù)的提出蜜罐技術(shù)基本概念、分類(lèi)及優(yōu)勢(shì)虛擬蜜罐工具－Honeyd蜜罐技術(shù)發(fā)展歷程，當(dāng)前研究熱點(diǎn)互聯(lián)網(wǎng)安全狀況安全基礎(chǔ)薄弱操作系統(tǒng)/軟件存在大量漏洞安全意識(shí)弱、缺乏安全技術(shù)能力任何主機(jī)都是攻擊目標(biāo)！DDoS、跳板攻擊需要大量僵尸主機(jī)蠕蟲(chóng)、病毒的泛濫并不再僅僅為了炫耀：Spamming,Phishing攻擊者不需要太多技術(shù)攻擊工具的不斷完善Metasploit:40+Exploits攻擊腳本和工具可以很容易得到和使用0-dayexploits:packetstorm網(wǎng)絡(luò)攻防的非對(duì)稱博弈工作量不對(duì)稱攻擊方：夜深人靜,攻其弱點(diǎn)防守方：24*7,全面防護(hù)信息不對(duì)稱攻擊方：通過(guò)網(wǎng)絡(luò)掃描、探測(cè)、踩點(diǎn)對(duì)攻擊目標(biāo)全面了解防守方：對(duì)攻擊方一無(wú)所知后果不對(duì)稱攻擊方：任務(wù)失敗，極少受到損失防守方：安全策略被破壞，利益受損蜜罐技術(shù)的提出試圖改變攻防博弈的非對(duì)稱性對(duì)攻擊者的欺騙技術(shù)－增加攻擊代價(jià)、減少對(duì)實(shí)際系統(tǒng)的安全威脅了解攻擊者所使用的攻擊工具和攻擊方法追蹤攻擊源、攻擊行為審計(jì)取證Honeypot:首次出現(xiàn)在CliffStoll的小說(shuō)“TheCuckoo’sEgg”(1990)FredCohenDTK:DeceptionToolKit(1997)AFrameworkforDeception(2001)蜜罐技術(shù)概述

蜜罐技術(shù)的提出蜜罐技術(shù)基本概念、分類(lèi)及優(yōu)勢(shì)虛擬蜜罐工具－Honeyd蜜罐技術(shù)發(fā)展歷程，當(dāng)前研究熱點(diǎn)蜜罐技術(shù)的概念“Asecurityresourcewho’svalueliesinbeingprobed,attackedorcompromised”對(duì)攻擊者的欺騙技術(shù)沒(méi)有業(yè)務(wù)上的用途，不存在區(qū)分正常流量和攻擊的問(wèn)題所有流入/流出蜜罐的流量都預(yù)示著掃描、攻擊及攻陷用以監(jiān)視、檢測(cè)和分析攻擊蜜罐的分類(lèi)交互性：攻擊者在蜜罐中活動(dòng)的交互性級(jí)別低交互型－虛擬蜜罐模擬服務(wù)和操作系統(tǒng)只能捕獲少量信息/容易部署，減少風(fēng)險(xiǎn)例:Honeyd高交互型－物理蜜罐提供真實(shí)的操作系統(tǒng)和服務(wù)，而不是模擬可以捕獲更豐富的信息/部署復(fù)雜，高安全風(fēng)險(xiǎn)例:蜜網(wǎng)虛擬機(jī)蜜罐－虛擬硬件、真實(shí)操作系統(tǒng)/網(wǎng)絡(luò)服務(wù)蜜罐技術(shù)優(yōu)勢(shì)高度保真的小數(shù)據(jù)集低誤報(bào)率低漏報(bào)率能夠捕獲新的攻擊方法及技術(shù)并不是資源密集型原理簡(jiǎn)單，貼近實(shí)際蜜罐技術(shù)概述

蜜罐技術(shù)的提出蜜罐技術(shù)基本概念、分類(lèi)及優(yōu)勢(shì)虛擬蜜罐工具－Honeyd蜜罐技術(shù)發(fā)展歷程，當(dāng)前研究熱點(diǎn)HoneydAvirtualhoneypotframeworkHoneyd1.0(Jan22,2005)byNielsProvos,GoogleInc.支持同時(shí)模擬多個(gè)IP地址主機(jī)經(jīng)過(guò)測(cè)試，最多同時(shí)支持65535個(gè)IP地址支持模擬任意的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)通過(guò)服務(wù)模擬腳本可以模擬任意TCP/UDP網(wǎng)絡(luò)服務(wù)IIS,Telnet,pop3…支持ICMP對(duì)ping和traceroutes做出響應(yīng)通過(guò)代理機(jī)制支持對(duì)真實(shí)主機(jī)、網(wǎng)絡(luò)服務(wù)的整合addwindowstcpport23proxy“5923”Honeyd監(jiān)控未使用IP地址Honeyd設(shè)計(jì)上的考慮接收網(wǎng)絡(luò)流量模擬蜜罐系統(tǒng)僅模擬網(wǎng)絡(luò)協(xié)議棧層次，而不涉及操作系統(tǒng)各個(gè)層面可以模擬任意的網(wǎng)絡(luò)拓?fù)銱oneyd宿主主機(jī)的安全性限制只能在網(wǎng)絡(luò)層面與蜜罐進(jìn)行交互捕獲網(wǎng)絡(luò)連接和攻擊企圖日志功能接收網(wǎng)絡(luò)流量Honeyd模擬的蜜罐系統(tǒng)接收相應(yīng)網(wǎng)絡(luò)流量三種方式為Honeyd模擬的虛擬主機(jī)建立路由ARP代理支持網(wǎng)絡(luò)隧道模式(GRE)Honeyd體系框架路由模塊中央數(shù)據(jù)包分發(fā)器將輸入的數(shù)據(jù)包分發(fā)到相應(yīng)的協(xié)議處理器協(xié)議處理器Service模擬腳本個(gè)性化引擎配置數(shù)據(jù)庫(kù)存儲(chǔ)網(wǎng)絡(luò)協(xié)議棧的個(gè)性化特征路由模塊Honeyd支持創(chuàng)建任意的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對(duì)路由樹(shù)的模擬配置一個(gè)路由進(jìn)入點(diǎn)可配置鏈路時(shí)延和丟包率模擬任意的路由路徑擴(kuò)展將物理主機(jī)融合入模擬的網(wǎng)絡(luò)拓?fù)渫ㄟ^(guò)GRE隧道模式支持分布式部署FTP服務(wù)模擬腳本case$incmd_nocasein

QUIT*) echo-e"221Goodbye.\r" exit0;;SYST*) echo-e"215UNIXType:L8\r" ;;HELP*) echo-e"214-Thefollowingcommandsarerecognized(*=>'sunimplemented).\r" echo-e"USERPORTSTORMSAM*RNTONLSTMKDCDUP\r" echo-e"PASSPASVAPPEMRSQ*ABORSITEXMKDXCUP\r" echo-e"ACCT*TYPEMLFL*MRCP*DELESYSTRMDSTOU\r" echo-e"SMNT*STRUMAIL*ALLOCWDSTATXRMDSIZE\r" echo-e"REIN*MODEMSND*RESTXCWDHELPPWDMDTM\r" echo-e"QUITRETRMSOM*RNFRLISTNOOPXPWD\r" echo-e"214Directcommentstoftp@$domain.\r" ;;USER*)個(gè)性化引擎為什么需要個(gè)性化引擎?不同的操作系統(tǒng)有不同的網(wǎng)絡(luò)協(xié)議棧行為攻擊者通常會(huì)運(yùn)行指紋識(shí)別工具，如Xprobe和Nmap獲得目標(biāo)系統(tǒng)的進(jìn)一步信息個(gè)性化引擎使得虛擬蜜罐看起來(lái)像真實(shí)的目標(biāo)每個(gè)由Honeyd產(chǎn)生的包都通過(guò)個(gè)性化引擎引入操作系統(tǒng)特定的指紋，讓Nmap/Xprobe進(jìn)行識(shí)別使用Nmap指紋庫(kù)作為T(mén)CP/UDP連接的參考使用Xprobe指紋庫(kù)作為ICMP包的參考日志功能Honeyd的日志功能Honeyd對(duì)任何協(xié)議創(chuàng)建網(wǎng)絡(luò)連接日志，報(bào)告試圖發(fā)起的、或完整的網(wǎng)絡(luò)連接在網(wǎng)絡(luò)協(xié)議模擬實(shí)現(xiàn)中可以進(jìn)行相關(guān)信息收集Feb1223:06:33Connectiontoclosedport:udp(:1978-01:1978)Feb1223:23:40Connectionrequest:tcp(8:3269-02:25)Feb1223:23:40Connectionestablished:tcp(8:3269-02:25)<->shscripts/smtp.shFeb1223:24:14Connectiondroppedwithreset:tcp(8:3269-02:25)Feb1223:34:53Killingattemptedconnection:tcp(27:3297-02:80)WedFeb1223:23:40UTC2003:SMTPstartedfromPortEHLOHoneyd的應(yīng)用反蠕蟲(chóng)SnipeBlaster:adddefaulttcpport4444"/bin/shscripts/strikeback.sh$ipsrc"Honeycomb–SIGCOMMpaper自動(dòng)生成NIDS檢測(cè)特征巴西蜜罐聯(lián)盟－安全監(jiān)測(cè)蜜罐技術(shù)概述

蜜罐技術(shù)的提出蜜罐技術(shù)基本概念、分類(lèi)及優(yōu)勢(shì)虛擬蜜罐工具－Honeyd蜜罐技術(shù)發(fā)展歷程，當(dāng)前研究熱點(diǎn)蜜罐技術(shù)的發(fā)展歷程蜜罐(Honeypot)物理蜜罐虛擬蜜罐工具:DTK,Honeyd專(zhuān)用蜜罐工具:mwcollect,nepenthes蜜網(wǎng)(Honeynet)TheHoneynetProjectGen1/Gen2/Gen3HoneynetResearchPurpose蜜場(chǎng)(Honeyfarm)蜜罐技術(shù)如何有效地對(duì)一個(gè)大型網(wǎng)絡(luò)提供防護(hù)功能？外/內(nèi)部安全威脅的發(fā)現(xiàn)、重定向、跟蹤蜜場(chǎng)蜜罐技術(shù)研究熱點(diǎn)虛擬蜜罐工具AHoneypotframework-Honeyd針對(duì)不同互聯(lián)網(wǎng)安全威脅惡意軟件:mwcollect,nepenthes蜜網(wǎng)體系框架數(shù)據(jù)分析與可視化－關(guān)聯(lián)分析維護(hù)過(guò)程:過(guò)程規(guī)范、工具/腳本支持蜜場(chǎng)重定向機(jī)制:網(wǎng)關(guān)重定向(Bait-n-Switch),接入網(wǎng)重定向蜜罐的偽裝性問(wèn)題:主動(dòng)式蜜罐技術(shù)客戶端蜜罐－捕獲并分析針對(duì)客戶端的安全威脅僵尸網(wǎng)絡(luò):Drone,HoneyBot針對(duì)瀏覽器的安全威脅(惡意網(wǎng)站,spyware):Honeyclient,HoneyMonkeyGen3蜜網(wǎng)技術(shù)

蜜網(wǎng)技術(shù)的基本原理和發(fā)展歷程Gen3蜜網(wǎng)技術(shù)框架及核心需求Gen3蜜網(wǎng)技術(shù)細(xì)節(jié)數(shù)據(jù)控制機(jī)制數(shù)據(jù)捕獲機(jī)制數(shù)據(jù)分析機(jī)制Gen3蜜網(wǎng)部署實(shí)例講解什么是蜜網(wǎng)技術(shù)？實(shí)質(zhì)上是一種研究型、高交互型的蜜罐技術(shù)一個(gè)體系框架包括一個(gè)或多個(gè)蜜罐多層次的數(shù)據(jù)控制機(jī)制－高度可控全面的數(shù)據(jù)捕獲機(jī)制輔助研究人員對(duì)攻擊數(shù)據(jù)進(jìn)行深入分析虛擬蜜網(wǎng)在一臺(tái)機(jī)器上部署蜜網(wǎng)的解決方案VMware&UserModeLinux優(yōu)勢(shì)減少部署成本更容易管理劣勢(shì)虛擬機(jī)的指紋－虛擬硬件的配置信息蜜網(wǎng)項(xiàng)目組非贏利性研究機(jī)構(gòu)目標(biāo)Tolearnthetools,tactics,andmotivesoftheblackhatcommunityandsharetheselessonslearned歷史1999–

非正式的郵件列表June2000–

演變?yōu)槊劬W(wǎng)項(xiàng)目組Jan.2002–

發(fā)起蜜網(wǎng)研究聯(lián)盟Dec.2002–10個(gè)活躍的聯(lián)盟成員創(chuàng)始人及主席LanceSpitzner(SunMicrosystems)蜜網(wǎng)技術(shù)的發(fā)展歷程PhaseI:1999-2001GenI蜜網(wǎng)技術(shù):概念驗(yàn)證PhaseII:2001-2003GenII蜜網(wǎng)技術(shù):初步成熟的蜜網(wǎng)技術(shù)方案PhaseIII:2003-2004HoneyWall－Eeyore:可引導(dǎo)的CDROM，集成數(shù)據(jù)控制和數(shù)據(jù)捕獲工具PhaseIV:2004-2005對(duì)分布式的蜜網(wǎng)捕獲的數(shù)據(jù)進(jìn)行收集和關(guān)聯(lián)的集中式系統(tǒng)－kangaPhaseV:2005-Gen3蜜網(wǎng)技術(shù)數(shù)據(jù)捕獲機(jī)制的改進(jìn)－argus、sebek3.0.xDataAnalysisFramework－WalleyeNewHoneyWallCDROM－RooEdBalas,IndianaUniversityGen3蜜網(wǎng)技術(shù)

蜜網(wǎng)技術(shù)的基本原理和發(fā)展歷程Gen3蜜網(wǎng)技術(shù)框架及核心需求Gen3蜜網(wǎng)技術(shù)細(xì)節(jié)數(shù)據(jù)控制機(jī)制數(shù)據(jù)捕獲機(jī)制數(shù)據(jù)分析機(jī)制Gen3蜜網(wǎng)部署實(shí)例講解蜜網(wǎng)的體系框架蜜網(wǎng)技術(shù)核心需求數(shù)據(jù)控制機(jī)制防止蜜網(wǎng)被黑客/惡意軟件利用攻擊第三方數(shù)據(jù)捕獲機(jī)制獲取黑客攻擊/惡意軟件活動(dòng)的行為數(shù)據(jù)網(wǎng)絡(luò)行為數(shù)據(jù)－網(wǎng)絡(luò)連接、網(wǎng)絡(luò)流系統(tǒng)行為數(shù)據(jù)－進(jìn)程、命令、打開(kāi)文件、發(fā)起連接數(shù)據(jù)分析機(jī)制理解捕獲的黑客攻擊/惡意軟件活動(dòng)的行為Gen3蜜網(wǎng)技術(shù)

蜜網(wǎng)技術(shù)的基本原理和發(fā)展歷程Gen3蜜網(wǎng)技術(shù)框架及核心需求Gen3蜜網(wǎng)技術(shù)細(xì)節(jié)數(shù)據(jù)控制機(jī)制數(shù)據(jù)捕獲機(jī)制數(shù)據(jù)分析機(jī)制Gen3蜜網(wǎng)部署實(shí)例講解數(shù)據(jù)控制攻擊數(shù)據(jù)包過(guò)濾Snort_inline:NIPSiptables-AFORWARD-i$LAN_IFACE-mstate--stateRELATED,ESTABLISHED-jQUEUE數(shù)據(jù)控制機(jī)制圖示IPTableseth0Snort_inlineIPTableseth1SebekHoneyWall蜜罐主機(jī)Sebek蜜罐主機(jī)SwatchIPTables日志Snort報(bào)警信息eth2管理員對(duì)攻擊者隱蔽丟棄修改無(wú)效化向外已知攻擊方法網(wǎng)絡(luò)連接數(shù)限制掃描、DoSEmail報(bào)警Gen3蜜網(wǎng)技術(shù)

蜜網(wǎng)技術(shù)的基本原理和發(fā)展歷程Gen3蜜網(wǎng)技術(shù)框架及核心需求Gen3蜜網(wǎng)技術(shù)細(xì)節(jié)數(shù)據(jù)控制機(jī)制數(shù)據(jù)捕獲機(jī)制數(shù)據(jù)分析機(jī)制Gen3蜜網(wǎng)部署實(shí)例講解數(shù)據(jù)捕獲機(jī)制快數(shù)據(jù)通道網(wǎng)絡(luò)行為數(shù)據(jù)–HoneyWall網(wǎng)絡(luò)流數(shù)據(jù):Argus入侵檢測(cè)報(bào)警:Snort操作系統(tǒng)信息:p0f系統(tǒng)行為數(shù)據(jù)–Sebek@Honeypot進(jìn)程、文件、命令、鍵擊記錄以rootkit方式監(jiān)控sys_socket,sys_open,sys_read系統(tǒng)調(diào)用網(wǎng)絡(luò)行為與系統(tǒng)行為數(shù)據(jù)之間的關(guān)聯(lián)–sys_socket慢數(shù)據(jù)通道網(wǎng)絡(luò)原始數(shù)據(jù)包–tcpdump@HoneyWall數(shù)據(jù)捕獲機(jī)制體系結(jié)構(gòu)圖Gen3蜜網(wǎng)數(shù)據(jù)模型Sebek:系統(tǒng)行為數(shù)據(jù)p0fArgus:網(wǎng)絡(luò)流數(shù)據(jù)Snort:入侵檢測(cè)報(bào)警數(shù)據(jù)捕獲機(jī)制圖示Arguseth0eth1TcpdumpSebekHoneyWall蜜罐主機(jī)Sebek蜜罐主機(jī)hflowd系統(tǒng)行為數(shù)據(jù)eth2管理員對(duì)攻擊者隱蔽Snortp0fIPTablessebekdhflowDB網(wǎng)絡(luò)連接報(bào)警OSpcap文件WalleyeGen3蜜網(wǎng)技術(shù)

蜜網(wǎng)技術(shù)的基本原理和發(fā)展歷程Gen3蜜網(wǎng)技術(shù)框架及核心需求Gen3蜜網(wǎng)技術(shù)細(xì)節(jié)數(shù)據(jù)控制機(jī)制數(shù)據(jù)捕獲機(jī)制數(shù)據(jù)分析機(jī)制Gen3蜜網(wǎng)部署實(shí)例講解數(shù)據(jù)分析－WalleyePerl語(yǔ)言編寫(xiě)的WebGUI通過(guò)DBI連接mysql數(shù)據(jù)庫(kù)mysql數(shù)據(jù)庫(kù)中的信息由hflowd.pl提交數(shù)據(jù)分析視圖Overview視圖網(wǎng)絡(luò)流視圖進(jìn)程樹(shù)視圖進(jìn)程細(xì)節(jié)信息（open_file,read_data,command…）網(wǎng)絡(luò)流信息:網(wǎng)絡(luò)流數(shù)據(jù)包解碼，snort檢測(cè)結(jié)果Pcap數(shù)據(jù)－慢通道具體細(xì)節(jié)測(cè)試案例分析Gen3蜜網(wǎng)技術(shù)

蜜網(wǎng)技術(shù)的基本原理和發(fā)展歷程Gen3蜜網(wǎng)技術(shù)框架及核心需求Gen3蜜網(wǎng)技術(shù)細(xì)節(jié)數(shù)據(jù)控制機(jī)制數(shù)據(jù)捕獲機(jī)制數(shù)據(jù)分析機(jī)制Gen3蜜網(wǎng)部署實(shí)例講解Gen3蜜網(wǎng)的部署和測(cè)試在單臺(tái)主機(jī)上部署虛擬Gen3蜜網(wǎng)Gen3蜜網(wǎng)的部署過(guò)程Gen3蜜網(wǎng)的測(cè)試參考文檔:狩獵女神項(xiàng)目組網(wǎng)站RooCDROMUserManual(中文版)Gen3虛擬蜜網(wǎng)部署和測(cè)試技術(shù)報(bào)告虛擬Gen3蜜網(wǎng)網(wǎng)絡(luò)拓?fù)涮摂MGen3蜜網(wǎng)資源需求硬件資源單臺(tái)主機(jī)－P4以上/512M以上/40G以上/2塊網(wǎng)卡軟件資源VmwareWorkstation4.2.5-8848forLinux/vmware-any-any-update93.tar.gz(bridgemodepatch)HoneywallRooCDROMLinux/Windows操作系統(tǒng)安裝盤(pán)Sebekclient3.0.xVmware的配置HoneyWall虛擬主機(jī)硬件設(shè)置Honeypot虛擬主機(jī)硬件設(shè)置安裝HoneyWall配置HoneyWall登錄不允許root直接登錄roo/honeyàsu-(root/honey)修改缺省口令配置方式配置文件:/etc/honeywall.confCommandline:hwctlInterview:menuWebGUI:walleyeWalleye的管理界面配置過(guò)程蜜網(wǎng)的相關(guān)信息蜜罐的IP地址蜜網(wǎng)IP范圍管理接口管理接口IP地址管理接口訪問(wèn)控制策略數(shù)據(jù)控制參數(shù)配置外出連接限制數(shù)snort_inline控制策略DNS訪問(wèn)配置自動(dòng)報(bào)警功能及Sebek選項(xiàng)報(bào)警Email地址Sebek數(shù)據(jù)包目的IP地址管理接口安裝Honeypot操作系統(tǒng)不同的patch策略未打任何補(bǔ)丁－捕獲所有攻擊完全補(bǔ)?。瓃ero-dayexploits未打補(bǔ)丁的操作系統(tǒng)版本Linux8.0/9.0缺省安裝WindowXPSP0開(kāi)放盡量多的網(wǎng)絡(luò)服務(wù)WWW:Apache/IISFTP:wuftpd,…/SMTP:sendmail/exchangeSQL:mysql/mssqlRPCsmb安裝Sebek3.0.x解壓tar包修改sbk_install.shDESTINATION_IP=""(MANAGEMENT_IP)DESTINATION_MAC="00:0C:29:12:86:6D"(MANAGEMENT_MAC)MAGIC_VALUE:各個(gè)Sebek一致KEYSTOKE_ONLYSOCKET_TRACKINGTESTING安裝Sebek./configure,make,./sbk_install.sh測(cè)試網(wǎng)絡(luò)連通性外網(wǎng)主機(jī)<->ping蜜罐主機(jī)管理接口ssh遠(yuǎn)程連接:確認(rèn)連接主機(jī)IP在Honeywall上設(shè)置的管理網(wǎng)段內(nèi)訪問(wèn)Walleye:https://mgmt_ip數(shù)據(jù)控制機(jī)制連接數(shù)限制(ICMP/TCP/UDP):nmap已知攻擊數(shù)據(jù)包限制:metasploit向測(cè)試主機(jī)攻擊數(shù)據(jù)捕獲機(jī)制查看Walleye是否捕獲網(wǎng)絡(luò)連接、Snort報(bào)警、pcap數(shù)據(jù)及Sebek系統(tǒng)行為數(shù)據(jù)攻擊分析實(shí)例－滲透測(cè)試工具攻擊分析實(shí)例－發(fā)起攻擊執(zhí)行指令：uname–a;whoami;cd/etc;catshadow;exit;攻擊分析實(shí)例－Email報(bào)警攻擊分析實(shí)例-WalleyeOverview視圖內(nèi)/外連接數(shù)內(nèi)/外IDS報(bào)警流量及IDS報(bào)警統(tǒng)計(jì)攻擊分析實(shí)例－Walleye網(wǎng)絡(luò)流視圖p0f操作系統(tǒng)辨識(shí)Snort報(bào)警攻擊案例分析－Exploit網(wǎng)絡(luò)流相關(guān)進(jìn)程樹(shù)視圖攻擊案例分析－Exploit網(wǎng)絡(luò)流詳細(xì)視圖攻擊案例分析－Exploit數(shù)據(jù)包解碼視圖攻擊案例分析－Exploit網(wǎng)絡(luò)流檢測(cè)結(jié)果攻擊案例分析－Exploit網(wǎng)絡(luò)流數(shù)據(jù)包攻擊案例分析－Shell進(jìn)程樹(shù)視圖攻擊案例分析－Shell進(jìn)程詳細(xì)視圖攻擊案例分析－Shell進(jìn)程readdetail視圖攻擊案例分析－Shell網(wǎng)絡(luò)流詳細(xì)視圖攻擊案例分析－Shell網(wǎng)絡(luò)流數(shù)據(jù)包解碼視圖狩獵女神項(xiàng)目組部署的蜜網(wǎng)狩獵女神項(xiàng)目組的虛擬蜜網(wǎng)蜜罐與蜜網(wǎng)技術(shù)的應(yīng)用

僵尸網(wǎng)絡(luò)(Botnet)的發(fā)現(xiàn)和跟蹤深入剖析網(wǎng)絡(luò)釣魚(yú)攻擊(Phishing)互聯(lián)網(wǎng)安全威脅分析案例黑客攻擊通過(guò)Samba服務(wù)漏洞獲得root權(quán)限、安裝后門(mén)蠕蟲(chóng)傳播高波蠕蟲(chóng):攻擊445端口LSASS漏洞、使用TFTP傳送副本，感染后繼續(xù)掃描僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)與跟蹤–NetSec2005網(wǎng)絡(luò)釣魚(yú)攻擊諸葛建偉譯,了解你的敵人:網(wǎng)絡(luò)釣魚(yú)攻擊的幕后如何發(fā)現(xiàn)僵尸網(wǎng)絡(luò)？IDS方法必須充分了解僵尸程序，提取指紋信息作為IDS檢測(cè)的特征行為監(jiān)測(cè)法僵尸程序行為模式：快速連接控制信道、長(zhǎng)時(shí)間在線發(fā)呆、…蜜罐捕獲法通過(guò)部署蜜罐對(duì)僵尸程序進(jìn)行捕獲－樣本通過(guò)對(duì)網(wǎng)絡(luò)行為進(jìn)行監(jiān)視和分析－僵尸網(wǎng)絡(luò)控制信道信息惡意軟件捕獲器mwcollect針對(duì)主動(dòng)攻擊漏洞傳播的惡意軟件(包括僵尸程序)模擬RPCDCOM、LSASS等知名漏洞對(duì)主動(dòng)攻擊漏洞惡意軟件注入的shellcode進(jìn)行分析，獲取惡意軟件傳播使用的URL通過(guò)URL獲取惡意軟件樣本其他的僵尸程序來(lái)源InternationalmwcollectAlliance共享捕獲的惡意軟件樣本資源與反病毒廠商的樣本交換PandaSoftware公開(kāi)的惡意軟件分析報(bào)告資源Sandbox.norman.no僵尸程序樣本分析任務(wù)－獲取僵尸網(wǎng)絡(luò)控制信道信息控制服務(wù)器host/port連接口令加入的頻道名/頻道口令用戶名和昵稱的結(jié)構(gòu)–CHN|xxxxx?方法沙箱:sandbox.norman.no蜜網(wǎng)在線攻擊分析技術(shù)HoneyBot僵尸網(wǎng)絡(luò)跟蹤工具HoneyClient－客戶端蜜罐技術(shù)能夠根據(jù)給定的控制信道信息連入僵尸網(wǎng)絡(luò)，并隱蔽地對(duì)僵尸網(wǎng)絡(luò)活動(dòng)進(jìn)行跟蹤和審計(jì)Honeybot原型系統(tǒng)：python+ircclientlib同時(shí)跟蹤多個(gè)僵尸網(wǎng)絡(luò)存活情況、規(guī)模、控制指令觀測(cè)Bot樣本及僵尸網(wǎng)絡(luò)數(shù)僵尸網(wǎng)絡(luò)控制服務(wù)器分布僵尸網(wǎng)絡(luò)規(guī)模分布9月份活躍僵尸網(wǎng)絡(luò)持續(xù)跟蹤結(jié)果一個(gè)典型的僵尸網(wǎng)絡(luò)規(guī)模變化情況使用mIRC進(jìn)一步跟蹤僵尸網(wǎng)絡(luò)跟蹤僵尸網(wǎng)絡(luò)的一些經(jīng)驗(yàn)相當(dāng)大比例的僵尸網(wǎng)絡(luò)生命周期較短首先使用自動(dòng)化跟蹤工具確定其存活情況、規(guī)模等信息，再進(jìn)行選擇跟蹤偽裝性昵稱和用戶名必須與其他僵尸程序一致DisableIRC協(xié)議的CTCP(ClienttoClientProtocol)功能使用SOCKS代理保證跟蹤源的隱蔽性如果被僵尸網(wǎng)絡(luò)控制者識(shí)破：DDoS互聯(lián)網(wǎng)安全威脅分析案例黑客攻擊通過(guò)Samba服務(wù)漏洞獲得root權(quán)限、安裝后門(mén)蠕蟲(chóng)傳播高波蠕蟲(chóng):攻擊445端口LSASS漏洞、使用TFTP傳送副本，感染后繼續(xù)掃描僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)與跟蹤–NetSec2005網(wǎng)絡(luò)釣魚(yú)攻擊諸葛建偉譯,了解你的敵人:網(wǎng)絡(luò)釣魚(yú)攻擊的幕后什么是網(wǎng)絡(luò)釣魚(yú)攻擊？目標(biāo)：獲取個(gè)人敏感信息用戶名、口令、帳號(hào)ID、ATMPIN碼或信用卡信息手段：釣魚(yú)攻陷主機(jī)架設(shè)釣魚(yú)網(wǎng)站－目標(biāo)：知名金融機(jī)構(gòu)及商務(wù)網(wǎng)站發(fā)送大量欺騙性垃圾郵件濫用個(gè)人敏感信息資金轉(zhuǎn)賬－經(jīng)濟(jì)利益冒用身份－犯罪目的通過(guò)攻陷的網(wǎng)站服務(wù)器釣魚(yú)攻擊者掃描網(wǎng)段，尋找有漏洞的服務(wù)器服務(wù)器被攻陷，并安裝一個(gè)rootkit或口令保護(hù)的后門(mén)工具釣魚(yú)者從加密的后門(mén)工具獲得對(duì)服務(wù)器的訪問(wèn)權(quán)下載已構(gòu)建完畢的釣魚(yú)網(wǎng)站內(nèi)容內(nèi)容配置和網(wǎng)站測(cè)試工作第一次訪問(wèn)釣魚(yú)網(wǎng)站的IP地址可能是釣魚(yú)者的真實(shí)IP地址群發(fā)電子郵件工具被下載，并用以大規(guī)模散發(fā)包含假冒釣魚(yú)網(wǎng)站信息的欺騙性垃圾郵件潛在的受害者開(kāi)始訪問(wèn)惡意的網(wǎng)頁(yè)內(nèi)容有，在4天內(nèi)有265個(gè)HTTP請(qǐng)求到達(dá)，但不是因?yàn)閺姆?wù)器發(fā)出的垃圾郵件所吸引沒(méi)有，垃圾郵件的發(fā)送和對(duì)釣魚(yú)網(wǎng)站的訪問(wèn)被阻斷受害者是否到達(dá)釣魚(yú)網(wǎng)站

從一個(gè)小量級(jí)的Email地址輸入列表進(jìn)行垃圾郵件群發(fā)的BasicPHPscript–可能僅僅是一次測(cè)試.從一個(gè)中量級(jí)Email地址輸入列表進(jìn)行垃圾郵件群發(fā)的BasicPHPscript

群發(fā)電子郵件僅測(cè)試了郵件發(fā)送，可能是給釣魚(yú)者同伙，Improvedsyntaxa