返回
打造蜜罐服务器误导攻击者

打造蜜罐服务器误导攻击者

ID:22944969

大小:56.50 KB

页数:6页

时间:2018-11-02

打造蜜罐服务器误导攻击者_第1页
打造蜜罐服务器误导攻击者_第2页
打造蜜罐服务器误导攻击者_第3页
打造蜜罐服务器误导攻击者_第4页
打造蜜罐服务器误导攻击者_第5页
资源描述:

《打造蜜罐服务器误导攻击者》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、打造蜜罐服务器误导攻击者~教育资源库  攻击者对企业网络的攻击、渗透,往往以获取服务器的控制权,窃取企业敏感数据为目的。服务器一旦部署完成就处于内外攻击之中,安全实践证明,打造百分之百安全的服务器只能是梦想。因此,与其疲于防范,不如改变防御策略主动出击。搭建蜜罐服务器是个不错的方案,通过它分析获取攻击时间、攻击方式,甚至分析攻击者的心理习惯等,既保护了真正的服务器,同时为我们抓捕攻击者提供了依据。  下面,笔者搭建测试环境,进行蜜罐服务器的部署及其攻防演示。  模拟环境:  虚拟机A(蜜罐服务器)  系统:andGET/receibedform192.168.1.6:2025  

2、ServingfileC:ProgramFiles虚拟服务器软件(4628bytes/4628bytessentto192.168.1.6:1943)  Userloggedout  第一行表示,TrapServer开始侦听服务器的80端口。接下来是有一个账户登录服务器,发送了一个命令,行为是GET,后面是该账户的IP地址和使用的端口。再下面一行就是登录者获取的文件,是IIS下面的index.htm,发送2648个字节给这个地址的GET请求,完成之后用户退出。  其实有黑客攻击经验的用户都知道此记录代表的意思。他表示有攻击者用Tel连接了我们的蜜罐服务器,并进行了版本探测。很多朋

3、友都系统用手工的方法去探测服务器版本,最常用的就是直接用Tel去连接服务器的80端口,然后输入getindex.htm,通过返回的信息就知道服务器的版本了。(图4)  4、记录与跟踪  在实际应用方面,TrapServer正是当下非常流行的SQL注入的天敌,能详细地记录各种手工的和利用工具实现的方法,并完整地再现当时的入侵过程。  另外,在遭受攻击时,如果不知道攻击者的真实IP地址,可以点击跟踪按钮,软件会跟踪IP经过的路由,揪出攻击者的IP地址。(图5)  二、部署全方位的蜜罐服务器  1、工具:DefHoneyPot2004  这是一款著名的蜜罐虚拟系统,它会虚拟一台有缺陷的

4、服务器,等着恶意攻击者上钩。利用该软件虚拟出来的系统和真正的系统看起来没有什么两样,但它是为恶意攻击者布置的陷阱。通过它可以看到攻击者都执行了那些命令,进行了哪些操作,使用了哪些恶意攻击工具。通过陷阱的记录,可以了解攻击者的习惯,掌握足够123下一页友情提醒:,特别!的攻击证据,甚至反击攻击者。  2、蜜罐服务器部署  运行DefHoneyPot,在程序主界面右侧,点击HoneyPot按钮,弹出设置对话框,在设置对话框中,可以虚拟TP、Finger、POP3和Tel等常规网站提供的服务。(图6)  例如要虚拟一个FTPServer服务,则可选中相应服务FTPServer复选框,并

5、且可以给恶意攻击者FullAccess权限。并可设置好Directory项,用于指定伪装的文件目录项。(图7)  在FingerServer的Aclvanced高级设置项中,可以设置多个用户,admin用户是伪装成管理员用户的,其提示信息是administrator即管理员组用户,并且可以允许40个恶意攻击者同时连接该用户。(图8)  在TelServer的高级设置项中,还可以伪装驱动器盘符(Drive)、卷标(Volume)、序列号(serialno),以及目录创建时间和目录名,剩余磁盘空间(Freespaceinbytes),MAC地址,网卡类型等。(图9)  3、开启监视 

6、 蜜罐搭建成功后,点击HoneyPot主程序界面的Monitore按钮,开始监视恶意攻击者了。当有人攻击我们的系统时,会进入我们设置的蜜罐。在HoneyPot左面窗口中的内容,就可以清楚地看到,恶意攻击者都在做什么,进行了哪些操作了。  例如我们在虚拟机B中对虚拟机A(蜜罐服务器)进行tel连接,蜜罐中显示信息如下:(图10)  (9:20:52)TheIP192.168.1.6()triedinvasionbytel(CONNECTION)  (9:21:31)TheIP192.168.1.6()triedinvasionbytel(USERadministrator)  (9

7、:21:53)TheIP192.168.1.6()triedinvasionbytel(PASSin)  (9:22:42)TheIP192.168.1.6()triedinvasionbytel(PASSthetelserver  (9:23:58)TheIP192.168.1.6()triedinvasionbytel(CONNECTION)  (9:24:22)TheIP192.168.1.6()triedinvasionbytel(USERroot)  (9:24:44)

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。