ドアに地雷が埋まっているので注意してください!
これらの最近のトピックでは、ネットワークセキュリティの意識を高め、ネットワークセキュリティテクノロジを向上させるのに役立つデータセキュリティのトピックについて説明します。
ハニーポット、ハニーポットは、ハニーポットネットワークとは何かを最初に普及させます。
ハニーポットは一種の人形システムであり、人々を引き付けて集め、セックスの方法やアイデアを習得すると同時に、実際のシステムのシステムの脆弱性を発見することもできます。時間内にそれらを修復することができます。
これは非常に興味深いです。ハニーポットシステムは、システム管理者と***の間の仲介資料です。勝者は誰ですか?それは誰が賢いかによって異なります。
ハニーポットの役割は何ですか?
まず、研究ツールとして、一定の商業的価値があります。***の***方法を理解した後、特定の損失を回避するために、次の***を保護することができます。または損失を最小限に抑えることができます。 。
***実施には30分かかります***、「私は光の中にいます。敵は暗闇の中にいます」と分析するには、20〜30倍の時間を費やす必要があります。
前述のように、ハニーポットは******を引き付ける一種の人形システムであり、これは******レコードをキャプチャするシステムです。簡単に言えば、これは******のトラップです。
ハニーポットの制限
そのような有用なものをどのように制限することができますか?実際、ハニーポットを設置するときは、ドアにも雷を植えました。注意が必要です。***がハニーポットを透視している場合、***はそれを操作する方法を知っています。これは想像を絶するものです。 、彼はそれを他のネットワークシステムをハックするための踏み台として使用できます、想像してみてください、誰がこのポットを運ぶのでしょうか??
ハニーポットはよくできておらず、露出もされていません。これはブロイラーと同じです。
ハニーポットの種類
ハニーポットにはどのような種類がありますか?
分類には多くの根拠があります。高相互作用ハニーポットシステムと自然に低相互作用ハニーポットシステムがあります。実際のハニーポットシステムと疑似ハニーポットシステムがあります。ここでは、Torハニーポット、オープンソースハニーポット、wifiハニーポットをよく使用します。
ハニーポットの設定
ハニーポットはどのように展開されますか?これは、管理者がサーバー上で既知の脆弱性を持つシステムを意図的に実行していることを意味します。***が進行中の場合、***アクションを記録できます。***が終了した後、管理者はそれを分析します。
Dionaea(Venus flytrap)の低インタラクティブハニーポットは、Google Summer of Code 2009で開始され、Nepenthes(nepenthes)プロジェクトの後継であるHoneynetProjectのオープンソースプロジェクトです。Honeynet Projectは、1999年に設立された国際的な非営利研究組織です。インターネットのセキュリティの向上に取り組んでおり、ハニーポット技術とインターネットセキュリティ脅威研究の分野でより大きな影響力を持っています。
1. Dionaea Low InteractiveHoneypotの紹介
Dionaea(Venus flytrap)低インタラクティブハニーポット(http://dionaea.carnivore.it)は、Google Summer of Code 2009で開始され、Nepenthes(nepenthes)プロジェクトの後継であるHoneynetProjectのオープンソースプロジェクトです。Honeynet Projectは、1999年に設立された国際的な非営利研究組織であり、インターネットのセキュリティの向上に取り組んでおり、ハニーポット技術とインターネットセキュリティ脅威の研究の分野で大きな影響力を持っています。
Dionaeaハニーポットの設計目的は、悪意のある***をトラップし、悪意のある***セッションと悪意のあるコードプログラムのサンプルを取得することです。さまざまな一般的なサービスをシミュレートし、サービスのデータをキャプチャし、ソースとターゲットのIP、ポート、プロトコルタイプ、その他の情報、および完全なネットワークセッションプロセスを記録し、シェルコードとその関数呼び出しおよびダウンロードファイルを自動的に分析します。悪意のあるプログラムを入手します。
実際のシステムとサービスを使用して悪意のあるユーザーをトラップするインタラクティブ性の高いハニーポットとは異なり、Dionaeaはインタラクティブ性の低いハニーポットとして設計されており、攻撃者に示されるすべての弱点とターゲットは現実的ではありません。製品システムはさまざまなシミュレーションです。システムとそれらが提供するサービス。この設計の利点は、インストールと構成が非常に単純であり、ハニーポットシステムにセキュリティリスクがほとんどないことです。欠点は、不完全なシミュレーションによってデータキャプチャの能力が低下し、ハッカーが簡単に識別できることです。
2. Dionaeaの全体的な構造と動作メカニズムDionaeaは、Linux上で実行されるアプリケーションプログラムです。ネットワーク環境でプログラムを実行します。インターネット上の共通サービスのデフォルトポートを開きます。外部接続がある場合は、通常のサービスをシミュレートします。フィードバックを提供すると同時に、着信および発信ネットワークのデータフローを記録します。ネットワークデータストリームは、検出モジュールによって検出された後、カテゴリ別に処理されます。シェルコードがある場合は、シミュレートされて実行されます。プログラムは、シェルコードで指定された悪意のあるファイルをダウンロードまたは後続の**に自動的にダウンロードします。 *コマンド。データのキャプチャから悪意のあるファイルのダウンロードまで、プロセス全体の情報は分析のためにデータベースに保存されるか、サードパーティの分析組織に送信されます。
3. DionaeaハニーポットのインストールプロセスDionaeaの現在のバージョンは0.1.0であり、ソースコードを使用してインストールされます。ソフトウェアの操作は、libev、libglib、libssl、liblcfg、libemu、python、sqlite、readline、cython、lxml、libudns、libcurl、libpcapのライブラリに依存します。
インストールプロセスについては、http://dionaea.carnivore.it/#compilingを参照してください。Python-3.2をインストールするときは、指示に従ってsetup.pyを変更して、zlibライブラリをインストールできるようにしてください。正しく。
インストールするときは、依存ライブラリが正常にインストールされることに注意してください。そうしないと、Dionaeaが正しく機能しない可能性があります。
詳細なインストールプロセス:
OS:ubuntu 12.04(32ビット)
#安装依赖 apt-get update apt-get isntall aptitude aptitude install libudns-dev libglib2.0-dev libssl-dev libcurl4-openssl-dev libreadline-dev libsqlite3-dev python-dev libtool automake autoconf build-essential subversion git-core flex bison pkg-config
残りの依存関係はソースコードからインストールする必要があります。パス/ opt / dionaeaにインストールするので、ディレクトリが存在し、読み取りと書き込みのアクセス許可が許可されていることを確認してください。
mkdir / opt / dionaea cd / opt / dionaea
他の依存関係をインストールする
liblcfg
gitのクローンgitの://git.carnivore.it/liblcfg.git liblcfg CDのliblcfg /コード autoreconf -vi は./configure --prefix =は/ opt / dionaea make installを CDを.. CD ..
自由
git clone git://git.carnivore.it/libemu.git Freedom CD Freedom autoreconf vi ./configure --prefix = / opt / dionaea make install cd ..
libnl
apt-get install libnl-3-dev libnl-genl-3-dev libnl-nf-3-dev libnl-route-3-dev
libev
wget http://dist.schmorp.de/libev/Attic/libev-4.04.tar.gz tar xfz libev-4.04.tar.gz cd libev-4.04 ./configure --prefix = / opt / dionaea make installcd 。 。
Python 3.2
wget http://www.python.org/ftp/python/3.2.2/Python-3.2.2.tgz tar xfz Python-3.2.2.tgz cd Python-3.2.2 / ./configure --enable-shared --prefix = / opt / dionaea --with-computed-gotos --enable-ipv6 LDFLAGS = "-Wl、-rpath = / opt / dionaea / lib / -L / usr / lib / i386-linux-gnu /" make make install cd / opt / dionaea / bin ln python3.2 / usr / bin / python3cd 。。
sqlite 3.3.7
wget http://www.sqlite.com.cn/Upfiles/source/sqlite-3.3.7.tar.gz tar xzf sqlite-3.3.7.tar.gz cd sqlite-3.3.7 mkdir /home/sqlite-3.3 .7 ./configure --prefix = / home / sqlite-3.3.7 make && make install && make doc cd /home/sqlite-3.3.7/bin/ ln sqlite3 / usr / bin / sqlite3
Cython
wget http://cython.org/release/Cython-0.15.tar.gz tar xfz Cython-0.15.tar.gz cd Cython-0.15 /opt/dionaea/bin/python3 setup.py install cd ..
libpcap
wget http://www.tcpdump.org/release/libpcap-1.1.1.tar.gz tar xfz libpcap-1.1.1.tar.gz cd libpcap-1.1.1 ./configure --prefix=/opt/dionaea make make install cd ..
编译安装dionaea
git clone git://git.carnivore.it/dionaea.git dionaea cd dionaea autoreconf -vi ./configure --with-lcfg-include=/opt/dionaea/include/ --with-lcfg-lib=/opt/dionaea/lib/ --with-python=/opt/dionaea/bin/python3.2 --with-cython-dir=/opt/dionaea/bin --with-udns-include=/opt/dionaea/include/ --with-udns-lib=/opt/dionaea/lib/ --with-emu-include=/opt/dionaea/include/ --with-emu-lib=/opt/dionaea/lib/ --with-gc-include=/usr/include/gc --with-ev-include=/opt/dionaea/include --with-ev-lib=/opt/dionaea/lib --with-nl-include=/opt/dionaea/include --with-nl-lib=/opt/dionaea/lib/ --with-curl-config=/usr/bin/ --with-pcap-include=/opt/dionaea/include --with-pcap-lib=/opt/dionaea/lib/ make make install
安装结束
4. Dionaea 使用方法
Dionaea 根据命令参数运行,可选择不同的运行环境、任务和筛选事件记录内容。配置文件则具体规定蜜罐运行后开启的模块,记录文件的保存位置和扩展功能的参数等信息。默认配置下 Dionaea 自动选择一个网络接口进行监听。
Dionaea 具体的命令格式如下:
dionaea [-c, --config=FILE] [-D, --daemonize] [-g, --group=GROUP]
[-G, --garbage=[collect|debug]] [-h, --help] [-H, --large-help]
[-l, --log-levels=WHAT] [-L, --log-domains=WHAT] [-u, --user=USER]
[-p, --pid-file=FILE] [-r, --chroot=DIR] [-V, --version] [-w, --workingdir=DIR]
选项的意义分别是:
-c:指定运行程序所使用的配置文件,默认下配置文件是/opt/dionaea/etc/dionaea.conf。
-D:后台运行。
-g:指定启动后切换到某个用户组,默认下保持当前组。
-G:收集垃圾数据,用于调试内存泄露。不能用于 valgrind 软件。
-h:帮助信息。
-H:帮助信息,包括默认值信息。
-l:选择事件记录级别,可以选择 all, debug, info, message, warning, critical, error 这些值,多选使用“,”做分隔,排除使用“-”。
-L:选择域,支持通配符“*”和“?”,多选使用“,”,排除使用“-”。
-u:指定启动后切换到某个用户,默认下保持当前用户。
-p:记录 pid 到指定文件。
-r:指定启动后切换根目录到指定目录,默认下不切换。
-V:显示版本信息。
-w:设定进程工作目录,默认下为/opt/dionaea。
例子:
切换到 cd /opt/dionaea/bin
# ./dionaea -l all,-debug -L '*' # ./dionaea -l all,-debug -L 'con*,py*' # ./dionaea -u nobody -g nogroup -r /opt/dionaea/ -w /opt/dionaea -p /opt/dionaea/var/dionaea.pid
5. 安装 DionaeaFR
DionaeaFR(https://github.com/RootingPuntoEs/DionaeaFR)是用于前端web展示Dionaea的数据。
安装详细过程:
ubuntu 12.04 默认已安装 python 2.7.3
切换到cd /opt/,下载DionaeaFR
git clone https://github.com/RootingPuntoEs/DionaeaFR.git
安装pip,django,nodejs
apt-get install python-pip pip install Django pip install pygeoip pip install django-pagination pip install django-tables2 pip install django-compressor pip install django-htmlmin pip install django-filter django-tables2-simplefilter: https://github.com/benjiec/django-tables2-simplefilter python setup.py install SubnetTree: git clone git://git.bro-ids.org/pysubnettree.git python setup.py install nodejs: http://nodejs.org/dist/v0.8.16/node-v0.8.16.tar.gz tar xzvf node-v0.8.16.tar.gz cd node-v0.8.16 ./configure make make install npm install -g less apt-get install python-netaddr
下载GeoIP 和 GeoLiteCity
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
解压GeoIP 和 GeoLiteCity
gunzip GeoLiteCity.dat.gz gunzip GeoIP.dat.gz
移动GeoIP 和 GeoLiteCity到 /opt/DionaeaFR/DionaeaFR/static
mv GeoIP.dat /opt/DionaeaFR/DionaeaFR/static mv GeoLiteCity.dat /opt/DionaeaFR/DionaeaFR/static
修改SQLite路径
cd /opt/DionaeaFR/DionaeaFR
vim settings.py
第17行,SQLite路径更改为
/opt/dionaea/var/dionaea/logsql.sqlite
如果你安装dionaea的目录不在/opt/,那就find下。
find / -name logsql.sqlite ,把查找到的路径替换到17行中。
运行
cd /opt/DionaeaFR
python manage.py collectstatic python manage.py runserver 0.0.0.0:8000
浏览器访问:http://你的IP:8000
6. 结束
低インタラクティブハニーポットの一般的な弱点は、ネットワークサービスと実際のサービスのシミュレーションの間にギャップがあり、環境に敏感なVPNをキャプチャできない可能性があることです。他の専用サービスハニーポットと併用して、継続的に改善できます。