技术培训-蜜罐与蜜网技术介绍.ppt

《技术培训-蜜罐与蜜网技术介绍.ppt》由会员分享，可在线阅读，更多相关《技术培训-蜜罐与蜜网技术介绍.ppt（106页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、蜜罐与蜜网技术Introduction to Honeypot and Honeynet诸葛建伟诸葛建伟狩猎女神项目组狩猎女神项目组The Artemis ProjectThe Artemis Project2021/9/272021/9/271 1内容概要n n狩猎女神项目组n n蜜罐技术简介提出、发展历程、概念、提出、发展历程、概念、HoneydHoneyd、发展趋势、发展趋势n nGen 3蜜网技术 蜜网基本原理、发展历程、框架、技术细节、蜜网基本原理、发展历程、框架、技术细节、部署实例部署实例n n蜜罐与蜜网技术的应用举例僵尸网络僵尸网络(BotnetBotnet)、网络钓鱼、网络钓鱼

2、(PhishingPhishing)狩猎女神项目组The Artemis ProjectThe Artemis Project2021/9/272021/9/273 3项目组简介n n蜜罐和蜜网技术研究组蜜罐和蜜网技术研究组 北京大学计算机研究所信息安全工程研究中心北京大学计算机研究所信息安全工程研究中心n nHoneynet Research AllianceHoneynet Research Alliance中国唯一团队中国唯一团队-Chinese Honeynet ProjectChinese Honeynet Projectn n项目组网站项目组网站: Status report,St

3、atus report,学术论文学术论文,杂志文章杂志文章,技术报告技术报告,技术技术讲座讲座 Know Your Enemy White PapersKnow Your Enemy White Papers中文版中文版n n项目组邮件列表项目组邮件列表:n nHoneynetCNHoneynetCN邮件组邮件组: n蜜网维护及攻击案例分析蜜网维护及攻击案例分析 结合第三代蜜网技术、结合第三代蜜网技术、honeydhoneyd虚拟蜜罐工具、虚拟蜜罐工具、mwcollect/mwcollect/nepenthes nepenthes 恶意软件自动捕获工具恶意软件自动捕获工具“利用蜜网技术深入剖析

4、互联网安全威胁利用蜜网技术深入剖析互联网安全威胁”-2005”-2005年全国计算机年全国计算机大会大会 Gen 2/Gen 3Gen 2/Gen 3虚拟蜜网部署与测试技术报告虚拟蜜网部署与测试技术报告“最新蜜罐与蜜网技术及应用最新蜜罐与蜜网技术及应用”-”-电脑安全专家电脑安全专家20052005年年7 7月刊月刊非常话题专栏非常话题专栏4 4篇文章篇文章n n恶意软件的捕获与分析恶意软件的捕获与分析 重点针对僵尸网络重点针对僵尸网络“僵尸网络的发现与跟踪僵尸网络的发现与跟踪”NetSec 2005NetSec 2005n n蜜网数据分析与可视化研究蜜网数据分析与可视化研究 网络环境感知工具

5、网络环境感知工具N-Eye(Open Source)N-Eye(Open Source)攻击数据统计分析与可视化工具攻击数据统计分析与可视化工具 基于数据融合框架的网络攻击关联分析技术研究基于数据融合框架的网络攻击关联分析技术研究演讲者介绍n n诸葛建伟诸葛建伟 北京大学计算机科学技术研究所博士研究生北京大学计算机科学技术研究所博士研究生 狩猎女神项目组发起人及技术负责人狩猎女神项目组发起人及技术负责人 研究方向：蜜罐与蜜网技术，入侵检测研究方向：蜜罐与蜜网技术，入侵检测/关联分析，网关联分析，网络攻防知识建模，恶意软件分析及防范技术络攻防知识建模，恶意软件分析及防范技术 博士论文方向：基于数

6、据融合框架的网络攻击关联分博士论文方向：基于数据融合框架的网络攻击关联分析技术研究析技术研究 20042004年微软学者，年微软学者，20052005年年IBM Ph.D.FellowshipIBM Ph.D.Fellowship Email:Email:提问规则n n讲座共分为三节n n每节中间休息10分钟仅限对讲解内容相关的问题仅限对讲解内容相关的问题对问题不感兴趣的可自由活动对问题不感兴趣的可自由活动n n讲座结束后留充分时间问答欢迎任何问题欢迎任何问题欢迎加入欢迎加入HoneynetCNHoneynetCN邮件组讨论邮件组讨论蜜罐技术概述n n蜜罐技术的提出蜜罐技术的提出n n蜜罐技术

7、基本概念、分类及优势蜜罐技术基本概念、分类及优势n n虚拟蜜罐工具虚拟蜜罐工具HoneydHoneydn n蜜罐技术发展历程，当前研究热点蜜罐技术发展历程，当前研究热点2021/9/272021/9/278 8互联网安全状况n n安全基础薄弱安全基础薄弱 操作系统操作系统/软件存在大量漏洞软件存在大量漏洞 安全意识弱、缺乏安全技术能力安全意识弱、缺乏安全技术能力n n任何主机都是攻击目标！任何主机都是攻击目标！DDoSDDoS、跳板攻击需要大量僵尸主机、跳板攻击需要大量僵尸主机 蠕虫、病毒的泛滥蠕虫、病毒的泛滥 并不再仅仅为了炫耀：并不再仅仅为了炫耀：Spamming,PhishingSpam

8、ming,Phishingn n攻击者不需要太多技术攻击者不需要太多技术 攻击工具的不断完善攻击工具的不断完善n nMetasploit:40+ExploitsMetasploit:40+Exploits 攻击脚本和工具可以很容易得到和使用攻击脚本和工具可以很容易得到和使用n n0-day exploits:packetstorm0-day exploits:packetstorm网络攻防的非对称博弈n n工作量不对称工作量不对称 攻击方：夜深人静攻击方：夜深人静,攻其弱点攻其弱点 防守方：防守方：24*7,24*7,全面防护全面防护n n信息不对称信息不对称 攻击方：通过网络扫描、探测、踩点

9、对攻击目标全面攻击方：通过网络扫描、探测、踩点对攻击目标全面了解了解 防守方：对攻击方一无所知防守方：对攻击方一无所知n n后果不对称后果不对称 攻击方：任务失败，极少受到损失攻击方：任务失败，极少受到损失 防守方：安全策略被破坏，利益受损防守方：安全策略被破坏，利益受损蜜罐技术的提出n n试图改变攻防博弈的非对称性对攻击者的欺骗技术增加攻击代价、减少对对攻击者的欺骗技术增加攻击代价、减少对实际系统的安全威胁实际系统的安全威胁了解攻击者所使用的攻击工具和攻击方法了解攻击者所使用的攻击工具和攻击方法追踪攻击源、攻击行为审计取证追踪攻击源、攻击行为审计取证n nHoneypot:Honeypot:

10、首次出现在首次出现在Cliff StollCliff Stoll的小说的小说“The“The Cuckoos Egg”(1990)Cuckoos Egg”(1990)n nFred CohenDTK:Deception Tool Kit(1997)DTK:Deception Tool Kit(1997)A Framework for Deception(2001)A Framework for Deception(2001)蜜罐技术概述n n蜜罐技术的提出蜜罐技术的提出n n蜜罐技术基本概念、分类及优势蜜罐技术基本概念、分类及优势n n虚拟蜜罐工具虚拟蜜罐工具HoneydHoneydn n蜜罐

11、技术发展历程，当前研究热点蜜罐技术发展历程，当前研究热点2021/9/272021/9/271212蜜罐技术的概念n n“A security resource whos value lies in“A security resource whos value lies in being probed,attacked or being probed,attacked or compromisedcompromised”n n对攻击者的欺骗技术对攻击者的欺骗技术n n没有业务上的用途，不存在区分正常流量和攻击没有业务上的用途，不存在区分正常流量和攻击的问题的问题n n所有流入所有流入/流出蜜罐

12、的流量都预示着扫描、攻击及流出蜜罐的流量都预示着扫描、攻击及攻陷攻陷n n用以监视、检测和分析攻击用以监视、检测和分析攻击蜜罐的分类n n交互性：攻击者在蜜罐中活动的交互性级别交互性：攻击者在蜜罐中活动的交互性级别n n低交互型虚拟蜜罐低交互型虚拟蜜罐 模拟服务和操作系统模拟服务和操作系统 只能捕获少量信息只能捕获少量信息/容易部署，减少风险容易部署，减少风险 例例:Honeyd:Honeydn n高交互型物理蜜罐高交互型物理蜜罐 提供真实的操作系统和服务，而不是模拟提供真实的操作系统和服务，而不是模拟 可以捕获更丰富的信息可以捕获更丰富的信息/部署复杂，高安全风险部署复杂，高安全风险 例例:

13、蜜网蜜网n n虚拟机蜜罐虚拟硬件、真实操作系统虚拟机蜜罐虚拟硬件、真实操作系统/网络服务网络服务蜜罐技术优势n n高度保真的小数据集低误报率低误报率低漏报率低漏报率n n能够捕获新的攻击方法及技术n n并不是资源密集型n n原理简单，贴近实际蜜罐技术概述n n蜜罐技术的提出蜜罐技术的提出n n蜜罐技术基本概念、分类及优势蜜罐技术基本概念、分类及优势n n虚拟蜜罐工具虚拟蜜罐工具HoneydHoneydn n蜜罐技术发展历程，当前研究热点蜜罐技术发展历程，当前研究热点2021/9/272021/9/271616Honeydn nA virtual honeypot frameworkA virt

14、ual honeypot framework Honeyd 1.0(Jan 22,2005)by Niels Provos,Honeyd 1.0(Jan 22,2005)by Niels Provos,Google Inc.Google Inc.n n支持同时模拟多个支持同时模拟多个IPIP地址主机地址主机 经过测试，最多同时支持经过测试，最多同时支持6553565535个个IPIP地址地址 支持模拟任意的网络拓扑结构支持模拟任意的网络拓扑结构n n通过服务模拟脚本可以模拟任意通过服务模拟脚本可以模拟任意TCP/UDPTCP/UDP网络服务网络服务 IIS,Telnet,pop3IIS,Tel

15、net,pop3n n支持支持ICMPICMP 对对pingping和和traceroutestraceroutes做出响应做出响应n n通过代理机制支持对真实主机、网络服务的整合通过代理机制支持对真实主机、网络服务的整合 add windows tcp port 23 proxy add windows tcp port 23 proxy“162.105.204.159 23162.105.204.159 23”Honeyd监控未使用IP地址Honeyd设计上的考虑n n接收网络流量n n模拟蜜罐系统仅模拟网络协议栈层次，而不涉及操作系统各仅模拟网络协议栈层次，而不涉及操作系统各个层面个层面

16、可以模拟任意的网络拓扑可以模拟任意的网络拓扑n nHoneyd宿主主机的安全性限制只能在网络层面与蜜罐进行交互限制只能在网络层面与蜜罐进行交互n n捕获网络连接和攻击企图日志功能日志功能接收网络流量n nHoneydHoneyd模拟的蜜罐系模拟的蜜罐系统接收相应网络流量三统接收相应网络流量三种方式种方式 为为HoneydHoneyd模拟的虚拟主模拟的虚拟主机建立路由机建立路由 ARPARP代理代理 支持网络隧道模式支持网络隧道模式(GRE)(GRE)Honeyd体系框架n n路由模块路由模块n n中央数据包分发器中央数据包分发器 将输入的数据包分发到相应的协将输入的数据包分发到相应的协议处理器

17、议处理器n n协议处理器协议处理器 ServiceService模拟脚本模拟脚本n n个性化引擎个性化引擎n n配置数据库配置数据库 存储网络协议栈的个性化特征存储网络协议栈的个性化特征路由模块n nHoneydHoneyd支持创建任意的网络拓扑结构支持创建任意的网络拓扑结构对路由树的模拟对路由树的模拟n n配置一个路由进入点配置一个路由进入点n n可配置链路时延和丢包率可配置链路时延和丢包率n n模拟任意的路由路径模拟任意的路由路径扩展扩展n n将物理主机融合入模拟的网络拓扑将物理主机融合入模拟的网络拓扑n n通过通过GREGRE隧道模式支持分布式部署隧道模式支持分布式部署FTP服务模拟脚本

18、case$incmd_nocase in QUIT*)echo-e 221 Goodbye.rexit 0;SYST*)echo-e 215 UNIX Type:L8r;HELP*)echo-e 214-The following commands are recognized(*=s unimplemented).recho-e USER PORT STOR MSAM*RNTO NLST MKD CDUPrecho-e PASS PASV APPE MRSQ*ABOR SITE XMKD XCUPrecho-e ACCT*TYPE MLFL*MRCP*DELE SYST RMD STOUre

19、cho-e SMNT*STRU MAIL*ALLO CWD STAT XRMD SIZErecho-e REIN*MODE MSND*REST XCWD HELP PWD MDTMrecho-e QUIT RETR MSOM*RNFR LIST NOOP XPWDrecho-e 214 Direct comments to ftp$domain.r;USER*)个性化引擎n n为什么需要个性化引擎?不同的操作系统有不同的网络协议栈行为不同的操作系统有不同的网络协议栈行为攻击者通常会运行指纹识别工具，如攻击者通常会运行指纹识别工具，如XprobeXprobe和和NmapNmap获得目标系统的进一

20、步信息获得目标系统的进一步信息个性化引擎使得虚拟蜜罐看起来像真实的目标个性化引擎使得虚拟蜜罐看起来像真实的目标n n每个由Honeyd产生的包都通过个性化引擎引入操作系统特定的指纹，让引入操作系统特定的指纹，让Nmap/XprobeNmap/Xprobe进行识别进行识别使用使用NmapNmap指纹库作为指纹库作为TCP/UDPTCP/UDP连接的参考连接的参考使用使用XprobeXprobe指纹库作为指纹库作为ICMPICMP包的参考包的参考日志功能n nHoneyd的日志功能HoneydHoneyd对任何协议创建网络连接日志，报告对任何协议创建网络连接日志，报告试图发起的、或完整的网络连接试

21、图发起的、或完整的网络连接在网络协议模拟实现中可以进行相关信息收集在网络协议模拟实现中可以进行相关信息收集Feb 12 23:06:33 Connection to closed port:udp(210.35.128.1:1978-172.16.85.101:1978)Feb 12 23:23:40 Connection request:tcp(66.136.92.78:3269-172.16.85.102:25)Feb 12 23:23:40 Connection established:tcp(66.136.92.78:3269-172.16.85.102:25)sh scripts/s

22、mtp.shFeb 12 23:24:14 Connection dropped with reset:tcp(66.136.92.78:3269-172.16.85.102:25)Feb 12 23:34:53 Killing attempted connection:tcp(216.237.78.227:3297-172.16.85.102:80)Wed Feb 12 23:23:40 UTC 2003:SMTP started from Port EHLO Honeyd的应用n n反蠕虫Snipe Blaster:add default tcp port 4444 Snipe Blast

23、er:add default tcp port 4444/bin/sh scripts/strikeback.sh$ipsrc/bin/sh scripts/strikeback.sh$ipsrcn nHoneycomb SIGCOMM paper自动生成自动生成NIDSNIDS检测特征检测特征n n巴西蜜罐联盟安全监测蜜罐技术概述n n蜜罐技术的提出蜜罐技术的提出n n蜜罐技术基本概念、分类及优势蜜罐技术基本概念、分类及优势n n虚拟蜜罐工具虚拟蜜罐工具HoneydHoneydn n蜜罐技术发展历程，当前研究热点蜜罐技术发展历程，当前研究热点2021/9/272021/9/272727蜜罐技

24、术的发展历程n n蜜罐蜜罐(Honeypot)(Honeypot)物理蜜罐物理蜜罐 虚拟蜜罐工具虚拟蜜罐工具:DTK,Honeyd:DTK,Honeyd 专用蜜罐工具专用蜜罐工具:mwcollect,nepenthes:mwcollect,nepenthesn n蜜网蜜网(Honeynet)(Honeynet)The Honeynet ProjectThe Honeynet Project Gen 1/Gen 2/Gen 3 HoneynetGen 1/Gen 2/Gen 3 Honeynet Research PurposeResearch Purposen n蜜场蜜场(Honeyfarm)

25、(Honeyfarm)蜜罐技术如何有效地对一个大型网络提供防护功能？蜜罐技术如何有效地对一个大型网络提供防护功能？外外/内部安全威胁的发现、重定向、跟踪内部安全威胁的发现、重定向、跟踪蜜场蜜罐技术研究热点n n虚拟蜜罐工具虚拟蜜罐工具 A Honeypot framework-HoneydA Honeypot framework-Honeyd 针对不同互联网安全威胁针对不同互联网安全威胁n n恶意软件恶意软件:mwcollect,nepenthes:mwcollect,nepenthesn n蜜网体系框架蜜网体系框架 数据分析与可视化关联分析数据分析与可视化关联分析 维护过程维护过程:过程规范

26、、工具过程规范、工具/脚本支持脚本支持n n蜜场蜜场 重定向机制重定向机制:网关重定向网关重定向(Bait-n-Switch),(Bait-n-Switch),接入网重定向接入网重定向 蜜罐的伪装性问题蜜罐的伪装性问题:主动式蜜罐技术主动式蜜罐技术n n客户端蜜罐捕获并分析针对客户端的安全威胁客户端蜜罐捕获并分析针对客户端的安全威胁 僵尸网络僵尸网络:Drone,HoneyBot:Drone,HoneyBot 针对浏览器的安全威胁针对浏览器的安全威胁(恶意网站恶意网站,spyware):Honeyclient,spyware):Honeyclient,HoneyMonkeyHoneyMonke

27、y休息、提问时间10分钟2021/9/272021/9/273131Gen 3 蜜网技术n n蜜网技术的基本原理和发展历程蜜网技术的基本原理和发展历程n nGen 3 Gen 3 蜜网技术框架及核心需求蜜网技术框架及核心需求n nGen 3 Gen 3 蜜网技术细节蜜网技术细节n n数据控制机制数据控制机制n n数据捕获机制数据捕获机制n n数据分析机制数据分析机制n nGen 3 Gen 3 蜜网部署实例讲解蜜网部署实例讲解2021/9/272021/9/273232什么是蜜网技术？n n实质上是一种研究型、高交互型的蜜罐技术n n一个体系框架包括一个或多个蜜罐包括一个或多个蜜罐多层次的数据

28、控制机制高度可控多层次的数据控制机制高度可控全面的数据捕获机制全面的数据捕获机制辅助研究人员对攻击数据进行深入分析辅助研究人员对攻击数据进行深入分析虚拟蜜网n n在一台机器上部署蜜网的解决方案VMware&User Mode LinuxVMware&User Mode Linuxn n优势减少部署成本减少部署成本更容易管理更容易管理n n劣势虚拟机的指纹虚拟硬件的配置信息虚拟机的指纹虚拟硬件的配置信息蜜网项目组n n非赢利性研究机构非赢利性研究机构n n目标目标To learn the tools,tactics,and motives To learn the tools,tactics,a

29、nd motives of the blackhat community and share of the blackhat community and share these lessons learnedthese lessons learnedn n历史历史 1999 1999 非正式的邮件列表非正式的邮件列表 June 2000 June 2000 演变为蜜网项目组演变为蜜网项目组 Jan.2002 Jan.2002 发起蜜网研究联盟发起蜜网研究联盟 Dec.2002 Dec.2002 10 10个活跃的联盟成员个活跃的联盟成员n n创始人及主席创始人及主席 Lance Spitzne

30、r(Sun Microsystems)Lance Spitzner(Sun Microsystems)蜜网技术的发展历程n nPhase I:1999-2001Phase I:1999-2001 Gen I Gen I 蜜网技术蜜网技术:概念验证概念验证n nPhase II:2001-2003Phase II:2001-2003 Gen II Gen II 蜜网技术蜜网技术:初步成熟的蜜网技术方案初步成熟的蜜网技术方案n nPhase III:2003-2004Phase III:2003-2004 HoneyWall HoneyWall EeyoreEeyore:可引导的可引导的CDROM

31、CDROM，集成数据控制和数，集成数据控制和数据捕获工具据捕获工具n nPhase IV:2004-2005Phase IV:2004-2005 对分布式的蜜网捕获的数据进行收集和关联的集中式系统对分布式的蜜网捕获的数据进行收集和关联的集中式系统 kangakangan nPhase V:2005-Phase V:2005-Gen 3 Gen 3 蜜网技术蜜网技术n n数据捕获机制的改进数据捕获机制的改进argusargus、sebek 3.0.xsebek 3.0.xn nData Analysis Framework Data Analysis Framework Walleye Wall

32、eyen nNew HoneyWall CDROM New HoneyWall CDROM Roo Roon nEd Balas,Indiana UniversityEd Balas,Indiana UniversityGen 3 蜜网技术n n蜜网技术的基本原理和发展历程蜜网技术的基本原理和发展历程n nGen 3 Gen 3 蜜网技术框架及核心需求蜜网技术框架及核心需求n nGen 3 Gen 3 蜜网技术细节蜜网技术细节n n数据控制机制数据控制机制n n数据捕获机制数据捕获机制n n数据分析机制数据分析机制n nGen 3 Gen 3 蜜网部署实例讲解蜜网部署实例讲解2021/9/27

33、2021/9/273737蜜网的体系框架蜜网技术核心需求n n数据控制机制防止蜜网被黑客防止蜜网被黑客/恶意软件利用攻击第三方恶意软件利用攻击第三方n n数据捕获机制获取黑客攻击获取黑客攻击/恶意软件活动的行为数据恶意软件活动的行为数据n n网络行为数据网络连接、网络流网络行为数据网络连接、网络流n n系统行为数据进程、命令、打开文件、发起连接系统行为数据进程、命令、打开文件、发起连接n n数据分析机制理解捕获的黑客攻击理解捕获的黑客攻击/恶意软件活动的行为恶意软件活动的行为Gen 3 蜜网技术n n蜜网技术的基本原理和发展历程蜜网技术的基本原理和发展历程n nGen 3 Gen 3 蜜网技术

34、框架及核心需求蜜网技术框架及核心需求n nGen 3 Gen 3 蜜网技术细节蜜网技术细节n n数据控制机制数据控制机制n n数据捕获机制数据捕获机制n n数据分析机制数据分析机制n nGen 3 Gen 3 蜜网部署实例讲解蜜网部署实例讲解2021/9/272021/9/274040数据控制攻击数据包过滤n nSnort_inline:NIPSiptables-A FORWARD-i$LAN_IFACE-m state -state RELATED,ESTABLISHED-j QUEUE数据控制机制图示IPTableseth0Snort_inlineIPTableseth1SebekHone

35、yWall蜜罐主机Sebek蜜罐主机SwatchIPTables日志Snort报警信息eth2管理员对攻击者隐蔽丢弃修改无效化向外已知攻击方法网络连接数限制扫描、DoSEmail报警Gen 3 蜜网技术n n蜜网技术的基本原理和发展历程蜜网技术的基本原理和发展历程n nGen 3 Gen 3 蜜网技术框架及核心需求蜜网技术框架及核心需求n nGen 3 Gen 3 蜜网技术细节蜜网技术细节n n数据控制机制数据控制机制n n数据捕获机制数据捕获机制n n数据分析机制数据分析机制n nGen 3 Gen 3 蜜网部署实例讲解蜜网部署实例讲解2021/9/272021/9/274444数据捕获机制

36、n n快数据通道快数据通道 网络行为数据网络行为数据 HoneyWall HoneyWalln n网络流数据网络流数据:Argus:Argusn n入侵检测报警入侵检测报警:Snort:Snortn n操作系统信息操作系统信息:p0f:p0f 系统行为数据系统行为数据 SebekHoneypot SebekHoneypotn n进程、文件、命令、键击记录进程、文件、命令、键击记录n n以以rootkitrootkit方式监控方式监控sys_socket,sys_open,sys_readsys_socket,sys_open,sys_read系统系统调用调用 网络行为与系统行为数据之间的关联网

37、络行为与系统行为数据之间的关联 sys_socket sys_socketn n慢数据通道慢数据通道 网络原始数据包网络原始数据包 tcpdumpHoneyWall tcpdumpHoneyWall数据捕获机制体系结构图Gen 3 蜜网数据模型Sebek:系统行为数据p0fArgus:网络流数据Snort:入侵检测报警数据捕获机制图示Arguseth0eth1TcpdumpSebekHoneyWall蜜罐主机Sebek蜜罐主机hflowd系统行为数据eth2管理员对攻击者隐蔽Snortp0fIPTablessebekdhflow DB网络连接报警OSpcap文件WalleyeGen 3 蜜网技

38、术n n蜜网技术的基本原理和发展历程蜜网技术的基本原理和发展历程n nGen 3 Gen 3 蜜网技术框架及核心需求蜜网技术框架及核心需求n nGen 3 Gen 3 蜜网技术细节蜜网技术细节n n数据控制机制数据控制机制n n数据捕获机制数据捕获机制n n数据分析机制数据分析机制n nGen 3 Gen 3 蜜网部署实例讲解蜜网部署实例讲解2021/9/272021/9/274949数据分析Walleyen nPerlPerl语言编写的语言编写的Web GUIWeb GUI 通过通过DBIDBI连接连接mysqlmysql数据库数据库 mysqlmysql数据库中的信息由数据库中的信息由hf

39、lowd.plhflowd.pl提交提交n n数据分析视图数据分析视图 OverviewOverview视图视图 网络流视图网络流视图 进程树视图进程树视图 进程细节信息（进程细节信息（open_file,read_data,open_file,read_data,commandcommand）网络流信息网络流信息:网络流数据包解码，网络流数据包解码，snortsnort检测结果检测结果 PcapPcap数据慢通道数据慢通道n n具体细节具体细节 测试案例分析测试案例分析Gen 3 蜜网技术n n蜜网技术的基本原理和发展历程蜜网技术的基本原理和发展历程n nGen 3 Gen 3 蜜网技术框架

40、及核心需求蜜网技术框架及核心需求n nGen 3 Gen 3 蜜网技术细节蜜网技术细节n n数据控制机制数据控制机制n n数据捕获机制数据捕获机制n n数据分析机制数据分析机制n nGen 3 Gen 3 蜜网部署实例讲解蜜网部署实例讲解2021/9/272021/9/275151Gen 3 蜜网的部署和测试n n在单台主机上部署虚拟Gen 3蜜网n nGen 3蜜网的部署过程n nGen 3蜜网的测试n n参考文档:狩猎女神项目组网站Roo CDROM User Manual(Roo CDROM User Manual(中文版中文版)Gen 3 Gen 3 虚拟蜜网部署和测试技术报告虚拟蜜网

41、部署和测试技术报告虚拟Gen 3蜜网网络拓扑虚拟Gen 3蜜网资源需求n n硬件资源单台主机单台主机P4P4以上以上/512M/512M以上以上/40G/40G以上以上/2/2块网块网卡卡n n软件资源Vmware Workstation 4.2.5-8848 for Linux/Vmware Workstation 4.2.5-8848 for Linux/vmware-any-any-update93.tar.gz(bridge mode vmware-any-any-update93.tar.gz(bridge mode patch)patch)Honeywall Roo CDROMHo

42、neywall Roo CDROMLinux/WindowsLinux/Windows操作系统安装盘操作系统安装盘Sebek client 3.0.xSebek client 3.0.xVmware的配置HoneyWall虚拟主机硬件设置Honeypot虚拟主机硬件设置安装HoneyWall配置HoneyWalln n登录不允许不允许rootroot直接登录直接登录roo/honey roo/honey su-(root/honey)su-(root/honey)修改缺省口令修改缺省口令n n配置方式配置文件配置文件:/etc/honeywall.conf:/etc/honeywall.con

43、fCommand line:hwctlCommand line:hwctlInterview:menuInterview:menuWeb GUI:walleyeWeb GUI:walleyeWalleye的管理界面配置过程n n蜜网的相关蜜网的相关信息信息 蜜罐的蜜罐的IPIP地址地址 蜜网蜜网IPIP范围范围n n管理接口管理接口 管理接口管理接口IPIP地址地址 管理接口访问控制策略管理接口访问控制策略n n数据控制参数配置数据控制参数配置 外出连接限制数外出连接限制数 snort_inlinesnort_inline控制策略控制策略n nDNSDNS访问配置访问配置n n自动报警功能及自

44、动报警功能及SebekSebek选项选项 报警报警EmailEmail地址地址 SebekSebek数据包目的数据包目的IPIP地址地址管理接口管理接口安装Honeypot操作系统n n不同的不同的patchpatch策略策略 未打任何补丁捕获所有攻击未打任何补丁捕获所有攻击 完全补丁完全补丁zero-day exploitszero-day exploitsn n未打补丁的操作系统版本未打补丁的操作系统版本 Linux 8.0/9.0Linux 8.0/9.0缺省安装缺省安装 WindowXP SP0WindowXP SP0n n开放尽量多的网络服务开放尽量多的网络服务 WWW:Apache

45、/IISWWW:Apache/IIS FTP:wuftpd,/FTP:wuftpd,/SMTP:sendmail/exchangeSMTP:sendmail/exchange SQL:mysql/mssqlSQL:mysql/mssql RPC RPC smbsmb安装Sebek 3.0.xn n解压解压tartar包包n n修改修改sbk_install.shsbk_install.sh DESTINATION_IP=DESTINATION_IP=192.168.1.3192.168.1.3 (MANAGEMENT_IP)(MANAGEMENT_IP)DESTINATION_MAC=DEST

46、INATION_MAC=00:0C:29:12:86:6D00:0C:29:12:86:6D (MANAGEMENT_MAC)(MANAGEMENT_MAC)MAGIC_VALUE:MAGIC_VALUE:各个各个SebekSebek一致一致 KEYSTOKE_ONLYKEYSTOKE_ONLY SOCKET_TRACKINGSOCKET_TRACKING TESTINGTESTINGn n安装安装SebekSebek./configure,make,./sbk_install.sh./configure,make,./sbk_install.sh测试n n网络连通性网络连通性 外网主机外网主

47、机 ping ping 蜜罐主机蜜罐主机n n管理接口管理接口 sshssh远程连接远程连接:确认连接主机确认连接主机IPIP在在HoneywallHoneywall上设置的管理网段内上设置的管理网段内 访问访问Walleye:https:/mgmt_ipWalleye:https:/mgmt_ipn n数据控制机制数据控制机制 连接数限制连接数限制(ICMP/TCP/UDP):nmap(ICMP/TCP/UDP):nmap 已知攻击数据包限制已知攻击数据包限制:metasploit:metasploit向测试主机攻击向测试主机攻击n n数据捕获机制数据捕获机制 查看查看WalleyeWall

48、eye是否捕获网络连接、是否捕获网络连接、SnortSnort报警、报警、pcappcap数据及数据及SebekSebek系统行为数据系统行为数据攻击分析实例渗透测试工具攻击分析实例发起攻击执行指令：uname a;whoami;cd/etc;cat shadow;exit;攻击分析实例Email报警攻击分析实例-Walleye Overview视图内/外连接数内/外IDS报警流量及IDS报警统计攻击分析实例Walleye网络流视图p0f操作系统辨识Snort报警攻击案例分析攻击案例分析ExploitExploit网络流相关进程树视图网络流相关进程树视图攻击案例分析Exploit网络流详细视图

49、攻击案例分析Exploit数据包解码视图攻击案例分析Exploit网络流检测结果攻击案例分析Exploit网络流数据包攻击案例分析Shell进程树视图攻击案例分析Shell进程详细视图攻击案例分析Shell进程read detail视图攻击案例分析Shell网络流详细视图攻击案例分析Shell网络流数据包解码视图狩猎女神项目组部署的蜜网狩猎女神项目组的虚拟蜜网休息、提问时间10分钟2021/9/272021/9/278282蜜罐与蜜网技术的应用n n僵尸网络僵尸网络(BotnetBotnet)的发现和跟踪的发现和跟踪n n深入剖析网络钓鱼攻击深入剖析网络钓鱼攻击(Phishing)Phishi

50、ng)2021/9/272021/9/278383互联网安全威胁分析案例n n黑客攻击黑客攻击 通过通过SambaSamba服务漏洞获得服务漏洞获得rootroot权限、安装后门权限、安装后门n n蠕虫传播蠕虫传播 高波蠕虫高波蠕虫:攻击攻击445445端口端口LSASSLSASS漏洞、使用漏洞、使用TFTPTFTP传送传送副本，感染后继续扫描副本，感染后继续扫描n n僵尸网络僵尸网络僵尸网络僵尸网络 僵尸网络的发现与跟踪僵尸网络的发现与跟踪 NetSec 2005 NetSec 2005n n网络钓鱼攻击网络钓鱼攻击网络钓鱼攻击网络钓鱼攻击 诸葛建伟译诸葛建伟译,了解你的敌人了解你的敌人:网