扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:51CTO.COM 2007年10月18日
关键字:
在本页阅读全文(共4页)
配置VirtualHoneynet
虚拟Honeynet通常依靠某些模拟软件,在一个操作系统上同时运行几个虚拟的系统,User-Mode-Linux来实现在Linux中运行Linux的功能,创建内核通常加上“ARCH=um”,比如你用makex config,现在就需要用make xfocus ARCH= um,然后“make dep ARCH=um”、“make linux ARCH=um”,编译完成后你会得到一个名为“linux”的可执行文件。
创建root file system文件,并以此作为UML的启动参数。可以在一台真实的机器上用不同的root file system来启动UML。
虚拟系统启动
用命令启动虚拟系统
Linux ubd0=rootfs.rh72.pristine.bz2ubd1=swap eth0= mcast umn=10.10.10.50
以root登陆系统,密码为空,然后对虚拟系统进行配置。同时可以将日志记录等级设为最高。
陷阱Ssyslog
前面我们提到过将syslog更改并且将日志发送到MYSQL中,现在我们再做一次同样的工作,只是这次我们是在虚拟的机器中这么做,日志仍然发送到真实(物理的)机器上的MYSQL数据库中。
日志服务器配置:你也可以配置Snare将日志存放于远程服务器上,这里可以存放在我们的真实(物理的)机器上,或者我们可以设置严格的ACL来管理日志,或者只允许日志以appen only形式存在。
3 防御系统的应用实例
我们所部署的防御系统中的虚拟Linux蜜罐主机被黑客所攻陷,并被用以进一步对外发起扫描和攻击,此攻击的整个捕获和分析过程如下:
(1)自动告警工具发出告警邮件,显示虚拟Linux蜜罐主机有向外HTTP端口的网络连接。 (2)通过查看HoneyWall上的snort报警信息,发现黑客通过攻击Linux蜜罐主机的smbd服务的漏洞攻陷主机,并获得一个root权限的shell。
(3)进一步查看黑客攻陷蜜罐主机后的行为,发现黑客连续下载后门工具以替换系统文件如sshd和login等,同时也下载了一些批量扫描和攻击(autorooter)工具如SCAN,TD等,并不断地对外部主机的137端口进行扫描,由于Honeywall上的IPTables对外发出连接数进行了限制,结果黑客并没有利用我们的蜜罐主机攻陷任何其他主机。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。