|
|
|
我
的
日
历 |
|
|
最
新
评
论 |
|
|
友
情
链
接 |
|
|
搜
索
日
志 |
|
|
访
问
计
数 |
|
|
获
取
R
S
S |
|
|
HONEYPOT技术 [2005-9-29]
jybbh 发表在 计算机相关
|
图1
典型的Sebek部署。客户端模块安装在蜜罐(蓝
色)里,蜜罐里攻击者行为被捕获后发送到网络
(对攻击者是不可见的)并且由Honey wall网关被
动的收集。
Tiny Honeypot介绍
Tiny Honeypot 是由George Bakos最初编写,Tiny Honeypot最出色的一点就是系
统容易受到攻击,不用担心电脑黑客和电脑高手们不能入侵,一般会成功的,Tiny
Honeypot具有很好的收集那些坏家伙(入侵者) 入侵的信息和信息保存机制。
Tiny Honeypot安装:
首先要下载thp-0.4.6.tar.gz程序然后执行下列命令:
cd /usr/local #切换目录到/usr/local
zcat thp-0.4.6.tar.gz | tar -xvf - #解压gz文件
ln -s thp-0.4.6.tar.gz thp #建立软链接
mkdir /var/log/hpot #新建目录
chown nobody:nobody /var/log/hpot #设定目录权限
chmod 700 /var/log/hpot #修改查看日志权限
cp ./thp/xinetd.d/* /etc/xinetd.d
edit xinetd files to change to :"disable = no" #修改参数(后面详解)
#make any path & preferences
adjustements in thp.conf & iptables.rules
./thp/iptables.rules #修改规则
/etc/rc.d/init.d/portmap start #启动portmap
pmap_set < ./thp/fakerpc
/etc/rc.d/init.d/xinetd start #启动xinetd
配置过程:
1 .建议在ROOT用户上进行安装,"chmod 700 /var/log/hpot"修改
访问日志的权限,使只有ROOT才能对其进行访问
2.edit xinetd files to change to :"disable = no"
3../thp/iptables.rules 编译iptables.rules访问规则,注意修改其
ip_forward环境变量为"". 0
4.对honeypot进行网络配置
对 Honeypot进行网络及环境变量配置,如IP地址,
允许正常使用的端口,Honeypot重定向的端口以久虚拟的
网络服务,如正常使用80端口进行WWW服务,21,23端口
进行虚拟,Honeypot可以虚拟出许多的服务,如FTP服
务,WWW服务,远程SHELL,SMTP服务等,在这里就不
一一细说了。
配置实例
实例对Thp的配置
入侵检测实例应用:
启动Honeypot
现有一台主机对其虚拟主机(Honeypot A)进行分析及入侵检测:
入侵者通过远程对Honeypot A进行23端口shell连接并远程执行shell命令
,
入侵者通过远程对Honeypot A进行21端口Ftp连接并执行命令
,
接下由于我设定的为多用户模式,故可以进行实时检测,打开
/var/log/thp后查看日志文件(注意要具有ROOT用户权限)
对入侵主机进行入侵分析,从日志中可以查看入侵者曾进行的命令和正
在执行的命令.
我们已经一步步的完成使用Linux系统
Honeynet的构建和配置,这个配置包含了多
个Honeynet新技术,但是必须注意的是信息
安全的更新飞速,Honeypot的技术仍不完善,
还需要在新的条件不断的发展和完善!
谢谢!
- 作者: 寒夜流星 2004年12月17日, 星期五 05:59 回复(0) | 引用(0) 加入博采
--------------------------------
引用:http://cukernet.blogchina.com/
| |
|
|
