最新标注
热门标注
历史更新
站点地图
RSS
Home
CrazyCoder
»
原创
»
it评论
»
it业界
»
互联网
»
精品软件
开发语言
»
网络编程
编程综合
嵌入式开发
算法
英文资料
汇编语言
PowerBuilder
p2p技术
验证码识别
DotNet
Java教程
C语言教程
C 教程
Delphi教程
VB教程
QQ协议开发
项目管理
»
数据库
»
Web开发
»
Python
Css教程
XML教程
网页特效
PhotoShop教程
Illustrator教程
CorelDraw教程
Ruby教程
CorelDraw教程
网站安全
开发平台-工具
Web
PHP教程
Flash教程
Ajax教程
Javascript教程
Html教程
Dreamweaver
Asp教程
技术综合
»
软件测试
办公软件
QQ相关
Windows
网络技术
游戏开发
软件工程
软件教程
编程思想
游戏开发
外挂开发
OpenApi
AutoCad
广告设计
3D设计
平面设计相关
移动手机开发
服务器
»
Linux
Unix/FreeBsd
web服务器
服务器技术
安全
博文摘选
»
翻译
首页
»
Linux
» linux系统:基于LINUX蜜网(Honeynet)的防御系统
Rss订阅
linux系统:基于LINUX蜜网(Honeynet)的防御系统
on 2009-9-2
in
Linux
|
0 Comment
随着Internet
高速发展
个人、企业以及政府部门越来越多地依靠网络传递信息
然而网络
开放性和共享性使它正遭受着来自黑客、脚本编辑者所带来
巨大
安全威胁
分布式拒绝服务攻击、被控主机敏感信息
窃取
严重地影响了网路
正常工作
个安全可靠
防御网络成为现在安全领域
个热点
究其根源
是攻击者和防御者的间在进行着
场不对称
博弈
特别是信息上
不对称
攻击者可以利用扫描、探测等
系列技术手段全面获取攻击目标
信息
而防御者对他所受到
安全威胁
无所知
即使在被攻陷后还很难了解攻击者
来源、攻击思路方法和攻击目标
蜜网技术就是为了扭转这种不对称局面而提出
1 蜜网技术原理
蜜网技术实质上仍是
种蜜罐技术
是
种对攻击者进行欺骗
技术
通过布置
些作为诱饵
主机、网络服务以及信息诱使攻击者对他们进行攻击
减少对实际系统所造成
安全威胁
但蜜网有其自身特点:首先
蜜网是由多个蜜罐以及防火墙、入侵防御系统、系统行为记录、自动报警、辅助分析等
系列系统和工具所组成
整套体系结构
这种体系结构创建了
个高度可控
网络
使得安全研究人员可以控制和监视其中
所有攻击活动
从而去了解攻击者
攻击工具、思路方法和动机
其次
蜜网是
种高交互型
用来获取广泛
安全信息
蜜罐
高交互意味着蜜网是用真实
系统
应用
以及服务来和攻击者进行交互
蜜网体系结构具有 3大关键需求:即数据控制、数据捕获和数据分析
数据控制是对攻击者在蜜网中对第 3方发起
攻击行为进行限制
机制
用以降低部署蜜网所带来
安全风险
最大
挑战在于对攻击数据流进行控制而不能让攻击者怀疑:我们必须要给攻击者
定
自由度
允许他们做大部分“合法”
事情
比如从网络上下载入侵工具包等
这样才能获取信息
学习他们
攻击思路方法
但是要拒绝所有攻击其它机器
行为
这就需要
个自由度和安全性
权衡
数据捕获
即监控和记录攻击者在蜜网内
所有行为
最大
挑战在于要搜集尽可能多
数据
而又不被攻击者所察觉
数据分析则是对捕获到
攻击数据进行整理和融合
以辅助安全专家从中分析出这些数据背后蕴涵
攻击工具、思路方法、技术和动机
在分布式部署
蜜网体系中
还存在着将多个蜜网中捕获数据进行安全地传输到
台中央服务器
并进行集中化分析
分布式数据收集需求
2 基于LINUX蜜网
防御系统
实现
本系统中使用IP分布如下:
Name |Type |IPorGroupitems |Description Firewall |Workstation |10.10.14.11 |honeynetadministrator Roxen |Workstation |10.10.14.20 |runningtheRoxenwebserver DNS |Workstation |10.10.14.23 |DNSserver Apache |Workstation |10.10.14.30 |webserver
vulnerabiliable Honeynet |Group |Roxen+DNS+Apache |Theseareourhoneypots
本honeynet没有故意留下了漏洞
但可以通过Apache能够给用户
个nobodyshell
再使用EOE防止普通用户成为root
这样限制了攻击者所能做
事
在此基础上增加策略: (1)有主机都可以通过ssh或MYSQL连通/firewall; (2)有主机都可以连接到honeynet这个组; (3)honeynet允许连接到任意主机; (4)除了以上的外
所有
通信都被拦截; (5)所有防火墙允许通过
数据都记录
因此策略可以有下面 4条:
Num Source Destination Service ActionLog 00 Firewall sshorMySQL AcceptLog 01 honeynet any acceptlog 02 honeynet any anyacceptlog 03 other any droplog
进行日志服务器配置
日志服务器数据库采用MYSQL
首先在MYSQL中建立snort和ssyslog
用户并分别给他们对各自数据库
INSERT
DELETE
USAGE
SELECT权限思路方法如下:
Echo CREATE DATABASE snort; | mysql – u root - pmypass mysql> grant INSERT
SELECT _disibledevent=>
入侵检测系统配置
作为
个Honeynet
有大量
数据需要手工分析
IDS在这里可以起到很大
帮助
主机型入侵检测系统往往以系统日志、应用
日志等作为数据源
它保护
般是所在
系统
网络型入侵检测系统
数据源则是网络上
数据包
往往将
台主机
网卡设于混杂模式(promiscmode)
监听所有本网段内
数据包并进行判断
般网络型入侵检测系统担负着保护整个网段
任务
作为Honeynet
从目
考虑
我们需要捕获网络及主机上
所有信息
这时主机IDS
必要性不是非常明显
所以主机只要能够阻止用户执行shell或者成为超级用户就可以了
网络层使用snort作为入侵检测
记录工具
主机IDS:EyeonExec如我们上面所说
EyeonExec就是
个阻止用户执行shell或者成为超级用户
微型HIDS
它可以在发现这样
企图后报警
并且发送mail给系统管理员
网络IDS:Snort
把snort配置为记录所有连接情况
HoneynetProject提供了
份snort.conf文件
在此snort
是充当了嗅探器
作用
不用再加载
个sn
fer
这样可以减轻系统负载; 2是
旦snort没有发现攻击特征
我们还可以通过连接记录
情况来发现入侵企图
配置VirtualHoneynet
虚拟Honeynet通常依靠某些模拟软件Software
在
个操作系统上同时运行几个虚拟
系统
User-Mode-Linux来实现在Linux中运行Linux
功能
创建内核通常加上“ARCH=um”
比如你用makex config
现在就需要用make xfocus ARCH= um
然后“make dep ARCH=um”、“make linux ARCH=um”
编译完成后你会得到
个名为“linux”
可执行文件
创建root file system文件
并以此作为UML
启动参数
可以在
台真实
机器上用区别
root file system来启动UML
虚拟系统启动
用命令启动虚拟系统
Linux ubd0=rootfs.rh72.pristine.bz2ubd1=swap eth0= mcast umn=10.10.10.50 以root登陆系统
密码为空
然后对虚拟系统进行配置
同时可以将日志记录等级设为最高
陷阱Ssyslog
前面我们提到过将syslog更改并且将日志发送到MYSQL中
现在我们再做
次同样
工作
只是这次我们是在虚拟
机器中这么做
日志仍然发送到真实(物理
)机器上
MYSQL数据库中
日志服务器配置:你也可以配置Snare将日志存放于远程服务器上
这里可以存放在我们
真实(物理
)机器上
或者我们可以设置严格
ACL来管理日志
或者只允许日志以appen _disibledevent=>
3 防御系统
应用例子
我们所部署
防御系统中
虚拟Linux蜜罐主机被黑客所攻陷
并被用以进
步对外发起扫描和攻击
此攻击
整个捕获和分析过程如下: (1)自动告警工具发出告警邮件
显示虚拟Linux蜜罐主机有向外HTTP端口
网络连接
(2)通过查看HoneyWall上
snort报警信息
发现黑客通过攻击Linux蜜罐主机
smbd服务
漏洞攻陷主机
并获得
个root权限
shell
(3)进
步查看黑客攻陷蜜罐主机后
行为
发现黑客连续下载后门工具以替换系统文件如sshd和login等
同时也下载了
些批量扫描和攻击(autorooter)工具如SCAN
TD等
并不断地对外部主机
137端口进行扫描
由于Honeywall上
IPTables对外发出连接数进行了限制
结果黑客并没有利用我们
蜜罐主机攻陷任何其他主机
4 防御系统实现
主要问题
分析
在防御系统中设置蜜网
目
就是要诱人攻击
以便了解和研究黑客所采用
技术
提升网络防御能力
所以系统务必提供真实有效
服务
以便迷惑入侵者
而且要能对所有进出
数据能够进行监控
以避免无法控制局面
出现
在防御系统中我们主要针对3个方面
问题: (1)如何诱惑入侵
为了吸引入侵者
需要构建
个具有网络流量仿真能力
模拟网作为Honeynet
然后利用端口映射和重定向技术
将它转向到
个Honeynet
lP地址中
对其行为进行监控
得到入侵者使用
主要技术
同时牵制他们
主要攻击精力
保证正常网络
安全
(2)如何控制信息
信息控制是
种规则
必须保证
旦Honeynet被攻陷
不会出现无法控制
局面
避免对所保护网络
安全造成危害
难点在于如何在控制住数据流量
同时又不引起入侵者
怀疑
当入侵者突破Honeynet后
他们将进行网络连接
以便从网络上获取攻击力量等
我们必须允许他们做大部分
“合法”事情
但应防止对其他系统
攻击
可以使用多层次控制避免单点失效
同时使用人工实时监控
旦入侵者
活跃范围超越了受控制
范围
马上终止所有连接
(3)如何实现数据捕获
数据捕获主要是指IDS日志和蜜网中主机
系统日志
即“多重捕获”
对于高明入侵者在攻入系统后
会试图更改甚至销毁目标主机上易于暴露入侵行为
各种记录
蜜网
“多重捕获”措施就是在确保不被入侵者发现
前提下捕获攻击行为信息
IDS在数据链路层对蜜网中
网络数据流进行监控!分析和抓取以便将来能够重现攻击行为
蜜网中主机除了使用操作系统自身提供
日志功能外
还可以利用第 3方软件Software加强日志功能
并且传输到安全级别更高
服务器上进行备份
5 结束语
蜜网是
个很有价值
资源
通过研究运用蜜网技术深入了解已知攻击!发现未知攻击
进而根据攻击深度更新完善网络防御系统
随着各种新
观点和技术还在不断出现
相信它会开辟出网络安全主动防御领域
个新方向
并具有广阔
应用前景
Tags:
linux系统怎么样
linux文件系统
linux系统安装
linux系统
延伸阅读
2010-12-9
--
linux系统,Linux 系统硬盘 优化
2010-12-15
--
linux系统,Linux系统与性能监控
2009-2-12
--
温度监测系统:用MRTG监测Linux系统CPU温度
2008-12-4
--
容错系统:Linux上系统容错的实现
2009-2-12
--
linux文件系统:Linux系统下各文件目录的含义
2010-12-9
--
linux系统,gtf 来调整Linux系统中分辩率问题
2009-2-12
--
linux文件系统:深入理解 Linux 网络文件系统
2009-2-12
--
linux系统:Linux安全管理之改进系统内部安全机制
2008-12-4
--
linux系统:Linux系统下常见操作问题及解决方法两例
2008-12-4
--
系统加固:深入分析Linux 系统深度安全加固
最新评论
发表评论
昵称
评论
验证码
点击图片更换
赞助商广告
随机更新
iphone4s,iPhone 4S越来越近!保护套已进入零售店
新浪微博邀请码,[WCF 4.0新特性] 路由服务[原理篇](附10个新版微博邀请码)
类Android网易新闻之新闻阅读器制作(1)
神马?Nokia招聘Android开发人员
小米手机vs华为,热点透视:国产手机对战 华为VS小米
求生之路2跳出,跳出竞争的圈子之上篇
Firefox 7.0 正式版的 RC 首现 Mozilla FTP
惠普之道,惠特曼能走好惠普之道吗?
ipadios,联通推自主研发iOS新应用 iPad安装后可通话
温故而知新(1):分享设计模式(抽象工厂和单例模式)
性能测试,性能测试模型
出栈顺序,所有出栈顺序及其总数
ipad2,直至2014,iPad仍旧称霸平板电脑市场
智能电表,智能电表将能发现你正在看什么
高仿iphone,山寨之王驾到,高仿iPhone 4手机soPhone 外观界面评测
尚易邮箱,尚易推出云技术平台企业邮箱产品iCoremail
李艾科,惠普天价驱逐CEO李艾科 安抚股民情绪
由一淘iphone客户端看购物搜索入口之争
wp7应用,wp7应用DYband发布
sophone,苹果的最强模仿者soPhone 完全拆卸(多图,大图)
jquery,20个值得开发人员关注的jQuery技术网站和博客
ASP.NET MVC+Unobtrusive Ajax+jQuery实现无刷新分页
安全系统启动中,微软:Windows 8安全启动不会封杀Linux等系统
windows8,“甜蜜的”Windows 7主题:巧克力
汪涵微博,腾讯首度携产品上通信展:看完快女 看汪涵
psd模板素材,【网页设计】分享8款网页PSD模板素材
惠普新任CEO惠特曼:年底前决定PC业务归宿
我的代码库,微软一站式示例代码库(中文版)2011-09-24版本, 新添加ASP.NET, Windows Base, Silverlight, WinForm等20个Sample
艺视映像,奇艺“城市映像”微电影计划正式启动
sophone,苹果的最强模仿者soPhone 完全拆卸(多图,大图)
热门标注
天翼宽带20m
(1)
我女机器人免费
(1)
2012宽带刷钻
(1)
免费宣传机器人
(1)
2012年底
(1)
中国互联网排名
(1)
互联网排名
(1)
ps肤色还原
(1)
深入的了解
(1)
深入的了解英文
(1)
深入了解英文
(1)
深入了解操作系统
(1)
在线美图秀秀
(1)
美图秀秀拍照
(1)
虚拟社交依赖症
(1)
反中微子
(1)
中微子通信
(1)
中微子技术
(1)
太阳中微子
(1)
中微子
(2)
最近更新
Linux文件的复制、删除和移动命令使用说明
Linux中目录的创建与删除命令使用说明
linux命令,Linux备份与压缩命令使用说明
您没有访问权限,Linux改变文件或目录的访问权限命令使用说明(chmod命令)
Linux与用户有关的命令(passwd/su)
Linux系统管理命令使用说明
清除系统日志,Linux下清除系统日志的方法
linux ssh 升级安装方法
将Google Android安装到普通PC中方法[多图]
双网卡路由表,Linux下双网卡双网关路由表配置相关资料
配置路由器主机名,Linux环境下双网卡主机路由配置教程
linux系统,Linux指令大全 linux系统管理必备知识
inode,Linux inode 耗尽导致图片/文件无法上传的解决方法
debian,Debian 双网卡bond
iptables,为iptables增加connlimit模块 限制DOS攻击
snmpudp,Linux开启snmp监控后大量 Received SNMP packet(s) from UDP 的解决方法
monit,用Monit监测Linux 服务器
linux命令,Linux Top 命令解析 比较详细
linux宝典,Linux 内存机制详解宝典
linux监控,Linux 性能监控分析
最新标注
视觉元素组合
(1)
街市网
(1)
马伊琍被曝二婚
(1)
化学元素组合
(1)
天上的街市
(1)
元素组合
(1)
tweet笼子
(1)
tweetbot
(1)
tweet怎么读
(1)
tweet
(1)
水果忍者中文版
(1)
水果忍者手机版
(1)
水果忍者电脑版
(1)
水果忍者下载
(1)
水果忍者
(1)
奥迪a4谍照
(1)
新速腾谍照
(1)
crv谍照
(1)
为时不远
(1)
台湾总统府
(1)
最新评论