Module9：誘捕系統(tǒng)實(shí)習(xí)學(xué)習(xí)目的利用誘捕系統(tǒng)，找出網(wǎng)路中潛在的威脅本模組共有四個(gè)小節(jié)包括(1)誘捕系統(tǒng)簡介

(2)誘捕系統(tǒng)工具介紹

(3)誘捕系統(tǒng)的實(shí)務(wù)

(4)誘捕系統(tǒng)的專案實(shí)作

9-2Module9：誘捕系統(tǒng)實(shí)習(xí)Module9-1：誘捕系統(tǒng)簡介(*)

Module9-2：誘捕系統(tǒng)工具介紹(*)Module9-3：誘捕系統(tǒng)的實(shí)務(wù)(**)

Module9-4：誘捕系統(tǒng)的專案實(shí)作(*)9-3*初級(jí)(basic)：基礎(chǔ)性教材內(nèi)容**中級(jí)(moderate)：教師依據(jù)學(xué)生的吸收情況，選擇性介紹本節(jié)的內(nèi)容***高級(jí)(advanced)：適用於深入研究的內(nèi)容Module9-1：誘捕系統(tǒng)簡介(*)9-4誘捕系統(tǒng)(Honeypot)的介紹誘捕系統(tǒng)(Honeypot)：受到嚴(yán)密監(jiān)控的網(wǎng)路誘騙系統(tǒng)，具有以下特點(diǎn)迷惑敵人，誘使駭客攻擊Honeypot而無暇去攻擊一些系統(tǒng)中比較重要的機(jī)器對新攻擊發(fā)出預(yù)警引誘駭客攻擊可使用入侵偵測系統(tǒng)與防火牆等結(jié)合使用，以提升安全性9-5誘捕系統(tǒng)(Honeypot)的重要性引誘攻擊者入侵組織資訊系統(tǒng)的陷阱作為對系統(tǒng)弱點(diǎn)預(yù)警的監(jiān)視工具減低資訊科技系統(tǒng)及網(wǎng)路遭攻擊的風(fēng)險(xiǎn)蒐集入侵方法並加以分析，為系統(tǒng)的潛在漏洞提供寶貴資訊9-6誘捕系統(tǒng)(Honeypot)的重要性(續(xù))傳統(tǒng)的IDS

針對已知的入侵手法對外來的attacker作出警告Honeypot

學(xué)習(xí)駭客入侵的工具，以找出作業(yè)系統(tǒng)的弱點(diǎn)

增加對惡意程式的蒐證9-7誘捕系統(tǒng)(Honeypot)的功能誘捕系統(tǒng)模擬成有缺陷的系統(tǒng)，等待攻擊者來攻擊，藉以蒐集攻擊的手法與方式Honeypot解決IDS或防火牆記錄等資訊過量問題為一個(gè)模擬或真實(shí)的網(wǎng)路系統(tǒng)隱藏在防火牆後面，所有進(jìn)出的資料皆受到監(jiān)視使用不同的作業(yè)系統(tǒng)及設(shè)備，如Solaris、Linux、WindowsNT及Cisco

Switch9-8誘捕系統(tǒng)(Honeypot)的功能(續(xù))不同的系統(tǒng)平臺(tái)上面運(yùn)行著不同的服務(wù)例：Linux的DNSserver、WindowsNT的webserver或Solaris的FTPServer入侵者會(huì)將目標(biāo)定於幾個(gè)特定的系統(tǒng)漏洞上不同的服務(wù)有不同的攻擊手法分析記錄使我們了解服務(wù)的弱點(diǎn)9-9誘捕系統(tǒng)(Honeypot)的分類低互動(dòng)性誘捕系統(tǒng)(Low-InteractionHoneypot)提供有限的服務(wù)，藉由模擬服務(wù)與作業(yè)系統(tǒng)來運(yùn)作風(fēng)險(xiǎn)也較小，因攻擊者絕不會(huì)進(jìn)到一個(gè)真實(shí)的作業(yè)系統(tǒng)高互動(dòng)性誘捕系統(tǒng)(High-InteractionHoneypot)

以真實(shí)的作業(yè)系統(tǒng)與真實(shí)的應(yīng)用程式來運(yùn)作，而非模擬風(fēng)險(xiǎn)相對較高，因攻擊者可能攻陷一個(gè)真實(shí)的作業(yè)系統(tǒng)，並威脅真實(shí)的網(wǎng)路9-10低互動(dòng)性誘捕系統(tǒng)(Low-InteractionHoneypot)模擬現(xiàn)有作業(yè)系統(tǒng)上的服務(wù)監(jiān)控沒有使用的IP位址空間記錄攻擊主要優(yōu)勢較容易部署與維護(hù)風(fēng)險(xiǎn)亦較小，因攻擊者絕不會(huì)進(jìn)到一個(gè)真實(shí)的作業(yè)系統(tǒng)例：Honeyd、Nepenthes及Honeytrap9-11高互動(dòng)性誘捕系統(tǒng)(High-InteractionHoneypot)以真實(shí)的作業(yè)系統(tǒng)來構(gòu)建，提供真實(shí)的系統(tǒng)和服務(wù)給駭客攻擊不預(yù)設(shè)一個(gè)攻擊者會(huì)有什麼樣的行為，而提供可以追蹤所有活動(dòng)的環(huán)境缺點(diǎn)：更多的風(fēng)險(xiǎn)-駭客可能透過真實(shí)系統(tǒng)攻擊和滲透網(wǎng)路中的其他機(jī)器部署較為複雜，技術(shù)層面較高例：Honeywall-ROO、HIHAT及Honeybow9-12Low-Interactionv.s.High-InteractionHoneypot9-13Module9-2：誘捕系統(tǒng)工具介紹(*)9-14誘捕系統(tǒng)(Honeypot)工具比較商業(yè)軟體優(yōu)：效果佳缺：成本高例：SymantecDecoyServer與KFSensor免費(fèi)軟體優(yōu)：成本低缺：缺少某些商業(yè)軟體所提供的效果例：Honeyd與Nepenthes9-15誘捕系統(tǒng)(Honeypot)工具比較例子代表入侵偵測型惡意程式誘捕型商業(yè)SymantecDecoyServerKFSensorOpen-SourceHoneyDNepenthes9-16誘捕系統(tǒng)(Honeypot)工具

-SymantecDecoyServer由賽門鐵克公司所發(fā)展商用之誘捕系統(tǒng)會(huì)警示由內(nèi)/外部所發(fā)出之未經(jīng)授權(quán)的入侵意圖可自動(dòng)地偵測與回應(yīng)新型態(tài)的攻擊在與對手互動(dòng)時(shí)產(chǎn)生模擬的流量過程可重播9-17誘捕系統(tǒng)(Honeypot)工具

-KFSensor可針對Windows作業(yè)系統(tǒng)所提供的各項(xiàng)服務(wù)以及弱點(diǎn)進(jìn)行模擬可模擬Windows的網(wǎng)路，如NetBIOS、SMB、CIFS可偵測到針對Windows檔案分享的攻擊模擬常見的通訊協(xié)定如：FTP、SMB、POP3、HTTP、Telnet、SMTP與SOCKS等以蒐集攻擊者的資訊資料來源：/kfsensor/9-18誘捕系統(tǒng)(Honeypot)工具-Honeyd輕型Open-source的虛擬Honeypot模擬多個(gè)作業(yè)系統(tǒng)和網(wǎng)路服務(wù)諸多外掛模組，用於模擬常見的服務(wù)模擬微軟IIS網(wǎng)頁伺服器的Scripts模擬SMTP模擬HTTP模擬Telnet支援IP協(xié)定架構(gòu)模擬任意拓?fù)浼軜?gòu)的虛擬網(wǎng)路與網(wǎng)路通道9-19誘捕系統(tǒng)(Honeypot)工具-Honeyd(續(xù))處理目的IP位址屬於虛擬Honeypot之一的網(wǎng)路封包的方法對指向Honeyd主機(jī)的虛擬IP位址創(chuàng)建特定路由使用ARP-Proxy使用網(wǎng)路通道9-20使用ARP-Proxy封包的Destination=HoneypotWindowsNT4.09-21使用ARP-Proxy(續(xù))路由器查詢它的路由表由找到3的轉(zhuǎn)送位址9-22使用ARP-Proxy(續(xù))沒有配置專用的路由9-23使用ARP-Proxy(續(xù))路由器透過ARP請求確定3的MAC位址9-24使用ARP-Proxy(續(xù))路由器把發(fā)送HoneypotWindowsNT4.0的封包轉(zhuǎn)到Honeyd主機(jī)的MAC位址

9-25Honeyd原理說明9-26在port80等待連線Honeyd原理說明(續(xù))有人連進(jìn)來，由subsystem接受連線9-27Honeyd原理說明(續(xù))由internalservice決定如何回應(yīng)9-28Honeyd配置透過配置模板(Template)來配置虛擬的Honeypot配置語言是一種Context-free文法(上下文順序無關(guān))，可以設(shè)定虛擬網(wǎng)路、作業(yè)系統(tǒng)及服務(wù)9-29配置模板###DefaultTemplatecreatedefault#Setdefaultbehaviorsetdefaultpersonality"MicrosoftWindowsXPHomeEdition"setdefaultdefaulttcpactionopensetdefaultdefaultudpactionopensetdefaultdefaulticmpactionopenadddefaulttcpport80"perl/opt/honeyd/scripts/windows/iis/iisemu18.pl"adddefaulttcpport23"perl/opt/honeyd/scripts/windows/cmdexe.pl"adddefaulttcpport139openadddefaulttcpport137openadddefaultudpport137openadddefaultudpport135open創(chuàng)建一作業(yè)系統(tǒng)模板

9-30配置模板(續(xù))###DefaultTemplatecreatedefault#Setdefaultbehaviorsetdefaultpersonality"MicrosoftWindowsXPHomeEdition"setdefaultdefaulttcpactionopensetdefaultdefaultudpactionopensetdefaultdefaulticmpactionopenadddefaulttcpport80"perl/opt/honeyd/scripts/windows/iis/iisemu18.pl"adddefaulttcpport23"perl/opt/honeyd/scripts/windows/cmdexe.pl"adddefaulttcpport139openadddefaulttcpport137openadddefaultudpport137openadddefaultudpport135open設(shè)定該模板的Nmap指紋

9-31配置模板(續(xù))###DefaultTemplatecreatedefault#Setdefaultbehaviorsetdefaultpersonality"MicrosoftWindowsXPHomeEdition"setdefaultdefaulttcpactionopensetdefaultdefaultudpactionopensetdefaultdefaulticmpactionopenadddefaulttcpport80"perl/opt/honeyd/scripts/windows/iis/iisemu18.pl"adddefaulttcpport23"perl/opt/honeyd/scripts/windows/cmdexe.pl"adddefaulttcpport139openadddefaulttcpport137openadddefaultudpport137openadddefaultudpport135open設(shè)定預(yù)設(shè)的TCP和UDP和ICMP動(dòng)作

9-32配置模板(續(xù))###DefaultTemplatecreatedefault#Setdefaultbehaviorsetdefaultpersonality"MicrosoftWindowsXPHomeEdition"setdefaultdefaulttcpactionopensetdefaultdefaultudpactionopensetdefaultdefaulticmpactionopenadddefaulttcpport80"perl/opt/honeyd/scripts/windows/iis/iisemu18.pl"adddefaulttcpport23"perl/opt/honeyd/scripts/windows/cmdexe.pl"adddefaulttcpport139openadddefaulttcpport137openadddefaultudpport137openadddefaultudpport135open設(shè)定系統(tǒng)監(jiān)聽埠號(hào)，並且呼叫腳本iisemul8.pl

和cmdexe.pl9-33配置模板(續(xù))###DefaultTemplatecreatedefault#Setdefaultbehaviorsetdefaultpersonality"MicrosoftWindowsXPHomeEdition"setdefaultdefaulttcpactionopensetdefaultdefaultudpactionopensetdefaultdefaulticmpactionopenadddefaulttcpport80"perl/opt/honeyd/scripts/windows/iis/iisemu18.pl"adddefaulttcpport23"perl/opt/honeyd/scripts/windows/cmdexe.pl"adddefaulttcpport139openadddefaulttcpport137openadddefaultudpport137openadddefaultudpport135open打開TCP139與137Port打開UDP137與135Port9-34誘捕系統(tǒng)(Honeypot)工具-NepenthesNepenthes為惡意程式誘捕系統(tǒng)，藉由模擬系統(tǒng)弱點(diǎn)，誘使惡意程式對誘捕系統(tǒng)進(jìn)行攻擊，進(jìn)而捕捉到惡意程式，是屬於Low-InteractionHoneypot9-35誘捕系統(tǒng)(Honeypot)工具-Nepenthes(續(xù))VulnerabilityModules：模擬網(wǎng)路服務(wù)的弱點(diǎn)

9-36誘捕系統(tǒng)(Honeypot)工具-Nepenthes(續(xù))ShellcodeparsingModules：分析與反解ExploitPayload，找出Mal-URL9-37誘捕系統(tǒng)(Honeypot)工具-Nepenthes(續(xù))FetchModules：利用HTTP、FTP、TFTP…從遠(yuǎn)端抓取惡意程式Binary

9-38誘捕系統(tǒng)(Honeypot)工具-Nepenthes(續(xù))SubmissionModules：將抓下來的惡意程式存到Disk，或其他伺服器

9-39誘捕系統(tǒng)(Honeypot)工具-Nepenthes(續(xù))於Linux環(huán)境下執(zhí)行，透過模組模擬不同的系統(tǒng)弱點(diǎn)，並可將蒐集的惡意程式儲(chǔ)存在分散式的資料庫中Developer：PaulBaecher,MarkusKoetterNepenthes網(wǎng)址：http://nepenthes.carnivore.itNepenthes…9-40誘捕系統(tǒng)(Honeypot)工具-Nepenthes(續(xù))Nepenthes可以模擬的弱點(diǎn)9-41Namevuln-asn1vuln-optixvuln-baglevuln-pnpvuln-damewarevuln-sasserftpdvuln-dcomvuln-mymqvuln-veritasvuln-upnpvuln-mssqlvuln-winsvuln-ftpdvuln-msdtcvuln-mydoomvuln-sub7vuln-netddevuln-netbiosnamevuln-iisvuln-kuang2vuln-lsass漏洞掃描工具-X-Scan掃瞄內(nèi)容包括：遠(yuǎn)端系統(tǒng)服務(wù)類型、操作系統(tǒng)類型及版本，各種弱點(diǎn)漏洞、後門、應(yīng)用服務(wù)漏洞原創(chuàng)作者：XFOCUSTeamX-Scan網(wǎng)址：/programs/200507/189-42結(jié)論Honeyd可以應(yīng)用在網(wǎng)路安全的許多領(lǐng)域例︰病毒探測、反蠕蟲、阻止垃圾郵件及轉(zhuǎn)移攻擊目標(biāo)等Honeypot系統(tǒng)都是正在發(fā)展中的技術(shù)，還需要不斷地?cái)U(kuò)充和完善功能，提升迷惑性和自身的安全性誘捕系統(tǒng)為安全研究使用較多，部署於企業(yè)內(nèi)部需考量其風(fēng)險(xiǎn)及安全性，並配合適當(dāng)?shù)谋O(jiān)控及分析技術(shù)，否則仍不適用於一般的企業(yè)作為安全機(jī)制的一環(huán)9-43Module9-3：誘捕系統(tǒng)的實(shí)務(wù)(**)9-44說明架設(shè)實(shí)作(一)，請使用HoneyD軟體配置Honeypot誘捕系統(tǒng)。依實(shí)驗(yàn)拓樸，請使用HoneyD主機(jī)做安裝及測試架設(shè)實(shí)作(二)，請使用Nepenthes軟體配置Nepenthes誘捕系統(tǒng)，並利用X-Scan做掃描。依實(shí)驗(yàn)拓樸，請使用Nepenthes主機(jī)做Nepenthes軟體安裝及測試，attacker主機(jī)做7z軟體及X-Scan軟體安裝及測試9-45架設(shè)實(shí)作(一)Honeypot架設(shè)實(shí)作實(shí)習(xí)9-46實(shí)作環(huán)境介紹9-47routerOS：FC6-STDIP1：IP2：attackerOS：WINXP-SP2IP：HoneyDOS：FC6-yum-STDIP：安裝軟體：HoneydIP1IP2實(shí)驗(yàn)拓樸onTestbed@TWISC

-建立完成的實(shí)驗(yàn)拓樸9-48誘捕系統(tǒng)(Honeypot)工具-Honeyd版本honeyd-1.5c支援作業(yè)平臺(tái)Linux及OpenBSD

其他需求工具libpcap、libdnet、libevent、libedit、termcap、pcre、及arpd下載位址/uploads/honeyd-1.5c.tar.gz9-49誘捕系統(tǒng)(Honeypot)工具-HoneydLibpcap:是Linux系統(tǒng)中用以擷取封包的工具之ㄧLibdnet:提供了修改封包IP的功能Libevent:透過libevent使我們可以設(shè)定當(dāng)某些事件發(fā)生時(shí)就會(huì)執(zhí)行的某些函示，也就是我們可以透過libevent來呼叫特定的script來模擬某些作業(yè)系統(tǒng)的網(wǎng)路特徵Libedit:提供讀取封包的功能Termcap:提供傳送控制訊息的功能Pcre:處理PCRE-PerlCompatibleRegularExpressions正規(guī)表示式的一個(gè)函式庫Arpd:如果駭客的ARPrequests是指向一個(gè)虛擬IP，arpd會(huì)回應(yīng)駭客使駭客以為這個(gè)虛擬IP指向honeyd9-50其他需求工具-libdnet版本libdnet-1.11支援作業(yè)平臺(tái)Fedora3/4/5/6

下載位址.tw/images/stories/Honeypot_tools/honeyd_files/1_libdnet-1.11.tar.gz9-51其他需求工具-libevent版本libevent-1.4.8支援作業(yè)平臺(tái)Linux、BSD、MacOSX及Solaris下載位址.tw/images/stories/Honeypot_tools/honeyd_files/2_libevent-1.4.8-stable.tar.gz9-52其他需求工具-libpcap版本libpcap-1.0.0支援作業(yè)平臺(tái)Fedora5/6、StartCom5及Arklinux下載位址.tw/images/stories/Honeypot_tools/honeyd_files/3_libpcap-1.0.0.tar.gz9-53其他需求工具-arpd版本arpd-0.2支援作業(yè)平臺(tái)Linux

下載位址.tw/images/stories/Honeypot_tools/honeyd_files/4_arpd.zip9-54其他需求工具-termcap版本termcap-1.3.1支援作業(yè)平臺(tái)Linux及BSD下載位址.tw/images/stories/Honeypot_tools/honeyd_files/5_termcap-1.3.1.tar.gz9-55其他需求工具-libedit版本libedit-0.3支援作業(yè)平臺(tái)Linux及BSD下載位址.tw/images/stories/Honeypot_tools/honeyd_files/6_libedit-0.3.tar.gz9-56其他需求工具-pcre版本pcre-7.8支援作業(yè)平臺(tái)Fedora6下載位址.tw/images/stories/Honeypot_tools/honeyd_files/7_pcre-7.8.tar.gz9-57rrdtool版本rrdtool-1.0.50-3.el5.rf.i386.rpm支援作業(yè)平臺(tái)Fedora6下載位址/linux/dag/redhat/el5/en/i386/dag/RPMS/rrdtool-1.0.50-3.el5.rf.i386.rpm9-58Honeyd執(zhí)行以下指令：#sudosu#yum-yinstallkernel-headers,kernel,kernel-devel#yum-yinstallgcc,glibc,glic-develgcc-c++,flex,bison,byacc,zlib-devel9-59將權(quán)限切換至root#mkdir/honeyd/#cd/honeyd/#cp/share/isc/Module09/1_libdnet-1.11.tar.gz.#tarzxvf1_libdnet-1.11.tar.gz#cdlibdnet-1.11#./configure-prefix=/usr#make#makeinstall#cd..Honeyd(續(xù))9-60建立honeyd這個(gè)目錄

並用cd指令切換到honeyd這個(gè)目錄之下

複製1_libdnet-1.11.tar.gz並解壓縮後進(jìn)入libdnet-1.11目錄利用./configure、make及makeinstall安裝1_libdnet-1.11安裝最後回到/honeyd/那層目錄Honeyd(續(xù))#cp/share/isc/Module09/2_libevent-1.4.8-stable.tar.gz.#tarzxvf2_libevent-1.4.8-stable.tar.gz#cdlibevent-1.4.8-stable/#./configure-prefix=/usr#make#makeinstall#cd..利用./configure、make及makeinstall安裝2_libevent-1.4.8複製2_libevent-1.4.8-stable.tar.gz並解壓縮後進(jìn)入libevent-1.4.8-stable/目錄9-61#cp/share/isc/Module09/3_libpcap-1.0.0.tar.gz.#tarzxvf3_libpcap-1.0.0.tar.gz#cdlibpcap-1.0.0#./configure--prefix=/usr#make#makeinstall#cd..Honeyd(續(xù))9-62複製3_libpcap-1.0.0.tar.gz並解壓縮利用./configure、make及makeinstall安裝3_libpcap-1.0.0切到libpcap-1.0.0之下

Honeyd(續(xù))#cp/share/isc/Module09/4_arpd.zip.#unzip-darpd/4_arpd.zip#cdarpd/#ls#chmoda+x*#ls#./configure--prefix=/usr#make#makeinstall#cd..9-63複製4_arpd.zip並解壓縮切到arpd/之下

利用./configure、make及makeinstall安裝4_arpd增加執(zhí)行權(quán)限Honeyd(續(xù))#cp/share/isc/Module09/5_termcap-1.3.1.tar.gz.#tarzxvf5_termcap-1.3.1.tar.gz#cdtermcap-1.3.1-src/src#./configure--prefix=/usr#make#makeinstall#cd../..9-64複製5_termcap-1.3.1.tar.gz並解壓縮切到termcap-1.3.1-src/src之下

利用./configure、make及makeinstall安裝5_termcap-1.3.1Honeyd(續(xù))#cp/share/isc/Module09/6_libedit-0.3.tar.gz.#tarzxvf6_libedit-0.3.tar.gz#cdlibedit#./configure--prefix=/usr#make#makeinstall#cd..複製6_libedit-0.3.tar.gz並解壓縮移至libedit-0.3利用./configure、make及makeinstall安裝6_libedit-0.3Honeyd(續(xù))#cp/share/isc/Module09/7_pcre-7.8.tar.gz.#tarzxvf7_pcre-7.8.tar.gz#cdpcre-7.8#./configure--prefix=/usr#make#makeinstall#cd..複製7_pcre-7.8.tar.gz並解壓縮移至pcre-7.8利用./configure、make及makeinstall安裝pcre-7.89-66Honeyd(續(xù))#cp/share/isc/Module09/rrdtool-1.0.50-3.el5.rf.i386.rpm.#rpm-ivhrrdtool-1.0.50-3.el5.rf.i386.rpm用於產(chǎn)生Time-Series圖檔，如果此套件沒有安裝，honeyd很容易產(chǎn)生錯(cuò)誤，停止執(zhí)行。9-67Honeyd(續(xù))#cp/share/isc/Module09/honeyd-1.5c.tar.gz.#tarzxvfhoneyd-1.5c.tar.gz#cdhoneyd-1.5c#./configure--prefix=/usr#make#makeinstall#cd..9-68複製9_honeyd-1.5c.tar.gz並解壓縮利用./configure--prefix=/usr、make及makeinstall安裝honeyd-1.5cHoneyd(續(xù))#mkdir-p/opt/honeyd/bin/#mkdir-p/opt/honeyd/etc/#mkdir-p/opt/honeyd/log/#cp/usr/sbin/arpd/opt/honeyd/bin/#cp/usr/bin/honeyd/opt/honeyd/bin/9-69在/opt/honeyd/之下建立bin、etc及l(fā)og這3個(gè)資料夾Honeyd(續(xù))#cp/share/isc/Module09/honeyd_kit.zip.#unzip-dhoneyd_kit/honeyd_kit.zip安裝模擬honeyd的windows服務(wù)之scripts檔案#cp/share/isc/Module09/smtp/opt/honeyd/bin/#cp/share/isc/Module09/proxy/opt/honeyd/bin/#cp/usr/share//honeyd/nmap.assoc/opt/honeyd/etc/把smtp及proxy這幾個(gè)檔案與nmap.assoc複製到/opt裡相對應(yīng)的位置9-70Honeyd(續(xù))#cp/usr/share/honeyd/nmap.prints/opt/honeyd/etc/#cp/usr/share/honeyd/pf.os/opt/honeyd/etc/#cp/usr/share/honeyd/xprobe2.conf/opt/honeyd/etc/#cp/share/isc/Module09/honeyd.conf/opt/honeyd/etc/#cp-rf/honeyd/honeyd_kit/scripts//opt/honeyd/#cp-rf/honeyd/honeyd_kit/start-honeyd.sh/opt/honeyd/把nmap.prints、xprobe2.conf、pf.os、

honeyd.conf、start-honeyd.sh及scripts資料夾複製到/opt裡相對應(yīng)的位置9-71Honeyd(續(xù))#cd/opt/honeyd/bin/#./arpd-ieth4#touch/opt/honeyd/log/honeyd.log#touch/opt/honeyd/log/service.log#chown-Rnobody.nobody/opt/honeyd/log#ls-l/opt/honeyd/log/*依honeyd.conf的設(shè)定執(zhí)行honeyd並把訊息紀(jì)錄到honeyd.log並用less指令查看紀(jì)錄9-72在eth4上監(jiān)聽封包、更改紀(jì)錄的存取時(shí)間及存取權(quán)限及用ls–l看log/下有哪些檔案Honeyd(續(xù))#cd/opt/honeyd/#vistart-honeyd.sh1.將「set–x」此行前面加上#做註解

2.將eth1改為eth4#chmoda+xstart-honeyd.sh#shstart-honeyd.sh#psaux|grephoneyd加註解改9-73結(jié)果9-74Honeyd正在背景程序執(zhí)行中編輯程式碼#vi/opt/honeyd/etc/honeyd.conf游標(biāo)移至要?jiǎng)h除的第一行，按dG

(游標(biāo)以下全刪)保留紅色方框區(qū)塊，其他部份全刪除9-75編輯程式碼(續(xù))修改後之完整程式碼新增：「binddefault」，做為ARPSpoofing所假冒的IP位址9-76編輯程式碼(續(xù))9-77#vi/opt/honeyd/scripts/windows/cmdexe.pl將紅色框內(nèi)的「-T」刪除#chmoda+x/opt/honeyd/scripts/windows/cmdexe.pl#mkdir/var/cmdexe#touch/var/cmdexe/logfile#chown-Rnobody.nobody/var/cmdexe9-78編輯程式碼(續(xù))攻擊測試於attacker主機(jī)使用CommandPrompt進(jìn)行telnet9-79Telnet一臺(tái)不存在的機(jī)器，以cmdexe.pl作回應(yīng)，偽裝成WindowsXP的機(jī)器回應(yīng)

TroubleShooting如操作過程有疑慮，請查看log並依指示除錯(cuò)#cdlog9-80Honeyd的log存放於/ops/honeyd/log/，並包含四個(gè)log之連線記錄架設(shè)實(shí)作(二)Nepenthes架設(shè)實(shí)作實(shí)習(xí)9-81實(shí)驗(yàn)環(huán)境介紹attackerOS：WINXP-SP2IP：routerOS：FC6-STDIP1：IP2：NepenthesOS：FC6-yum-STDIP：安裝軟體：nepenthes9-82IP2IP1實(shí)驗(yàn)拓樸onTestbed@TWISC

-建立完成的實(shí)驗(yàn)拓樸9-83誘捕系統(tǒng)(Honeypot)工具-Nepenthes版本nepenthes-0.2.2支援作業(yè)平臺(tái)gentoo、debian、FreeBSD及OpenBSD下載位址/nepenthes/nepenthes-0.2.2.tar.gz?use_mirror=nchc9-84漏洞掃描工具-X-Scan版本X-Scan-3.3支援作業(yè)平臺(tái)Windows下載位址/programs/200507/X-Scan-v3.3-en.rar其他需求7z-4.659-85其他需求工具-7z版本7z-4.65支援作業(yè)平臺(tái)Windows下載位址/project/sevenzip/7-Zip/4.65/7z465.exe?use_mirror=nchc9-86#sudosu#yum-yupdate#yum-yinstallsubversionautomakelibtoolflexbisongccgcc-c++curlcurl-develpcrepcre-develadnsadns-develfilelibpcaplibpcap-develiptables-devel#cd/root#cp/share/isc/Module09/nepenthes-0.2.2.tar.gz.#tarvxzfnepenthes-0.2.2.tar.gz#cdnepenthes-0.2.2/Nepenthes將作業(yè)系統(tǒng)update並安裝subversion、automake…等套件移到/root之下、下載nepenthes-0.2.2.tar.gz並解壓縮9-87Nepenthes(續(xù))#autoreconf-v-i--force#./configure--prefix=/opt/nepenthes#make#makeinstall#/opt/nepenthes/bin/nepenthes-c/opt/nepenthes/etc/nepenthes/nepenthes.conf-r/opt/nepenthes-D利用./configure、make及makeinstall安裝nepenthes執(zhí)行nepenthes9-889-89Nepenthes執(zhí)行成功安裝X-Scan於attacker主機(jī)下載7z及X-Scan軟體安裝7z軟體，以執(zhí)行X-Scan軟體之解壓縮解壓縮X-Scan軟體進(jìn)資料夾並點(diǎn)擊xscan_gui.exe執(zhí)行9-90選擇要掃瞄之