924-Module 9:诱捕系统实习.ppt
《924-Module 9:诱捕系统实习.ppt》由会员分享,可在线阅读,更多相关《924-Module 9:诱捕系统实习.ppt(103页珍藏版)》请在三一文库上搜索。
1、Module 9:誘捕系統實習,學習目的,利用誘捕系統,找出網路中潛在的威脅 本模組共有四個小節包括 (1)誘捕系統簡介 (2)誘捕系統工具介紹 (3)誘捕系統的實務 (4)誘捕系統的專案實作,9-2,Module 9:誘捕系統實習,Module 9-1:誘捕系統簡介(*) Module 9-2:誘捕系統工具介紹(*) Module 9-3:誘捕系統的實務(*) Module 9-4:誘捕系統的專案實作(*),9-3,* 初級(basic):基礎性教材內容 *中級(moderate):教師依據學生的吸收情況,選擇性介紹本節的內容 *高級(advanced):適用於深入研究的內容,Module
2、9-1:誘捕系統簡介(*),9-4,誘捕系統(Honeypot)的介紹,誘捕系統(Honeypot):受到嚴密監控的網路誘騙系統,具有以下特點 迷惑敵人,誘使駭客攻擊Honeypot而無暇去攻擊一些系統中比較重要的機器 對新攻擊發出預警 引誘駭客攻擊 可使用入侵偵測系統與防火牆等結合使用,以提升安全性,9-5,誘捕系統(Honeypot)的重要性,引誘攻擊者入侵組織資訊系統的陷阱 作為對系統弱點預警的監視工具 減低資訊科技系統及網路遭攻擊的風險 蒐集入侵方法並加以分析,為系統的潛在漏洞提供寶貴資訊,9-6,誘捕系統(Honeypot)的重要性 (續),傳統的IDS 針對已知的入侵手法對外來的a
3、ttacker作出警告 Honeypot 學習駭客入侵的工具,以找出作業系統的弱點 增加對惡意程式的蒐證,9-7,誘捕系統(Honeypot)的功能,誘捕系統模擬成有缺陷的系統,等待攻擊者來攻擊,藉以蒐集攻擊的手法與方式 Honeypot解決IDS或防火牆記錄等資訊過量問題 為一個模擬或真實的網路系統 隱藏在防火牆後面,所有進出的資料皆受到監視 使用不同的作業系統及設備,如Solaris、Linux、Windows NT及Cisco Switch,9-8,誘捕系統(Honeypot)的功能 (續),不同的系統平台上面運行著不同的服務 例:Linux的DNS server、Windows NT的
4、webserver或Solaris的FTP Server 入侵者會將目標定於幾個特定的系統漏洞上 不同的服務有不同的攻擊手法 分析記錄使我們了解服務的弱點,9-9,誘捕系統(Honeypot)的分類,低互動性誘捕系統(Low-Interaction Honeypot) 提供有限的服務,藉由模擬服務與作業系統來運作 風險也較小,因攻擊者絕不會進到一個真實的作業系統 高互動性誘捕系統(High-Interaction Honeypot) 以真實的作業系統與真實的應用程式來運作,而非模擬 風險相對較高,因攻擊者可能攻陷一個真實的作業系統 ,並威脅真實的網路,9-10,低互動性誘捕系統(Low-Int
5、eraction Honeypot),模擬現有作業系統上的服務 監控沒有使用的 IP 位址空間 記錄攻擊 主要優勢 較容易部署與維護 風險亦較小,因攻擊者絕不會進到一個真實的作業系統 例:Honeyd、Nepenthes及Honeytrap,9-11,高互動性誘捕系統(High-Interaction Honeypot),以真實的作業系統來構建,提供真實的系統和服務給駭客攻擊 不預設一個攻擊者會有什麼樣的行為,而提供可以追蹤所有活動的環境 缺點: 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器 部署較為複雜,技術層面較高 例:Honeywall-ROO、HIHAT及Honeyb
6、ow,9-12,Low-Interaction v.s. High-Interaction Honeypot,9-13,Module 9-2:誘捕系統工具介紹(*),9-14,誘捕系統(Honeypot)工具比較,商業軟體 優:效果佳 缺:成本高 例:Symantec Decoy Server與KFSensor 免費軟體 優:成本低 缺:缺少某些商業軟體所提供的效果 例:Honeyd與Nepenthes,9-15,誘捕系統(Honeypot)工具比較,9-16,誘捕系統(Honeypot)工具 - Symantec Decoy Server,由賽門鐵克公司所發展商用之誘捕系統 會警示由內/外部
7、所發出之未經授權的入侵意圖 可自動地偵測與回應新型態的攻擊 在與對手互動時產生模擬的流量 過程可重播,9-17,誘捕系統(Honeypot)工具 - KFSensor,可針對Windows作業系統所提供的各項服務以及弱點進行模擬 可模擬Windows的網路,如NetBIOS、SMB、CIFS 可偵測到針對Windows檔案分享的攻擊 模擬常見的通訊協定如:FTP、SMB、POP3、HTTP、Telnet、SMTP與SOCKS等以蒐集攻擊者的資訊,資料來源:http:/ - Honeyd,輕型Open-source的虛擬Honeypot 模擬多個作業系統和網路服務 多外掛模組,用於模擬常的服務
8、模擬微軟 IIS 網頁伺服器的Scripts 模擬SMTP 模擬HTTP 模擬Telnet 支援IP協定架構 模擬任意拓撲架構的虛擬網路與網路通道,9-19,誘捕系統(Honeypot)工具 - Honeyd (續),處理目的IP位址屬於虛擬Honeypot之一的網路封包的方法 對指向Honeyd主機的虛擬IP位址創建特定路由 使用ARP-Proxy 使用網路通道,9-20,使用ARP - Proxy,封包的Destination=Honeypot Windows NT 4.0,9-21,使用ARP - Proxy (續),路由器查詢它的路由表由找到10.0.0.13的轉送位址,9-22,使用
9、ARP - Proxy (續),沒有配置專用的路由,9-23,使用ARP - Proxy (續),路由器透過ARP請求確定10.0.0.13 的MAC位址,9-24,使用ARP - Proxy (續),路由器把發送Honeypot Windows NT 4.0的封包轉到Honeyd主機的MAC位址,9-25,Honeyd原理說明,9-26,在port 80等待連線,Honeyd原理說明 (續),有人連進來,由subsystem接受連線,9-27,Honeyd原理說明 (續),由internal service決定如何回應,9-28,Honeyd配置,透過配置模板(Template)來配置虛擬的
10、Honeypot 配置語言是一種Context-free文法(上下文順序無關),可以設定虛擬網路、作業系統及服務,9-29,配置模板,# Default Template create default # Set default behavior set default personality “Microsoft Windows XP Home Edition“ set default default tcp action open set default default udp action open set default default icmp action open add def
11、ault tcp port 80 “perl /opt/honeyd/scripts/windows/iis/iisemu18.pl“ add default tcp port 23 “perl /opt/honeyd/scripts/windows/cmdexe.pl“ add default tcp port 139 open add default tcp port 137 open add default udp port 137 open add default udp port 135 open,創建一作業系統模板,9-30,配置模板 (續),# Default Template
12、create default # Set default behavior set default personality “Microsoft Windows XP Home Edition“ set default default tcp action open set default default udp action open set default default icmp action open add default tcp port 80 “perl /opt/honeyd/scripts/windows/iis/iisemu18.pl“ add default tcp po
13、rt 23 “perl /opt/honeyd/scripts/windows/cmdexe.pl“ add default tcp port 139 open add default tcp port 137 open add default udp port 137 open add default udp port 135 open,設定該模板的Nmap 指紋,9-31,配置模板 (續),# Default Template create default # Set default behavior set default personality “Microsoft Windows X
14、P Home Edition“ set default default tcp action open set default default udp action open set default default icmp action open add default tcp port 80 “perl /opt/honeyd/scripts/windows/iis/iisemu18.pl“ add default tcp port 23 “perl /opt/honeyd/scripts/windows/cmdexe.pl“ add default tcp port 139 open a
15、dd default tcp port 137 open add default udp port 137 open add default udp port 135 open,設定預設的TCP和UDP和ICMP 動作,9-32,配置模板 (續),# Default Template create default # Set default behavior set default personality “Microsoft Windows XP Home Edition“ set default default tcp action open set default default udp
16、 action open set default default icmp action open add default tcp port 80 “perl /opt/honeyd/scripts/windows/iis/iisemu18.pl“ add default tcp port 23 “perl /opt/honeyd/scripts/windows/cmdexe.pl“ add default tcp port 139 open add default tcp port 137 open add default udp port 137 open add default udp
17、port 135 open,設定系統監聽埠號,並且呼叫腳本iisemul8.pl 和cmdexe.pl,9-33,配置模板 (續),# Default Template create default # Set default behavior set default personality “Microsoft Windows XP Home Edition“ set default default tcp action open set default default udp action open set default default icmp action open add defa
18、ult tcp port 80 “perl /opt/honeyd/scripts/windows/iis/iisemu18.pl“ add default tcp port 23 “perl /opt/honeyd/scripts/windows/cmdexe.pl“ add default tcp port 139 open add default tcp port 137 open add default udp port 137 open add default udp port 135 open,打開TCP 139與137 Port,打開UDP 137與135 Port,9-34,誘
19、捕系統(Honeypot)工具 - Nepenthes,Nepenthes為惡意程式誘捕系統,藉由模擬系統弱點,誘使惡意程式對誘捕系統進行攻擊,進而捕捉到惡意程式,是屬於Low-Interaction Honeypot,9-35,誘捕系統(Honeypot)工具 - Nepenthes (續),Vulnerability Modules:模擬網路服務的弱點,9-36,誘捕系統(Honeypot)工具 - Nepenthes (續),Shellcode parsing Modules:分析與反解Exploit Payload,找出Mal-URL,9-37,誘捕系統(Honeypot)工具 - N
20、epenthes (續),Fetch Modules:利用HTTP、FTP、TFTP從遠端抓取惡意程式Binary,9-38,誘捕系統(Honeypot)工具 - Nepenthes (續),Submission Modules:將抓下來的惡意程式存到Disk,或其他伺服器,9-39,誘捕系統(Honeypot)工具 - Nepenthes (續),於Linux環境下執行,透過模組模擬不同的系統弱點,並可將蒐集的惡意程式儲存在分散式的資料庫中 Developer:Paul Baecher, Markus Koetter Nepenthes網址: http:/nepenthes.carnivor
21、e.it http:/nepenthes.mwcollect.org,9-40,誘捕系統(Honeypot)工具 - Nepenthes (續),Nepenthes可以模擬的弱點,9-41,漏洞掃描工具 - X-Scan,掃瞄內容包括:遠端系統服務類型、操作系統類型及版本,各種弱點漏洞、後門、應用服務漏洞 原創作者:XFOCUS Team X-Scan網址:http:/www.xfocus.org/programs/200507/18,9-42,結論,Honeyd可以應用在網路安全的許多領域 例病毒探測、反蠕蟲、阻止垃圾郵件及轉移攻擊目標等 Honeypot系統都是正在發展中的技術,還需要不斷
22、地擴充和完善功能,提升迷惑性和自身的安全性 誘捕系統為安全研究使用較多,部署於企業內部需考量其風險及安全性,並配合適當的監控及分析技術,否則仍不適用於一般的企業作為安全機制的一環,9-43,Module 9-3:誘捕系統的實務(*),9-44,說明,架設實作(一),請使用HoneyD軟體配置Honeypot誘捕系統。依實驗拓樸,請使用HoneyD主機做安裝及測試 架設實作(二),請使用Nepenthes軟體配置Nepenthes誘捕系統,並利用X-Scan做掃描。依實驗拓樸,請使用Nepenthes主機做Nepenthes軟體安裝及測試,attacker主機做7z軟體及X-Scan軟體安裝及測
23、試,9-45,架設實作(一),Honeypot架設實作實習,9-46,實作環境介紹,9-47,router OS:FC6-STD IP1:10.1.1.3 IP2:10.1.2.3,attacker OS:WINXP-SP2 IP:10.1.2.2,HoneyD OS:FC6-yum-STD IP:10.1.1.2 安裝軟體:Honeyd,IP1,IP2,實驗拓樸on TestbedTWISC - 建立完成的實驗拓樸,9-48,誘捕系統(Honeypot)工具 - Honeyd,版本 honeyd-1.5c 支援作業平台 Linux及OpenBSD 其他需求工具 libpcap、libdnet
24、、 libevent、libedit、 termcap、pcre 、及arpd 下載位址 http:/www.honeyd.org/uploads/honeyd-1.5c.tar.gz,9-49,誘捕系統(Honeypot)工具 - Honeyd,Libpcap:是Linux系統中用以擷取封包的工具之 Libdnet:提供了修改封包IP的功能 Libevent:透過libevent使我們可以設定當某些事件發生時就會執行的某些函示,也就是我們可以透過libevent來呼叫特定的script來模擬某些作業系統的網路特徵 Libedit:提供讀取封包的功能 Termcap:提供傳送控制訊息的功能 P
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 924-Module 9:诱捕系统实习 924 Module 诱捕 系统 实习
链接地址:https://www.31doc.com/p-3025457.html