蜜罐的分类.ppt

* Snipe Blaster: add default tcp port 4444 /bin/sh scripts/strikeback.sh $ipsrc * Vmware虚拟仿真平台软件包括3个执行特殊双重功能的模块，它们与宿主操作系统之间的关系， Virtual Platform Application模块是虚拟平台的应用部分，它的安装、启动、运行，与宿主操作系统上的普通应用程序一样，并通过宿主操作系统的图形用户接口配置、启动、管理虚拟机。为了启动一个虚拟机，它调入并运行监视模块。在虚拟机运行期间，监视模块将有关信息返回应用模块，由应用模块通过宿主操作系统访问资源。 Virtual Platform Monitor模块是虚拟平台的监控部分，它以保护模式直接运行在硬件之上。采用一种虚拟化的技术，使虚拟机直接运行在一个与宿主操作系统及其他虚拟机相互独立的环境之中。 Virtual Platform Driver模块，是虚拟平台的设备驱动部分，其主要功能是作为监视模块与应用模块和宿主操作系统的连接通道，向宿主操作系统隐藏监视模块，使虚拟平台像宿主系统的一个应用程序一样运行。 除了普通的硬件设备模拟之外，Vmware还支持网卡模拟。通过网卡模拟，每个虚拟机都拥有自己独立的IP地址，使Vmware可以让一台真实的机器模拟出连接在网上的多台主机，形成一个局域网。虽然这些虚拟机在同一台机器上运行，但相互独立，可以通过TCP/IP协议进行通信。而且，虚拟机都具有各自机独立的文件系统，能够独立地提供网络服务。 * 出入陷阱网络的数据包都经过防火墙和路由器，防火墙的功能是控制内外网络之间对陷阱网络的访问，但需要对陷阱网络中的蜜罐主机对外的连接加强控制，包括：限制对外连接的目的地、限制主动对外发起连接、限制对外连接的协议类型等。路由器安放在防火墙和陷阱网络之间，其意图是路由器可以隐藏防火墙，即使攻击者控制了陷阱网络中的蜜罐主机，发现路由器外部网连接，也能被防火墙发现。同时，路由器具有访问控制功能，可以弥补防火墙的不足，例如，用于防止地址欺骗攻击、Dos、基于ICMP的攻击等。陷阱网络的数据捕获设备是IDS，它监测和记录网络中的通信连接和报警可疑的网络活动。此外，为掌握攻击者在蜜罐主机中的行为，必须设法获取系统活动记录，主要方法，一是让所有的系统日志不但在本地记录，同时也传送到一个远程的日志服务器上；二是安放监控软件，进行击键记录、屏幕拷贝、系统调用记录等，然后传送到远程主机。 * 第二代陷阱网络技术实现了数据控制系统，数据捕获集中到一个单一系统，这样就更便于安装与管理，如图3-5所示。它的优点之一是监控非授权的活动，之二是隐蔽性更强，之三是采用积极的响应方法限制非法活动的效果，如修改攻击代码字节，使攻击失效 * 目前研究人员正在开发虚拟陷阱网络（Virtual Honeynets）。它将陷阱网络所需要的功能集中到一个物理设备中运行，实现蜜罐系统、数据控制系统、数据捕获系统、数据记录等功能，这里把它称作 * 网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 * User Mode Linux?，一个有用的内核调试方法 User-mode-linux?(UML) 是让一个linux作为一个独立进程运行在另一个linux上。 入侵检测流程 * Vmware的功能模块 入侵检测流程 * 网络欺骗技术－陷阱网络技术 陷阱网络由多个蜜罐主机、路由器、防火墙、IDS、审计系统等组成，为攻击者制造一个环境，供防御者研究攻击者的攻击行为。 陷阱网络一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。 入侵检测流程 * 第一代陷阱网络 出入陷阱网络的数据包都经过防火墙和路由器 陷阱网络的数据捕获设备是IDS 获取系统活动记录，一是让所有的系统日志不但在本地记录，同时也传送到一个远程的日志服务器上；二是安放监控软件，进行击键记录、屏幕拷贝、系统调用记录等，然后传送到远程主机。 入侵检测流程 * 第二代陷阱网络 实现了数据控制系统，数据捕获集中到一个单一系统， 优点之一是监控非授权的活动 之二是隐蔽性更强 之三是采用积极的响应方法限制非法活动的效果，如修改攻击代码字节，使攻击失效 入侵检测流程 * 第三代陷阱 虚拟陷阱网络（Virtual Honeynets） 它将陷阱网络所需要的功能集中到一个物理设备中运