分类:
2008-09-09 12:51:23
企业局域网部署完成一旦上线就要面临严峻考验,其中来自内部、外部的威胁是最让管理员们头痛的。为此,很多管理员软硬结合构建防御体系,但是不管它如何坚固都显得有些被动。实战中,往往是当局域网被攻陷后,我们甚至还不知道对手是谁,对他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。“知己知彼,百战不殆”,IT人员只有在掌握了攻击者采用的攻击技术,攻击心理及习惯等后,才能更有效地维护网络安全,进而抓捕攻击者。笔者根据以往的实践经验认为,利用蜜罐工具构筑蜜罐系统,设置陷阱诱攻击者入瓮是一个不错的方案。本文将在测试环境中,模拟利用两款蜜罐工具布防和诱捕攻击的过程。
模拟环境:
虚拟机A IP:192.168.1.10 (蜜罐系统)
虚拟机B IP:192.168.1.6 (攻击主机)
一、打造蜜罐,反击攻击者
1、软件介绍
“Defnet HoneyPot 2004”是一个著名的“蜜罐”虚拟系统,它会虚拟一台有“缺陷”的电脑,等着恶意攻击者上钩。这种通过Defnet HoneyPot虚拟出来的系统和真正的系统看起来没有什么两样,但它是为恶意攻击者布置的陷阱。只不过,这个陷阱只能套住恶意攻击者,看看他都执行了那些命令,进行了哪些操作,使用了哪些恶意攻击工具。通过陷阱的记录,可以了解攻击者的习惯,掌握足够的攻击证据,甚至反击攻击者。
2、下套诱捕
Defnet HoneyPot是一款绿色软件,后直接使用,不用安装,其设置非常简单,迷惑性、仿真性不其它蜜罐强多了。
(1).设置虚拟系统
运行Defnet HoneyPot,在Defnet HoneyPot的程序主界面右侧,点击“HoneyPot”按钮,弹出设置对话框,在设置对话框中,可以虚拟Web、FTP、SMTP、Finger、POP3和Telnet等常规网站提供的服务。
图1
[1]