返回
基于mhn蜜网的校园网防御部署及入侵分析

基于mhn蜜网的校园网防御部署及入侵分析

ID:28171230

大小:76.62 KB

页数:5页

时间:2018-12-08

基于mhn蜜网的校园网防御部署及入侵分析_第1页
基于mhn蜜网的校园网防御部署及入侵分析_第2页
基于mhn蜜网的校园网防御部署及入侵分析_第3页
基于mhn蜜网的校园网防御部署及入侵分析_第4页
基于mhn蜜网的校园网防御部署及入侵分析_第5页
资源描述:

《基于mhn蜜网的校园网防御部署及入侵分析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于MHN蜜网的校园网防御部署及入侵分析摘要:传统的被动式防御为基础的网络保护措施己经很难适应新型的主动攻击手段。为此我们采用蜜罐技术对校园网进行防御部署,有效的引导黑客的攻击,并且对各种攻击行为主动做出分析与判断。根椐蜜罐捕获的数据分析,利用模拟的漏洞,分析黑客针对漏洞的入侵行为,为校园网防御黑客的入侵防御提供依据。关键词:主动式防御校园网络安全蜜罐技术蜜网蜜罐技术是一种通过暴露特定的漏洞,从而引导迷惑黑客,从他们的手段中了解他们的目的与信息,并协助计算机取证的主动防御手段。本文基于蜜罐主动防御的思想,结合MHN部署技术在校园网内部署应用

2、蜜罐,从而提高网络安全性。1、MHN蜜网的部署MHN(ModernHoneyNetwork)由美国ThreatStream安全公司开发,以NoSql技术的MongoDB数据库做为支持,结合Mnemosyne、ArcSight与Splunk(Splunkweb+Splunkd)端处理数据的一款富罐部署控制台程序。利用MHNServer控制台,把部署的大部分操作都简化,节省了大量的时间成本,图形界面提供了更直观的数据,配合Splunk的使用,大大减少了对H志的分析所需耍的劳动力。蜜罐校园部署拓扑如图1。图1蜜罐校园部署拓扑图蜜罐1:处于防火墙之

3、外,完全暴露在互联网上,不断的收集黑客攻击的数据,提供更多攻击者的信息,掌握更多未知的木马病毒与攻击手法,使校园网能够更安全的发展。蜜罐2:DMZ区域是黑客重点访问的对象,让管理员最头痛的就是黑客往往利用DMZ区域做为跳板,对数据库拖库,篡改数据,数据嗅探等等行为[12]。利用部署的蜜罐,以障眼法迷惑黑客,在一定时间闪找出他们的目的,迅速作出反应。蜜罐3:内网区域分布数台蜜罐能有效的捕获来自内网的攻击,避免来攻击造成的损失。?榱四芨?力*便能够接受外网数据,我们将内网的M1INServer以映射的方成到解析到mhn.belive.cc,访问

4、mhn.belive.cc,即可直接访问MHNServer。利用MHNServer的一句话部署,能高效准确的安装所需要的蜜罐。蜜罐1我们可以部署Kippo+Dionaea,KIPPO蜜罐是一款屮等交互的SSH模拟软件,记录黑客每一次对SS11的爆破记录,若黑客爆破成功,将会提供一个模拟的shell环境迷惑黑客,并且将攻击源IP,客户端类型,输入的命令以及上传/下载的非法文件记录在服务器中,还可以通过修改kippo系统文件,让shell的模拟环境更真实。Dionaea靈罐是一款低交互恶意代码捕获工具,将有漏洞的服务暴漏出来,保存黑客留下的恶意

5、代码以及其他非法文件。这两款屮低交互蜜罐,都依靠自身虚拟出环境与漏洞,和真实系统没有太多交互,所以这样设计的优点是大大降低真实操作系的安全风险,而不完善的地方是模拟服务会降低数据捕获能力并容易被黑客识别。蜜罐2和3我们采用Kippo+Glastopf+Snort+pOf分析模式,Glastopf是一款相当不错的WEB富罐,能模拟许多漏洞,比如说常见的远程文件包含漏洞,可以轻而易举的捕获到攻击者上传的可疑文件,为我们后期提取分析提供有力的数据支持。远程OS指纹被动判别工具pOf,与入侵检测系统Snort搭配利用,将安全模版和指纹判别结合,对网

6、络流量实施高效的监控与分析。2、入侵数据分析经过数天的收集,分析可以发现来自内网攻击的基本为学生,攻击手段主要为端口扫描,万能密码与弱口令入侵,SQL注射攻击,XSS/CSRF盲注,以及入侵成功对内网进行ARP攻击。通过与防火墙的配合,可以将已经被入侵或者有风险的IP进行隔离,待解除后在自动移出隔离区,并且从蜜罐处获得该生的TP地址,并对其警告。我们分析部署在蜜罐1的kippo蜜罐,包括攻击次数,用户名和密码的口令猜测,攻击时间间隔的分析,攻击者IP的分布分析。账户admin与root被暴力破解次数最多,admin共计被破解1920次,ro

7、ot共计被破解1728次。密码暴力破解前四排名为123456,admin,1234,ubnt,password。我们还原了黑客在入侵后的操作,得知黑客利用了自动化脚本对网络进行大量的扫描,暴力破解并,自动下载木马文件与架设后门。通过分析扫描得知该文件属于LinuxDDOS木马文件,类型为Linux.BackDoor.Gates.6,经过调查通过调查发现Linux.BackDoor.Gates.6木马是一类有着丰富的历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,木马木马名字源于函数中大量使用Gates这个单词,该木马主要针对中国地区的服

8、务器进行DDoS攻。使用file命令对木马进行分析,发现其为一款基于1386的32位ELF可执行程序,使用insmod加载/usr/lib/xpacket.ko模块。并且在运行后

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。