科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道基于Linux蜜网(Honeynet)的防御系统

基于Linux蜜网(Honeynet)的防御系统

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着Internet的高速发展,个人、企业以及政府部门越来越多地依靠网络传递信息,然而网络的开放性与共享性使它正遭受着来自黑客、脚本编辑者所带来的巨大的安全威胁,一个安全可靠的防御网络成为现在安全领域的一个热点。

作者:51CTO.COM 2007年10月18日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共4页)

  配置VirtualHoneynet

  虚拟Honeynet通常依靠某些模拟软件,在一个操作系统上同时运行几个虚拟的系统,User-Mode-Linux来实现在Linux中运行Linux的功能,创建内核通常加上“ARCH=um”,比如你用makex config,现在就需要用make xfocus ARCH= um,然后“make dep ARCH=um”、“make linux ARCH=um”,编译完成后你会得到一个名为“linux”的可执行文件。

  创建root file system文件,并以此作为UML的启动参数。可以在一台真实的机器上用不同的root file system来启动UML。

  虚拟系统启动

  用命令启动虚拟系统

  Linux ubd0=rootfs.rh72.pristine.bz2ubd1=swap eth0= mcast umn=10.10.10.50

  以root登陆系统,密码为空,然后对虚拟系统进行配置。同时可以将日志记录等级设为最高。

  陷阱Ssyslog

  前面我们提到过将syslog更改并且将日志发送到MYSQL中,现在我们再做一次同样的工作,只是这次我们是在虚拟的机器中这么做,日志仍然发送到真实(物理的)机器上的MYSQL数据库中。

  日志服务器配置:你也可以配置Snare将日志存放于远程服务器上,这里可以存放在我们的真实(物理的)机器上,或者我们可以设置严格的ACL来管理日志,或者只允许日志以appen only形式存在。

  3 防御系统的应用实例

  我们所部署的防御系统中的虚拟Linux蜜罐主机被黑客所攻陷,并被用以进一步对外发起扫描和攻击,此攻击的整个捕获和分析过程如下:

  (1)自动告警工具发出告警邮件,显示虚拟Linux蜜罐主机有向外HTTP端口的网络连接。 (2)通过查看HoneyWall上的snort报警信息,发现黑客通过攻击Linux蜜罐主机的smbd服务的漏洞攻陷主机,并获得一个root权限的shell。

  (3)进一步查看黑客攻陷蜜罐主机后的行为,发现黑客连续下载后门工具以替换系统文件如sshd和login等,同时也下载了一些批量扫描和攻击(autorooter)工具如SCAN,TD等,并不断地对外部主机的137端口进行扫描,由于Honeywall上的IPTables对外发出连接数进行了限制,结果黑客并没有利用我们的蜜罐主机攻陷任何其他主机。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章