很多时候,经常遇到站长很无辜的被别人入侵,他们很迷惑,为什么被入侵,怎么被入侵,我的网站咋被黑了。这是我遇到的站长反应的问题最多。然后第2个意识就是怎么弥补,怎么删网马。所以他们采用的办法都是亡羊补牢。我认为我们有时候应该处于主动,不能老是被动。所以我今天介绍蜜罐技术
模拟环境:
虚拟机A IP:192.168.1.10 (蜜罐系统)
虚拟机B IP:192.168.1.6 (攻击主机)
一、打造蜜罐,反击攻击者汽车首付多少>梦醒的夏天
1、软件介绍
“Defnet HoneyPot 2004”是一个著名的“蜜罐”虚拟系统,它会虚拟一台有“缺陷”的电脑,等着恶意攻击者上钩。这种通过IPHONE 14 PRODefnet HoneyPot虚拟出来的系统和真正的系统看起来没有什么两样,但它是为恶意攻击者布置的陷阱。只不过,这个陷阱只能套住恶意攻击者,看看他都执行了那些命令,进行了哪些操作,使用了哪些恶意攻击工具。通过陷阱的记录,可以了解攻击者的习惯,掌握足够的攻击证据,甚至反击攻击者。
2、下套诱捕
模拟环境:
虚拟机A IP:192.168.1.10 (蜜罐系统)
虚拟机B IP:192.168.1.6 (攻击主机)
一、打造蜜罐,反击攻击者汽车首付多少>梦醒的夏天
1、软件介绍
“Defnet HoneyPot 2004”是一个著名的“蜜罐”虚拟系统,它会虚拟一台有“缺陷”的电脑,等着恶意攻击者上钩。这种通过IPHONE 14 PRODefnet HoneyPot虚拟出来的系统和真正的系统看起来没有什么两样,但它是为恶意攻击者布置的陷阱。只不过,这个陷阱只能套住恶意攻击者,看看他都执行了那些命令,进行了哪些操作,使用了哪些恶意攻击工具。通过陷阱的记录,可以了解攻击者的习惯,掌握足够的攻击证据,甚至反击攻击者。
2、下套诱捕
李玟雨移交检察院 Defnet HoneyPot是一款绿软件,下载后直接使用,不用安装,其设置非常简单,迷惑性、仿真性不其它蜜罐强多了。
(1).设置虚拟系统
运行Defnet HoneyPot,在Defnet HoneyPot的程序主界面右侧,点击“HoneyPot清明寄语大全”按钮,弹出设置对话框,在设置对话框中,可以虚拟Web、FTP、SMTP、Finger、POP3和Telnet等常规网站提供的服务。
(1).设置虚拟系统
运行Defnet HoneyPot,在Defnet HoneyPot的程序主界面右侧,点击“HoneyPot清明寄语大全”按钮,弹出设置对话框,在设置对话框中,可以虚拟Web、FTP、SMTP、Finger、POP3和Telnet等常规网站提供的服务。
例如要虚拟一个FTP Server服务,则可选中相应服务“FTP Server”复选框,并且可以给恶意攻击者“Full Access”权限。并可设置好“Directory”项,用于指定伪装的文件目录项。
图2
在“Finger Server”的“Aclvanced幼儿园保育员总结”高级设置项中,可以设置多个用户,“admin”用户是伪装成管理员用户的,其提示信息是“administrator”即管理员组用户,并且可以允许40个恶意攻击者同时连接该用户。
在“Finger Server”的“Aclvanced幼儿园保育员总结”高级设置项中,可以设置多个用户,“admin”用户是伪装成管理员用户的,其提示信息是“administrator”即管理员组用户,并且可以允许40个恶意攻击者同时连接该用户。
图3
在“Telnet Server”的高级设置项中,还可以伪装驱动器盘符(Drive)、卷标(Volume)、序列号(serial no),以及目录创建时间和目录名,剩余磁盘空间(Free space in bytes),MAC地址,网卡类型等。
在“Telnet Server”的高级设置项中,还可以伪装驱动器盘符(Drive)、卷标(Volume)、序列号(serial no),以及目录创建时间和目录名,剩余磁盘空间(Free space in bytes),MAC地址,网卡类型等。
这样一来,就可以让虚拟出来的系统更加真实了。
(2).幕后监视
蜜罐搭建成功后,点击HoneyPot主程序界面的“Monitore”按钮,开始监视恶意攻击者了。当有人攻击我们的系统时,会进入我们设置的蜜罐。在HoneyPot左面窗口中的内容,就可以清楚地看到,恶意攻击者都在做什么,进行了哪些操作了。
图5
例如,蜜罐中显示信息如下:
(9:20:52) The IP 192.168.1.6 () tried invasion by telnet (CONNECTION )
(9:21:31) The IP 192.168.1.6 () tried invasion by telnet (USER administrator)
(9:21:53) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )
(9:22:21) The IP 192.168.1.6 () tried invasion by telnet (USER admin)
(9:22:42) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )
(9:23:08) The IP 192.168.1.6 () tried invasion by telnet (USER root)
(9:23:29) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )
The invasor disconnected from the telnet server
(9:23:58) The IP 192.168.1.6 () tried invasion by telnet (CONNECTION )
(9:24:22) The IP 192.168.1.6 () tried invasion by telnet (USER root)
(9:24:44) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD root)
(9:25:08) The IP 192.168.1.6 () tried invasion by telnet (dir)
例如,蜜罐中显示信息如下:
(9:20:52) The IP 192.168.1.6 () tried invasion by telnet (CONNECTION )
(9:21:31) The IP 192.168.1.6 () tried invasion by telnet (USER administrator)
(9:21:53) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )
(9:22:21) The IP 192.168.1.6 () tried invasion by telnet (USER admin)
(9:22:42) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )
(9:23:08) The IP 192.168.1.6 () tried invasion by telnet (USER root)
(9:23:29) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD )
The invasor disconnected from the telnet server
(9:23:58) The IP 192.168.1.6 () tried invasion by telnet (CONNECTION )
(9:24:22) The IP 192.168.1.6 () tried invasion by telnet (USER root)
(9:24:44) The IP 192.168.1.6 () tried invasion by telnet (PASSWORD root)
(9:25:08) The IP 192.168.1.6 () tried invasion by telnet (dir)
(9:25:41) The IP 192.168.1.6 () tried invasion by telnet (cd files)
(9:26:20) The IP 192.168.1.6 () tried invasion by telnet (net user)
(9:26:49) The IP 192.168.1.6 () tried invasion by telnet (net user)
(9:27:38) The IP 192.168.1.6 () tried invasion by telnet (net user asp$ test168 /add)
(9:28:32) The IP 192.168.1.6 () tried invasion by telnet (net u)
(9:29:12) The IP 192.168.1.6 () tried invasion by telnet (net localgroup administrators asp$ /add)
(9:29:36) The IP 192.168.1.6 () tried invasion by telnet (exit)
从信息中,我们可以看到攻击者Telnet到服务器分别用administrator、admin、root空密码进行探视均告失败,然后再次连接用root用户和root密码进入系统。接下来用dir命令查看了目录,创建了一个用户名为asp$,密码为test168的管理员密码。攻击者的所作所为一目了然,我们获得了这些信息后,可以尝试用此用户和密码远程连接攻击者的电脑。因为,很多恶意攻击者,在入侵后创建的用户就是自己的电脑使用的用户和密码,这也是社会工程学的利用吧。
(3).蜜罐提醒
(9:26:20) The IP 192.168.1.6 () tried invasion by telnet (net user)
(9:26:49) The IP 192.168.1.6 () tried invasion by telnet (net user)
(9:27:38) The IP 192.168.1.6 () tried invasion by telnet (net user asp$ test168 /add)
(9:28:32) The IP 192.168.1.6 () tried invasion by telnet (net u)
(9:29:12) The IP 192.168.1.6 () tried invasion by telnet (net localgroup administrators asp$ /add)
(9:29:36) The IP 192.168.1.6 () tried invasion by telnet (exit)
从信息中,我们可以看到攻击者Telnet到服务器分别用administrator、admin、root空密码进行探视均告失败,然后再次连接用root用户和root密码进入系统。接下来用dir命令查看了目录,创建了一个用户名为asp$,密码为test168的管理员密码。攻击者的所作所为一目了然,我们获得了这些信息后,可以尝试用此用户和密码远程连接攻击者的电脑。因为,很多恶意攻击者,在入侵后创建的用户就是自己的电脑使用的用户和密码,这也是社会工程学的利用吧。
(3).蜜罐提醒
如果我们不能在电脑前跟踪攻击者的攻击动作时,当想了解攻击者都做了些什么时,可以使用HoneyPot提供的“提醒”功能。在软件主界面点击“Options”按钮,在打开设置窗口中,设置自己的E-mail信箱,其自动将攻击者的动作记录下来,发送到设置的邮箱中。选中“Send logs by e-mail”,在输入框中填写自己的邮箱地址,邮件发送服务器地址,发送者邮箱地址。再选中“Authenticaton required”,填写邮箱的登录名和密码,自己就可以随时掌握攻击者的入侵情况了。
另外还可以选中“Save outomatic logs on in the directory”将入侵日志保存到指定的目录中,方便日后分析。
另外还可以选中“Save outomatic logs on in the directory”将入侵日志保存到指定的目录中,方便日后分析。
发布评论