HONEYPOT技术 - 达人(阿Ken)

2005/09/29 | HONEYPOT技术
类别(计算机相关) | 评论(0) | 阅读(29) | 发表于 10:59: 图1
典型的Sebek部署。客户端模块安装在蜜罐（蓝
色）里，蜜罐里攻击者行为被捕获后发送到网络
（对攻击者是不可见的）并且由Honey wall网关被
动的收集。

Tiny Honeypot介绍
Tiny Honeypot 是由George Bakos最初编写,Tiny Honeypot最出色的一点就是系
统容易受到攻击,不用担心电脑黑客和电脑高手们不能入侵,一般会成功的,Tiny
Honeypot具有很好的收集那些坏家伙(入侵者) 入侵的信息和信息保存机制。

Tiny Honeypot安装:
首先要下载thp-0.4.6.tar.gz程序然后执行下列命令:
cd /usr/local #切换目录到/usr/local
zcat thp-0.4.6.tar.gz | tar -xvf - #解压gz文件
ln -s thp-0.4.6.tar.gz thp #建立软链接
mkdir /var/log/hpot #新建目录
chown nobody:nobody /var/log/hpot #设定目录权限
chmod 700 /var/log/hpot #修改查看日志权限
cp ./thp/xinetd.d/* /etc/xinetd.d
edit xinetd files to change to :"disable = no" #修改参数(后面详解)
#make any path & preferences
adjustements in thp.conf & iptables.rules
./thp/iptables.rules #修改规则
/etc/rc.d/init.d/portmap start #启动portmap
pmap_set < ./thp/fakerpc
/etc/rc.d/init.d/xinetd start #启动xinetd

配置过程:

1 .建议在ROOT用户上进行安装，"chmod 700 /var/log/hpot"修改
访问日志的权限，使只有ROOT才能对其进行访问

2.edit xinetd files to change to :"disable = no"

3../thp/iptables.rules 编译iptables.rules访问规则,注意修改其
ip_forward环境变量为"". 0

4.对honeypot进行网络配置

对 Honeypot进行网络及环境变量配置，如IP地址，
允许正常使用的端口，Honeypot重定向的端口以久虚拟的
网络服务，如正常使用80端口进行WWW服务，21,23端口
进行虚拟，Honeypot可以虚拟出许多的服务，如FTP服
务，WWW服务，远程SHELL，SMTP服务等，在这里就不
一一细说了。
配置实例

实例对Thp的配置

入侵检测实例应用:

启动Honeypot

现有一台主机对其虚拟主机（Honeypot A）进行分析及入侵检测:

入侵者通过远程对Honeypot A进行23端口shell连接并远程执行shell命令
,

入侵者通过远程对Honeypot A进行21端口Ftp连接并执行命令
,

接下由于我设定的为多用户模式，故可以进行实时检测，打开
/var/log/thp后查看日志文件(注意要具有ROOT用户权限)

对入侵主机进行入侵分析,从日志中可以查看入侵者曾进行的命令和正
在执行的命令.

我们已经一步步的完成使用Linux系统
Honeynet的构建和配置，这个配置包含了多
个Honeynet新技术，但是必须注意的是信息
安全的更新飞速,Honeypot的技术仍不完善,
还需要在新的条件不断的发展和完善!

谢谢!

- 作者：寒夜流星 2004年12月17日, 星期五 05:59　回复（0） |　引用（0）加入博采
--------------------------------
引用：http://cukernet.blogchina.com/; 0

http://jybbh.5d.cn/

评论Comments