網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境構(gòu)建培訓(xùn)講義全

1、WORD.29/291. 網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境構(gòu)建1. 網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境為什么需要網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境?網(wǎng)絡(luò)攻防是基礎(chǔ)知識(shí)和實(shí)踐緊密結(jié)合的技術(shù)方向基礎(chǔ)知識(shí): 計(jì)算機(jī)各個(gè)方面專業(yè)知識(shí)都要“略懂”操作系統(tǒng)、網(wǎng)絡(luò)的基本結(jié)構(gòu)與底層機(jī)制編程語(yǔ)言、匯編語(yǔ)言與軟件編譯執(zhí)行機(jī)理密碼學(xué)與信息安全專業(yè)基礎(chǔ)實(shí)踐技能: 各種網(wǎng)絡(luò)和系統(tǒng)實(shí)踐技能也要“略懂”系統(tǒng)底層機(jī)制進(jìn)行深入探究的技術(shù)能力: 網(wǎng)絡(luò)、程序掌握網(wǎng)絡(luò)滲透測(cè)試的實(shí)踐技能-支持更好的研究和防御掌握對(duì)攻擊的分析實(shí)踐技能-了解安全威脅,支持更好的防掌握攻擊防御和響應(yīng)技能專屬的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境學(xué)習(xí)網(wǎng)絡(luò)攻防技術(shù)需要一個(gè)實(shí)驗(yàn)環(huán)境學(xué)打籃球：你就需要籃球場(chǎng)拿Internet直接作為攻

2、防實(shí)驗(yàn)學(xué)習(xí)環(huán)境違背傳統(tǒng)黑客道德與精神效率低下學(xué)習(xí)方式，“腳本小子”/低水平駭客專屬的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境環(huán)境的可控性、可重復(fù)性 “我的地盤(pán)我作主”網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境的基本組成o 攻擊機(jī): 發(fā)起網(wǎng)絡(luò)攻擊的主機(jī)n Win32: Windows XPn Linux: more powerful, 建議攻擊平臺(tái)o 攻擊目標(biāo)主機(jī)（靶機(jī)）n Win32桌面操作系統(tǒng): WindowsXPn Linux服務(wù)器操作系統(tǒng): Ubuntu / n Win32服務(wù)器操作系統(tǒng): Win 2K3 /Win 2K Servero 攻擊檢測(cè)、分析與防御平臺(tái)n 攻擊目標(biāo)主機(jī)網(wǎng)關(guān)位置n 網(wǎng)關(guān): 網(wǎng)絡(luò)流分析、檢測(cè)、防御n 攻擊目標(biāo)主機(jī):

3、 系統(tǒng)日志采集與分析o 構(gòu)建一個(gè)基本網(wǎng)絡(luò)攻防環(huán)境，需要4-5臺(tái)主機(jī)與相關(guān)聯(lián)網(wǎng)設(shè)備V-Net: 基于虛擬蜜網(wǎng)的攻防實(shí)驗(yàn)環(huán)境o 虛擬機(jī)技術(shù)(Virtual Machine)n 通過(guò)虛擬化技術(shù)在一臺(tái)主機(jī)上構(gòu)建攻防實(shí)驗(yàn)環(huán)境n 降低部署成本同時(shí)提高易管理性n 虛擬機(jī)軟件: VMware Workstation/vSphere o 蜜網(wǎng)技術(shù)(Honeynet)n 陷阱網(wǎng)絡(luò)：誘騙和分析網(wǎng)絡(luò)攻擊n 高交互式蜜罐：提供攻擊目標(biāo)環(huán)境n 蜜網(wǎng)網(wǎng)關(guān)/Sebek：攻擊網(wǎng)絡(luò)/系統(tǒng)行為捕獲與分析o 虛擬機(jī)+蜜網(wǎng)=虛擬蜜網(wǎng)(Virtual Honeynet)基于虛擬蜜網(wǎng)的攻防實(shí)驗(yàn)環(huán)境拓?fù)?. 虛擬化技術(shù)與云計(jì)算熱潮虛擬化技術(shù)

4、和云計(jì)算熱潮o Google Trends：虛擬化和云計(jì)算查詢熱度趨勢(shì)比較o 虛擬化技術(shù)：21世紀(jì)以來(lái)的IT技術(shù)熱點(diǎn)o 云計(jì)算：近年來(lái)IT領(lǐng)域最熱點(diǎn)的詞匯什么是虛擬化?o 虛擬化(Virtualization)n 創(chuàng)建某種事物的虛擬(非真實(shí))版本的方法和過(guò)程.o 虛擬(Virtual)n 通常用于區(qū)分純粹概念上的事物和擁有物理實(shí)體的事物.o 計(jì)算領(lǐng)域中的虛擬化whatis.webopedian 創(chuàng)建某種計(jì)算資源的虛擬版本的方法和過(guò)程.n 某種事物-某種計(jì)算資源n 示例: 處理器, 存, 磁盤(pán), 完整的計(jì)算機(jī), 網(wǎng)絡(luò)等虛擬化技術(shù)的提出與復(fù)興虛擬化技術(shù)的發(fā)展過(guò)程虛擬化技術(shù)的復(fù)興: 第一代虛擬化o

5、第一代虛擬化技術(shù): x86虛擬化(1997-2005)n 1997: Virtual PC for Macintosh by Connectix n 1998: Diane Greene和Mendel Rosenblum從Stanford創(chuàng)建VMware公司，申請(qǐng)專利技術(shù)n 1999: VMware Virtual Platform (Workstation) forx86n 2001: VMware GSX Server product (Server,2006年免費(fèi)發(fā)布)03: MS并購(gòu)Connectix (Virtual PC & VirtualServer), EMC并購(gòu)VMware

6、$635 million第一代虛擬化技術(shù)：基于動(dòng)態(tài)翻譯技術(shù)的完全虛擬化虛擬化技術(shù)的復(fù)興: 第二代虛擬化o 第二代虛擬化技術(shù): 硬件/操作系統(tǒng)支持的虛擬化技術(shù)(05-)o 硬件支持虛擬化技術(shù)-native virtualizationn 2005: Intel在芯片中開(kāi)始支持虛擬機(jī) IVT(Vanderpool/Silvervale)n 2006: AMD在芯片中開(kāi)始支持虛擬機(jī) AMD-V (Pacifica)o 操作系統(tǒng)支持虛擬化技術(shù)-paravirtualization n 2002: Denali by WashingtonU.n 2003: Xen by XenSource (from

7、U. of Camb.)n 2005: Virtual Machine Interface by VMwaren 2008: XenSource is also developing a compatibility layer for MS Windows Server 2008o 虛擬基礎(chǔ)設(shè)施2005-: Virtual Infrastructure by VMware計(jì)算機(jī)系統(tǒng)最重要的三個(gè)接口o ISA: 指令集架構(gòu)n Interface 3: 系統(tǒng)ISA,OS可見(jiàn), 用于管理硬件n Interface 4: 用戶ISA,應(yīng)用程序可見(jiàn)o ABI: 應(yīng)用程序二進(jìn)制接口n Interface

8、2: 系統(tǒng)調(diào)用接口n Interface 4: 用戶ISAo API: 應(yīng)用程序編程接口n Interface 1: 高級(jí)編程語(yǔ)言庫(kù)函數(shù)調(diào)用n Interface 4: 用戶ISA什么是虛擬機(jī)？機(jī)器(“machine”)的虛擬版本那什么是機(jī)器Machine?從一個(gè)進(jìn)程的角度定義機(jī)器n 一個(gè)邏輯存地址空間; 用戶級(jí)的指令和寄存器; I/O (僅通過(guò)操作系統(tǒng)系統(tǒng)調(diào)用可見(jiàn))實(shí)際上, ABI接口定義了進(jìn)程角度所看到的機(jī)器; API接口定義了一個(gè)高級(jí)編程語(yǔ)言程序所看到的機(jī)器.o 從操作系統(tǒng)的角度定義機(jī)器n 底層硬件特性定義了機(jī)器.n ISA提供了操作系統(tǒng)和機(jī)器之間的接口.進(jìn)程級(jí)虛擬機(jī)和系統(tǒng)級(jí)虛擬機(jī)o 進(jìn)

9、程級(jí)虛擬機(jī)進(jìn)程級(jí)虛擬機(jī)是執(zhí)行單一進(jìn)程的虛擬平臺(tái).Java VM, FVM Sandbox,etc.o 系統(tǒng)級(jí)虛擬機(jī)系統(tǒng)級(jí)虛擬機(jī)提供了支持操作系統(tǒng)和上層眾多應(yīng)用進(jìn)程的一個(gè)完整、持久穩(wěn)固的系統(tǒng)環(huán)境.VMware, Qemu, etc.o 基本概念guest, host, runtime,VMM系統(tǒng)級(jí)虛擬機(jī)實(shí)現(xiàn)需求和目標(biāo)o 系統(tǒng)級(jí)虛擬機(jī)實(shí)現(xiàn)需求n 向Guest OS提供與真實(shí)硬件相類似的硬件接口n 硬件接口: CPU, Memory, I/O (Disk, Network, 外設(shè))o 系統(tǒng)級(jí)虛擬機(jī)實(shí)現(xiàn)目標(biāo)n 兼容性: 具備運(yùn)行歷史遺留軟件的能力n 性能: 較低的虛擬化性能開(kāi)銷n 簡(jiǎn)單性: 支持安全隔

10、離 (沒(méi)有/很少安全缺陷), 可靠性 (不失效)n 多種不同技術(shù), 分別提供不同的設(shè)計(jì)平衡CPU虛擬化技術(shù)o CPU 架構(gòu)可虛擬化:n 如果支持基礎(chǔ)的虛擬化技術(shù)直接執(zhí)行(direct execution)o 直接執(zhí)行n 在VMM保持對(duì)CPU的最終控制權(quán)前提下，能夠讓虛擬機(jī)中的指令直接在真實(shí)主機(jī)上運(yùn)行n 實(shí)現(xiàn)直接執(zhí)行需要:o 虛擬機(jī)特權(quán)級(jí)和非特權(quán)級(jí)代碼: CPU的非特權(quán)模式執(zhí)行o VMM: CPU特權(quán)模式執(zhí)行o 虛擬機(jī)執(zhí)行特權(quán)操作時(shí): CPU traps到VMM, 在模擬的虛擬機(jī)狀態(tài)上仿真執(zhí)行特權(quán)操作o 提供可虛擬化的CPU體系框架的關(guān)鍵n 提供trap semantics,使得VMM可以安全的

11、、透明地、直接的使用CPU執(zhí)行虛擬機(jī).CPU虛擬化的挑戰(zhàn)o 大部分modern CPU 并不支持可虛擬化, 如x86o 需直接訪問(wèn)存和硬件的操作系統(tǒng)特權(quán)代碼必須在Ring 0執(zhí)行o CPU虛擬化必須在Guest OS下面添加VMM(Ring 0)o 一些關(guān)鍵指令在非Ring 0權(quán)限級(jí)執(zhí)行具有不同語(yǔ)義: 不能有效虛擬化,Figure: x86 privilege levelo 非特權(quán)級(jí)指令可以查詢CPU的當(dāng)前 architecture without virtualization特權(quán)級(jí), x86并不trap這些指令CPU虛擬化技術(shù): 動(dòng)態(tài)代碼翻譯o 結(jié)合直接執(zhí)行和動(dòng)態(tài)代碼翻譯n 運(yùn)行普通程序代碼

12、的CPU模式可虛擬化:直接運(yùn)行保證高性能n 不可虛擬化的特權(quán)級(jí)CPU模式: 代碼翻譯器o 快速: 一樣ISA架構(gòu)時(shí), 較低延遲o 動(dòng)態(tài): paravirtualization(靜態(tài))o 兼容: 對(duì)Guest OS全透明，可以運(yùn)行無(wú)需修改的歷史遺留軟件 Figure: the binary translationo 動(dòng)態(tài)代碼翻譯技術(shù)是無(wú)需硬件和OS支 approach to x86 virtualization持實(shí)現(xiàn)對(duì)特權(quán)指令虛擬化唯一選擇.CPU虛擬化技術(shù): Paravirtualization o Paravirualization n alongside virtualizationn O

13、S支持的虛擬化n VMM設(shè)計(jì)者需要定義虛擬機(jī)接口，將不可虛擬化的指令替換為可虛擬化/可高效直接執(zhí)行的等價(jià)指令優(yōu)勢(shì): 消除trap等虛擬化overhead, 高效弱勢(shì): 不兼容, 需要修改操作系統(tǒng), 對(duì)商業(yè)OS第三方無(wú)法移植o Xen, Windows Svr 2008,VMware Virtual MachineInterfaceCPU虛擬化技術(shù): Native VirtualizationFigure: the native virtualization approach to x86 virtualizationCPU虛擬化技術(shù): Native Virtualizationo 可虛擬化CP

14、U架構(gòu)n 隨著虛擬化技術(shù)復(fù)興, 硬件廠商快速跟進(jìn)并推出簡(jiǎn)化虛擬化技術(shù)的CPU新特性n Intel Virtualization Technology (VT-x)n AMDs AMD-Vo 針對(duì)特權(quán)代碼的虛擬化n 在Ring 0之下增加一個(gè)新的root mode (VMM)n 特權(quán)代碼會(huì)自動(dòng)trap至hypervisor, 無(wú)需paravirtualization或動(dòng)態(tài)代碼翻譯n guest state存儲(chǔ)于Virtual Machine Control Structures (VT-x) / Virtual Machine Control Blocks (AMD-v)n 弱勢(shì): 較高的hyp

15、ervisor到guest的轉(zhuǎn)換延遲n VMware使用場(chǎng)景受限 (64-bit guest support), Xen 3.0CPU虛擬化技術(shù): 小結(jié)o 三種現(xiàn)有的CPU虛擬化技術(shù)動(dòng)態(tài)代碼翻譯ParavirtualizationNative Virtualization兼容性優(yōu)秀差優(yōu)秀性能好優(yōu)秀一般簡(jiǎn)單性差一般好n 動(dòng)態(tài)代碼翻譯, Paravirtualization, Native Virtualizationn 各種技術(shù)具有獨(dú)特的優(yōu)勢(shì)和弱勢(shì)n CPU虛擬化技術(shù)發(fā)展趨勢(shì)o 更多, 更好的硬件支持: 達(dá)到更好的性能o 更多, 更好的操作系統(tǒng)支持: 提供標(biāo)準(zhǔn)化的虛擬機(jī)接口,提升paravirt

16、ualization技術(shù)的兼容性o 多種技術(shù)模式的靈活選擇架構(gòu), 根據(jù)環(huán)境選擇合適的技術(shù)VMware Workstation上手實(shí)踐 Play with VMwareo 安裝VMware Workstationn 1) 下載VMware Workstation軟件n 2) 安裝VMware Workstation軟件n 3) 查看VMware的虛擬網(wǎng)卡和虛擬網(wǎng)絡(luò)設(shè)置新建虛擬機(jī)，安裝蜜網(wǎng)網(wǎng)關(guān)虛擬機(jī)鏡像1.下載蜜網(wǎng)網(wǎng)關(guān)ROO的安裝鏡像2.新建虛擬機(jī)，分配資源3.安裝蜜網(wǎng)網(wǎng)關(guān)ROO鏡像4.做好虛擬機(jī)snapshot，掛起系統(tǒng)云計(jì)算熱潮o 云計(jì)算(Cloud Computing)熱潮的起源n 20世紀(jì)

17、60年代o John McCarthy:計(jì)算將以一種公用事業(yè)方式提供o Douglas Parkhill: 計(jì)算機(jī)公用事業(yè)的挑戰(zhàn)n 20世紀(jì)90年代o 電信公司:服務(wù)提供商和客戶之間的分界點(diǎn)o Amazon 2006年推出Amazon Web Service(AWS)對(duì)公眾提供效能計(jì)算服務(wù)o 2007年開(kāi)始，Google、IBM和其他機(jī)構(gòu)大規(guī)模投入到云計(jì)算研究與開(kāi)發(fā)中，形成云計(jì)算熱潮什么是云計(jì)算?o NIST對(duì)云計(jì)算的定義云計(jì)算是一種能夠通過(guò)網(wǎng)絡(luò)以便利的、按需的方式獲取計(jì)算資源的模式，這些資源來(lái)自一個(gè)共享的、可配置的資源池，并能夠以最小化管理代價(jià)與與服務(wù)提供商的交互進(jìn)行快速地獲取與釋放。o 五

18、大關(guān)鍵要素按需自助服務(wù)；通過(guò)寬帶網(wǎng)絡(luò)訪問(wèn)；資源池，多租戶模式；快速伸縮性；可量化的服務(wù)云計(jì)算模式的分類o “云”計(jì)算的三大交付模式，稱為S-P-I模式o 軟件即服務(wù)(SaaS: Software as a Service)n 在云基礎(chǔ)架構(gòu)中運(yùn)行的商業(yè)應(yīng)用n 交付給客戶的是定制化軟件o 平臺(tái)即服務(wù)(PaaS: Platform as a Service)n 在云基礎(chǔ)架構(gòu)中的可編程的運(yùn)行平臺(tái)n 交付給客戶的是“云中間件”資源o 基礎(chǔ)設(shè)施即服務(wù)(IaaS: Infrastructure as aService)n 在云基礎(chǔ)架構(gòu)中的處理、存儲(chǔ)、網(wǎng)絡(luò)和其他基礎(chǔ)計(jì)算資源n 交付給客戶的是基礎(chǔ)計(jì)算資源云計(jì)算

19、的四大部署模式o 私有云(Private Cloud)n 單獨(dú)地為一個(gè)組織所運(yùn)營(yíng)的n 可以由組織自己管理或委托第三方管理o 公有云(Public Cloud)n 提供給公眾或一個(gè)大型工業(yè)企業(yè)n 歸一個(gè)出售云服務(wù)的組織所有o 社區(qū)云(Community Cloud)n 由多個(gè)組織所共享的n 支撐一個(gè)具有共享需求的社區(qū)o 混合云(Hybrid Cloud)n 兩個(gè)或多個(gè)云的混合，由標(biāo)準(zhǔn)化或私有技術(shù)聯(lián)合綁定私有云o 為一個(gè)客戶單獨(dú)使用而構(gòu)建的云基礎(chǔ)設(shè)施o 提供對(duì)數(shù)據(jù)、安全性和服務(wù)質(zhì)量的最有效控制o 2009年VMware推出了業(yè)界首款云操作系統(tǒng)VMwarevSphere 43. 蜜網(wǎng)(Honeyne

20、t)技術(shù)介紹蜜罐(Honeypot)技術(shù)的提出o 防御方嘗試改變攻防博弈不對(duì)稱性提出的一種主動(dòng)防護(hù)技術(shù)n 蜜罐: 一類安全資源，其價(jià)值就在于被探測(cè)、被攻擊與被攻陷n “蜜罐公理”:無(wú)任何業(yè)務(wù)用途任何蜜罐捕獲行為都是惡意n 繞過(guò)攻擊檢測(cè)“NP難”問(wèn)題o 蜜罐技術(shù)的提出和發(fā)展蜜罐技術(shù)如何實(shí)施誘騙？o 欺騙環(huán)境(Pot)的構(gòu)建: 黑洞VS. 模擬VS. 真實(shí)n 零交互式蜜罐: 黑洞，沒(méi)有任何響應(yīng)n低交互式蜜罐虛擬蜜罐: 模擬網(wǎng)絡(luò)拓?fù)?、協(xié)議棧、服務(wù) (Honeyd/Nepenthes)；模擬OS (Sandbox)高交互式蜜罐o 物理蜜罐: 完全真實(shí)的硬件、OS、應(yīng)用、服務(wù)o 虛擬機(jī)蜜罐: 模擬的硬件

21、(VMWare)/真實(shí)的OS、應(yīng)用、服務(wù)o 部署陷阱, 誘騙攻擊者(Honey)守株待兔: 安全漏洞針對(duì)掃描式攻擊酒香也怕巷子深: 散播陷阱信息, 引誘攻擊者(GoogleHacking Honeypot, HoneyEmail)重定向技術(shù)(Honeyfarm)主動(dòng)出擊: 利用爬蟲(chóng)技術(shù)客戶端蜜罐(HoneyClawer 惡意監(jiān)測(cè))蜜罐技術(shù)誘騙之后o 欺騙環(huán)境的核心功能需求數(shù)據(jù)控制數(shù)據(jù)捕獲數(shù)據(jù)分析欺騙環(huán)境的配置管理o 欺騙與反欺騙的較量欺騙環(huán)境偽裝: 環(huán)境偽裝/業(yè)務(wù)偽裝;對(duì)欺騙環(huán)境的識(shí)別: fingerprintingAnti-Honeypot, Anti-Anti-Honeypot, 更深一層

22、的博弈問(wèn)題低交互式蜜罐技術(shù)具有與攻擊源主動(dòng)交互的能力模擬網(wǎng)絡(luò)服務(wù)響應(yīng)，模擬漏洞容易部署，容易控制攻擊低交互式交互級(jí)別由于模擬能力而受限，數(shù)據(jù)獲取能力和偽裝性較弱，一般僅能捕獲已知攻擊o 低交互式蜜罐工具n iSink 威斯康星州立大學(xué)n Internet Motion Sensor 密歇根大學(xué)，ArborNetworksn Honeyd Google公司軟件工程師Niels Provos n Nepenthes Nepenthes開(kāi)發(fā)團(tuán)隊(duì)n 商業(yè)產(chǎn)品: KFSensor, Specter, HoneyPoint高交互式蜜罐技術(shù)o 高交互式蜜罐技術(shù)n 使用真實(shí)的操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)與攻擊源進(jìn)行交互

23、n 高度的交互等級(jí)對(duì)未知漏洞、安全威脅具有天然的可適性，數(shù)據(jù)獲取能力、偽裝性均較強(qiáng)n 弱勢(shì)資源需求較大，可擴(kuò)展性較弱，部署安全風(fēng)險(xiǎn)較高o 虛擬機(jī)蜜罐VS. 物理蜜罐n 虛擬機(jī)(Virtual Machine)/仿真器(Emulator)技術(shù)n 節(jié)省硬件資源、容易部署和控制、容易恢復(fù)、安全風(fēng)險(xiǎn)降低o 高交互式蜜罐工具Honeynet 蜜網(wǎng)項(xiàng)目組(The Honeynet Project)HoneyBow (基于高交互式蜜罐的惡意代碼捕獲器) 大學(xué)狩獵女神項(xiàng)目組Argos 荷蘭阿姆斯特丹大學(xué)(Vrije Universiteit Amsterdam) 歐盟分布式蜜罐項(xiàng)目(NoAH)參與方蜜網(wǎng)技術(shù)的

24、提出從蜜罐到蜜網(wǎng)o 低交互式(虛擬)蜜罐高交互式(虛擬機(jī)/物理)蜜罐使用真實(shí)的網(wǎng)絡(luò)拓?fù)洌僮飨到y(tǒng)和應(yīng)用服務(wù)為攻擊者提供足夠的活動(dòng)空間能夠捕獲更為全面深入的攻擊信息o 單點(diǎn)蜜罐工具蜜網(wǎng)體系框架體系框架中可包含多個(gè)蜜罐同時(shí)提供核心的數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析機(jī)制構(gòu)建一個(gè)高度可控的攻擊誘騙和分析網(wǎng)絡(luò)蜜網(wǎng)項(xiàng)目組(The Honeynet Project)o 全球非贏利性研究機(jī)構(gòu)n 1999年起源于組WarGames n 2000-今: 19 Chapters, 50+ FMsn 狩獵女神項(xiàng)目組China Chaptero 目標(biāo)探尋黑客界的攻擊工具、戰(zhàn)術(shù)和動(dòng)機(jī)，并分享所得o 著名成員創(chuàng)始人/CEO:

25、Lance Spitzner Fyodor, Dave Dittrich, Niels Provos, AntonChuvakin, Ron Dodge 蜜網(wǎng)技術(shù)核心機(jī)制o 數(shù)據(jù)控制機(jī)制防止蜜網(wǎng)被黑客/惡意軟件利用攻擊第三方o 數(shù)據(jù)捕獲機(jī)制獲取黑客攻擊/惡意軟件活動(dòng)的行為數(shù)據(jù)網(wǎng)絡(luò)行為數(shù)據(jù)網(wǎng)絡(luò)連接、網(wǎng)絡(luò)流系統(tǒng)行為數(shù)據(jù)進(jìn)程、命令、打開(kāi)文件、發(fā)起連接o 數(shù)據(jù)分析機(jī)制理解捕獲的黑客攻擊/惡意軟件活動(dòng)的行為o 配置和管理機(jī)制有效的配置和管理蜜網(wǎng)環(huán)境第三代蜜網(wǎng)o 第二代蜜網(wǎng)技術(shù)2003年Eeyore光盤(pán)概念驗(yàn)證性實(shí)現(xiàn)o 第三代蜜網(wǎng)技術(shù)2005年5月發(fā)布ROO蜜網(wǎng)網(wǎng)關(guān)光盤(pán)從LiveCD到安裝光盤(pán)更易部署和定

26、制基于最小化版本的Fedora Core 3更安全，yum自動(dòng)化升級(jí)多種配置機(jī)制(hwctl, menu, walleye)更容易配置提供數(shù)據(jù)分析工具Walleye更加易用IPTables實(shí)現(xiàn)連接數(shù)限制o 網(wǎng)絡(luò)連接數(shù)限制n 對(duì)部發(fā)起到外部的網(wǎng)絡(luò)連接進(jìn)行數(shù)量限制n TCP/UDP/ICMP/other IPn /etc/init.d/rc.firewall通過(guò)IPTables進(jìn)行配置實(shí)現(xiàn)o Roach Motel Mode “黑店模式”n “反接”防火墻，只進(jìn)不出n 允許外部發(fā)起到部的網(wǎng)絡(luò)連接n 阻斷部發(fā)起到外部的網(wǎng)絡(luò)連接數(shù)據(jù)捕獲機(jī)制o 快數(shù)據(jù)通道n 網(wǎng)絡(luò)行為數(shù)據(jù) HoneyWall o 網(wǎng)絡(luò)流

27、數(shù)據(jù): Arguso 入侵檢測(cè)報(bào)警: Snorto 操作系統(tǒng)信息: p0fn 系統(tǒng)行為數(shù)據(jù) SebekHoneypot o 進(jìn)程、文件、命令、鍵擊記錄o 以rootkit方式監(jiān)控sys_socket, sys_open, sys_read 系統(tǒng)調(diào)用n 網(wǎng)絡(luò)行為與系統(tǒng)行為數(shù)據(jù)之間的關(guān)聯(lián) sys_socket o 慢數(shù)據(jù)通道n 網(wǎng)絡(luò)原始數(shù)據(jù)包 tcpdumpHoneyWall 網(wǎng)絡(luò)行為數(shù)據(jù)o Argus網(wǎng)絡(luò)流捕獲工具n 網(wǎng)絡(luò)連接5元組+連接統(tǒng)計(jì)信息n Thu 12/29 06:40:32 S tcp 5.6439 - 7.23CLOn HYPERLINK :/qosient /argus/qosi

28、ent./argus/o Snort網(wǎng)絡(luò)入侵檢測(cè)工具n 給出網(wǎng)絡(luò)流中已知攻擊的報(bào)警信息n HYPERLINK :/ /.o P0f被動(dòng)操作系統(tǒng)識(shí)別工具n 被動(dòng)監(jiān)聽(tīng)網(wǎng)絡(luò)流，通過(guò)不同操作系統(tǒng)協(xié)議棧的不同實(shí)現(xiàn)（指紋）識(shí)別網(wǎng)絡(luò)連接雙方的操作系統(tǒng)n HYPERLINK :/lcamtuf.coredump.cx/p0f.shtmllcamtuf.coredump.cx/p0f.shtml系統(tǒng)行為數(shù)據(jù)-Sebek o Sebek工作原理n 劫持Linux系統(tǒng)調(diào)用-sys_read, sys_open,sys_socket, n 劫持Win32核心API-ZwOpenFile, ZwReadFile,ZwE

29、numerateKey, ZwSecureConnectPort等13個(gè)核心APIo Sebek版本3.2.0 for Linux3.0.0 for *BSD3.0.4 for Win32Sebek的隱藏機(jī)制o Sebek Linux Clientn 采用一種Rookit隱藏機(jī)制n Sebek: 可裝載核模塊(LKM: loadablekernel module)n Cleaner: 另一核模塊，從核模塊列表中清除Sebek核模塊o Sebek Win32 Clientn 實(shí)現(xiàn)為一個(gè)系統(tǒng)核驅(qū)動(dòng)，進(jìn)行隱藏n 但通過(guò)遍歷PsLoadedModuleList可發(fā)現(xiàn)Sebek系統(tǒng)行為數(shù)據(jù)隱蔽上傳數(shù)據(jù)捕

30、獲機(jī)制體系結(jié)構(gòu)圖數(shù)據(jù)分析Walleyeo Perl語(yǔ)言編寫(xiě)的Web GUIn 通過(guò)DBI連接mysql數(shù)據(jù)庫(kù)n mysql數(shù)據(jù)庫(kù)中的信息由hflowd.pl提交o 數(shù)據(jù)分析視圖摘要視圖網(wǎng)絡(luò)流視圖進(jìn)程樹(shù)視圖進(jìn)程細(xì)節(jié)信息（open_file, read_data,command）n 網(wǎng)絡(luò)流信息: 網(wǎng)絡(luò)流數(shù)據(jù)包解碼，snort檢測(cè)結(jié)果n Pcap數(shù)據(jù)慢通道Walleye摘要視圖Walleye進(jìn)程樹(shù)視圖Walleye鍵擊記錄視圖4. 基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境網(wǎng)絡(luò)攻防虛擬機(jī)鏡像虛擬機(jī)鏡像名稱虛擬機(jī)鏡像類型基礎(chǔ)操作系統(tǒng)發(fā)布者LinuxMetasploitableLinux靶機(jī)Ubuntu 8.04M

31、etasploitProjectWinXPMetasploitableWindows靶機(jī)WinXP SP0 EnSelf-builtSEED VMLinux 攻擊機(jī)/ 靶機(jī)Ubuntu 9.04SEED ProjectBack Track 4Linux攻擊機(jī)Ubuntu 8.10Remote ExploitTeamWinXP AttackerWindows攻擊機(jī)WinXP SP3 CNSelf-builtHoneyWall蜜網(wǎng)網(wǎng)關(guān)ROO v1.4The Honeynet ProjectWindows Metasploitable o Win2ks_Metasploitablen 基礎(chǔ)操作系統(tǒng)版

32、本：Windows 2000 Server SP4 ENn 網(wǎng)絡(luò)服務(wù): IIS, MSSQL, SMB, ServU, n Metasploit適用的攻擊模塊: 150(未測(cè)試)o WinXP_Metasploitable n 基礎(chǔ)操作系統(tǒng)版本: WinXP SP2 ENn 客戶端軟件：IE, Adobe, Office, Realplayer,baofeng, winamp, n Metasploit適用的攻擊模塊: 200-300(未測(cè)試)o To Be Addedn Win2k3_MetasploitableSEED VMSEED (SEcurity EDucation)信息安全教育實(shí)驗(yàn)

33、環(huán)境美國(guó)紐約雪城大學(xué)(Syracuse University)的Wenliang Du教授o SEED VMTCP/IP協(xié)議棧攻擊；SQL注入/XSS攻擊SEED虛擬機(jī)鏡像配置項(xiàng)具體配置情況操作系統(tǒng)版本Ubuntu 9.04 with the Linux kernel v2.6.28系統(tǒng)用戶/口令root/seedubuntu( 不允許直接登錄) seed/dees網(wǎng)絡(luò)設(shè)置NAT模式，即使用宿主網(wǎng)卡作為路由器進(jìn)行地址轉(zhuǎn)換和報(bào)文轉(zhuǎn)發(fā)已安裝軟件包tcl, tk, libnet1, libnet1-dev, libpcap0.8-dev, libattr1-dev, vim,apache2, php

34、5, libapache2-mod-php5, mysql-server,wireshark, bind9, nmap, sun-java6-jdk, xpdf, vsftpd, telnetd,zsh, libpcap 2.16, netlib/netwox/netwag 5.35.0已安裝服務(wù)器MySQL( 用戶名/口令: root/seedubuntu, apache/apache)Apache2(/var/www目錄)bind9 DNS Servervsftpd FTP Servertelnetd ServerBack Track 4Back Track非常流行的滲透測(cè)試和信息安全審計(jì)

35、的Linux發(fā)行版本基于Ubuntu 8.10集成了二十多類幾百款安全軟件攻擊破解之利器，蹭網(wǎng)卡附帶DVD光盤(pán)BT4軟件包集合軟件包用途BT4軟件包集合軟件包用途BackTrack-Enumeration查點(diǎn)工具軟件BackTrack-Bluetooth藍(lán)牙攻擊破解軟件BackTrack-Tunneling隧道工具軟件BackTrack-Sniffers網(wǎng)絡(luò)嗅探工具軟件BackTrack-Bruteforce暴力破解軟件BackTrack-VOIP網(wǎng)絡(luò)攻擊軟件BackTrack-Spoofing欺騙攻擊軟件BackTrack-Debuggers調(diào)試工具軟件BackTrack-Passwords

36、口令破解軟件BackTrack-Penetration滲透測(cè)試攻擊軟件BackTrack-Wireless無(wú)線攻擊破解軟件BackTrack-Database數(shù)據(jù)庫(kù)軟件BackTrack-Discovery掃描發(fā)現(xiàn)軟件BackTrack-RFIDRFID攻擊破解軟件BackTrack-CiscoCisco攻擊軟件BackTrack-PythonPythonBackTrack-WebWeb滲透測(cè)試軟件BackTrack-Drivers驅(qū)動(dòng)Applicaitons應(yīng)用程序BackTrack-GPUGPU計(jì)算BackTrack-Forensics取證分析軟件BackTrack-Misc其他BackT

37、rack-FuzzersFuzz注入測(cè)試軟件WinXP Attacker 虛擬機(jī)鏡像o 自制WinXP攻擊機(jī)鏡像軟件工具包類別包含軟件列表基礎(chǔ)環(huán)境配置JAVA SDK 1.6.21、CC/G+編譯器 (MinGW) 4.5.0、Python解釋器2.7、AdobeFlash Player 10.1、cygwin 1.7.7-1、Adobe Reader 9.3、Perl Strawberry 5.12.0瀏覽器軟件Firefox 3.6.9中國(guó)版、Chrome 6.0.472.53、Opera 10.61、IE 6.0網(wǎng)絡(luò)傳輸軟件Filezilla Server 0.9.36、Filezill

38、a Client 編程工具Eclipse Classic 3.6、DEV-CPP 文本編輯器Source Navigator 4.2、MadEdit 0.1.2 beta、WinHex 15.7 SR-3 試用版反匯編工具OllyDbg 2、IDA Pro 5.7 demo、IDA Pro 4.9 Free、C32asm 0.8.8、W32Dasm8.93反編譯工具JD-GUI 0.3.3、dcc、boomerang alpha 0.3.1靜態(tài)分析工具Peid 0.95、LordPE、超級(jí)巡警脫殼器 v1.3、ASpack unpacker v1.1、upx 3.06、fs滲透攻擊工具M(jìn)eta

39、sploit 3.4.2-dev、Metasploit 2.7網(wǎng)絡(luò)掃描與嗅探Nmap /Zenmap 5.30 beta1、Wireshark 1.4.0、Nessus 4.2.2、Xscan 3.3、Snort密碼學(xué)工具CryptoCal 1.2、PrimeGenerator 1.1、RSAtools 2、DSAtools 1.3、UltraCracking Machine、MD5Crack 4.1監(jiān)視工具WinDump 3.9.5、Process Explorer 12.04、Process Monitor 2.92HoneyWall虛擬機(jī)鏡像o HoneyWall - 虛擬蜜網(wǎng)中最核心的功能部件n The Honeynet Project開(kāi)源發(fā)布n ROO v1.4o 數(shù)據(jù)捕獲