欢迎来到天天文库
浏览记录
ID:22944969
大小:56.50 KB
页数:6页
时间:2018-11-02
《打造蜜罐服务器误导攻击者》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、打造蜜罐服务器误导攻击者~教育资源库 攻击者对企业网络的攻击、渗透,往往以获取服务器的控制权,窃取企业敏感数据为目的。服务器一旦部署完成就处于内外攻击之中,安全实践证明,打造百分之百安全的服务器只能是梦想。因此,与其疲于防范,不如改变防御策略主动出击。搭建蜜罐服务器是个不错的方案,通过它分析获取攻击时间、攻击方式,甚至分析攻击者的心理习惯等,既保护了真正的服务器,同时为我们抓捕攻击者提供了依据。 下面,笔者搭建测试环境,进行蜜罐服务器的部署及其攻防演示。 模拟环境: 虚拟机A(蜜罐服务器) 系统:andGET/receibedform192.168.1.6:2025
2、ServingfileC:ProgramFiles虚拟服务器软件(4628bytes/4628bytessentto192.168.1.6:1943) Userloggedout 第一行表示,TrapServer开始侦听服务器的80端口。接下来是有一个账户登录服务器,发送了一个命令,行为是GET,后面是该账户的IP地址和使用的端口。再下面一行就是登录者获取的文件,是IIS下面的index.htm,发送2648个字节给这个地址的GET请求,完成之后用户退出。 其实有黑客攻击经验的用户都知道此记录代表的意思。他表示有攻击者用Tel连接了我们的蜜罐服务器,并进行了版本探测。很多朋
3、友都系统用手工的方法去探测服务器版本,最常用的就是直接用Tel去连接服务器的80端口,然后输入getindex.htm,通过返回的信息就知道服务器的版本了。(图4) 4、记录与跟踪 在实际应用方面,TrapServer正是当下非常流行的SQL注入的天敌,能详细地记录各种手工的和利用工具实现的方法,并完整地再现当时的入侵过程。 另外,在遭受攻击时,如果不知道攻击者的真实IP地址,可以点击跟踪按钮,软件会跟踪IP经过的路由,揪出攻击者的IP地址。(图5) 二、部署全方位的蜜罐服务器 1、工具:DefHoneyPot2004 这是一款著名的蜜罐虚拟系统,它会虚拟一台有缺陷的
4、服务器,等着恶意攻击者上钩。利用该软件虚拟出来的系统和真正的系统看起来没有什么两样,但它是为恶意攻击者布置的陷阱。通过它可以看到攻击者都执行了那些命令,进行了哪些操作,使用了哪些恶意攻击工具。通过陷阱的记录,可以了解攻击者的习惯,掌握足够123下一页友情提醒:,特别!的攻击证据,甚至反击攻击者。 2、蜜罐服务器部署 运行DefHoneyPot,在程序主界面右侧,点击HoneyPot按钮,弹出设置对话框,在设置对话框中,可以虚拟TP、Finger、POP3和Tel等常规网站提供的服务。(图6) 例如要虚拟一个FTPServer服务,则可选中相应服务FTPServer复选框,并
5、且可以给恶意攻击者FullAccess权限。并可设置好Directory项,用于指定伪装的文件目录项。(图7) 在FingerServer的Aclvanced高级设置项中,可以设置多个用户,admin用户是伪装成管理员用户的,其提示信息是administrator即管理员组用户,并且可以允许40个恶意攻击者同时连接该用户。(图8) 在TelServer的高级设置项中,还可以伪装驱动器盘符(Drive)、卷标(Volume)、序列号(serialno),以及目录创建时间和目录名,剩余磁盘空间(Freespaceinbytes),MAC地址,网卡类型等。(图9) 3、开启监视
6、 蜜罐搭建成功后,点击HoneyPot主程序界面的Monitore按钮,开始监视恶意攻击者了。当有人攻击我们的系统时,会进入我们设置的蜜罐。在HoneyPot左面窗口中的内容,就可以清楚地看到,恶意攻击者都在做什么,进行了哪些操作了。 例如我们在虚拟机B中对虚拟机A(蜜罐服务器)进行tel连接,蜜罐中显示信息如下:(图10) (9:20:52)TheIP192.168.1.6()triedinvasionbytel(CONNECTION) (9:21:31)TheIP192.168.1.6()triedinvasionbytel(USERadministrator) (9
7、:21:53)TheIP192.168.1.6()triedinvasionbytel(PASSin) (9:22:42)TheIP192.168.1.6()triedinvasionbytel(PASSthetelserver (9:23:58)TheIP192.168.1.6()triedinvasionbytel(CONNECTION) (9:24:22)TheIP192.168.1.6()triedinvasionbytel(USERroot) (9:24:44)
此文档下载收益归作者所有