基于Linux蜜网(Honeynet)的防御系统

　　配置VirtualHoneynet

　　虚拟Honeynet通常依靠某些模拟软件，在一个操作系统上同时运行几个虚拟的系统，User-Mode-Linux来实现在Linux中运行Linux的功能，创建内核通常加上“ARCH=um”，比如你用makex config，现在就需要用make xfocus ARCH= um，然后“make dep ARCH=um”、“make linux ARCH=um”，编译完成后你会得到一个名为“linux”的可执行文件。

　　创建root file system文件，并以此作为UML的启动参数。可以在一台真实的机器上用不同的root file system来启动UML。

　　虚拟系统启动

　　用命令启动虚拟系统

　　Linux ubd0=rootfs.rh72.pristine.bz2ubd1=swap eth0= mcast umn=10.10.10.50

　　以root登陆系统，密码为空，然后对虚拟系统进行配置。同时可以将日志记录等级设为最高。

　　陷阱Ssyslog

　　前面我们提到过将syslog更改并且将日志发送到MYSQL中，现在我们再做一次同样的工作，只是这次我们是在虚拟的机器中这么做，日志仍然发送到真实(物理的)机器上的MYSQL数据库中。

　　日志服务器配置：你也可以配置Snare将日志存放于远程服务器上，这里可以存放在我们的真实(物理的)机器上，或者我们可以设置严格的ACL来管理日志，或者只允许日志以appen only形式存在。

　　3 防御系统的应用实例

　　我们所部署的防御系统中的虚拟Linux蜜罐主机被黑客所攻陷，并被用以进一步对外发起扫描和攻击，此攻击的整个捕获和分析过程如下：

　　(1)自动告警工具发出告警邮件，显示虚拟Linux蜜罐主机有向外HTTP端口的网络连接。 (2)通过查看HoneyWall上的snort报警信息，发现黑客通过攻击Linux蜜罐主机的smbd服务的漏洞攻陷主机，并获得一个root权限的shell。

　　(3)进一步查看黑客攻陷蜜罐主机后的行为，发现黑客连续下载后门工具以替换系统文件如sshd和login等，同时也下载了一些批量扫描和攻击(autorooter)工具如SCAN，TD等，并不断地对外部主机的137端口进行扫描，由于Honeywall上的IPTables对外发出连接数进行了限制，结果黑客并没有利用我们的蜜罐主机攻陷任何其他主机。