Transcript PPT (New)

Module 9：誘捕系統實習
網路安全
學習目的
1. 利用誘捕系統，找出網路中潛在的威脅
2. 本模組共有四個小節包括
(1)誘捕系統簡介
(2)誘捕系統工具介紹
(3)誘捕系統的實務
(4)誘捕系統的專案實作
網路安全
9-2
Module 9：誘捕系統實習
•
•
•
•
Module 9-1：誘捕系統簡介(*)
Module 9-2：誘捕系統工具介紹(*)
Module 9-3：誘捕系統的實務(**)
Module 9-4：誘捕系統的專案實作(*)
* 初級(basic)：基礎性教材內容
**中級(moderate)：教師依據學生的吸收情況，選擇性介紹本節的內容
***高級(advanced)：適用於深入研究的內容
網路安全
9-3
Module 9-1：誘捕系統簡介(*)
網路安全
9-4
誘捕系統(Honeypot)的介紹
• 誘捕系統(Honeypot)：受到嚴密監控的網路誘騙系
統，具有以下特點
– 迷惑敵人，誘使駭客攻擊Honeypot而無暇去攻擊一
些系統中比較重要的機器
– 對新攻擊發出預警
– 引誘駭客攻擊
– 可使用入侵偵測系統與防火牆等結合使用，以提升
安全性
網路安全
9-5
誘捕系統(Honeypot)的重要性
• 引誘攻擊者入侵組織資訊系統的陷阱
– 作為對系統弱點預警的監視工具
– 減低資訊科技系統及網路遭攻擊的風險
– 蒐集入侵方法並加以分析，為系統的潛在漏洞提供
寶貴資訊
網路安全
9-6
誘捕系統(Honeypot)的重要性 (續)
• 傳統的IDS
針對已知的入侵手法對外來的attacker作出警告
• Honeypot
學習駭客入侵的工具，以找出作業系統的弱點
增加對惡意程式的蒐證
網路安全
9-7
誘捕系統(Honeypot)的功能
• 誘捕系統模擬成有缺陷的系統，等待攻擊者來攻
擊，藉以蒐集攻擊的手法與方式
• Honeypot解決IDS或防火牆記錄等資訊過量問題
• 為一個模擬或真實的網路系統
• 隱藏在防火牆後面，所有進出的資料皆受到監視
• 使用不同的作業系統及設備，如Solaris、Linux、
Windows NT及Cisco Switch
網路安全
9-8
誘捕系統(Honeypot)的功能 (續)
• 不同的系統平台上面運行著不同的服務
– 例：Linux的DNS server、Windows NT的webserver
或Solaris的FTP Server
– 入侵者會將目標定於幾個特定的系統漏洞上
– 不同的服務有不同的攻擊手法
– 分析記錄使我們了解服務的弱點
網路安全
9-9
誘捕系統(Honeypot)的分類
• 低互動性誘捕系統(Low-Interaction Honeypot)
– 提供有限的服務，藉由模擬服務與作業系統來運作
– 風險也較小，因攻擊者絕不會進到一個真實的作業
系統
• 高互動性誘捕系統(High-Interaction Honeypot)
– 以真實的作業系統與真實的應用程式來運作，而非
模擬
– 風險相對較高，因攻擊者可能攻陷一個真實的作業
系統 ，並威脅真實的網路
網路安全
9-10
低互動性誘捕系統(Low-Interaction
Honeypot)
•
•
•
•
模擬現有作業系統上的服務
監控沒有使用的 IP 位址空間
記錄攻擊
主要優勢
– 較容易部署與維護
– 風險亦較小，因攻擊者絕不會進到一個真實的作業
系統
– 例：Honeyd、Nepenthes及Honeytrap
網路安全
9-11
高互動性誘捕系統(High-Interaction
Honeypot)
• 以真實的作業系統來構建，提供真實的系統和服
務給駭客攻擊
• 不預設一個攻擊者會有什麼樣的行為，而提供可
以追蹤所有活動的環境
• 缺點：
– 更多的風險 - 駭客可能透過真實系統攻擊和滲透網
路中的其他機器
– 部署較為複雜，技術層面較高
• 例：Honeywall-ROO、HIHAT及Honeybow
網路安全
9-12
Low-Interaction v.s. High-Interaction
Honeypot
網路安全
9-13
Module 9-2：誘捕系統工具介紹(*)
網路安全
9-14
誘捕系統(Honeypot)工具比較
• 商業軟體
– 優：效果佳
– 缺：成本高
– 例：Symantec Decoy Server與KFSensor
• 免費軟體
– 優：成本低
– 缺：缺少某些商業軟體所提供的效果
– 例：Honeyd與Nepenthes
網路安全
9-15
誘捕系統(Honeypot)工具比較
例子代表
入侵偵測型
惡意程式誘捕型
商業
Symantec Decoy Server
KFSensor
Open-Source
HoneyD
網路安全
Nepenthes
9-16
誘捕系統(Honeypot)工具
- Symantec Decoy Server
•
•
•
•
•
由賽門鐵克公司所發展商用之誘捕系統
會警示由內/外部所發出之未經授權的入侵意圖
可自動地偵測與回應新型態的攻擊
在與對手互動時產生模擬的流量
過程可重播
網路安全
9-17
誘捕系統(Honeypot)工具
- KFSensor
• 可針對Windows作業系統所提供
的各項服務以及弱點進行模擬
– 可模擬Windows的網路，如
NetBIOS、SMB、CIFS
– 可偵測到針對Windows檔案分享
的攻擊
– 模擬常見的通訊協定如：FTP、
SMB、POP3、HTTP、Telnet、
SMTP與SOCKS等以蒐集攻擊者
的資訊
資料來源：http://www.keyfocus.net/kfsensor/
網路安全
9-18
誘捕系統(Honeypot)工具 - Honeyd
• 輕型Open-source的虛擬Honeypot
• 模擬多個作業系統和網路服務
• 諸多外掛模組，用於模擬常見的服務
–
–
–
–
模擬微軟 IIS 網頁伺服器的Scripts
模擬SMTP
模擬HTTP
模擬Telnet
• 支援IP協定架構
• 模擬任意拓撲架構的虛擬網路與網路通道
網路安全
9-19
誘捕系統(Honeypot)工具 - Honeyd (續)
• 處理目的IP位址屬於虛擬Honeypot之一的網路封
包的方法
– 對指向Honeyd主機的虛擬IP位址創建特定路由
– 使用ARP-Proxy
– 使用網路通道
網路安全
9-20
使用ARP - Proxy
封包的Destination=Honeypot
Windows NT 4.0
網路安全
9-21
使用ARP - Proxy (續)
路由器查詢它的路由
表由找到10.0.0.13的
轉送位址
網路安全
9-22
使用ARP - Proxy (續)
沒有配置專用的路由
網路安全
9-23
使用ARP - Proxy (續)
路由器透過
ARP請求確定
10.0.0.13 的
MAC位址
網路安全
9-24
使用ARP - Proxy (續)
路由器把發送
Honeypot
Windows NT
4.0的封包轉到
Honeyd主機的
MAC位址
網路安全
9-25
Honeyd原理說明
在port 80等待
連線
網路安全
9-26
Honeyd原理說明 (續)
有人連進來，由
subsystem接受連線
網路安全
9-27
Honeyd原理說明 (續)
由internal service
決定如何回應
網路安全
9-28
Honeyd配置
• 透過配置模板(Template)來配置虛擬的Honeypot
• 配置語言是一種Context-free文法(上下文順序無關
)，可以設定虛擬網路、作業系統及服務
網路安全
9-29
創建一作業系統
模板
配置模板
•
•
•
•
•
•
•
•
•
•
•
•
•
### Default Template
create default
# Set default behavior
set default personality "Microsoft Windows XP Home Edition"
set default default tcp action open
set default default udp action open
set default default icmp action open
add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl"
add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl"
add default tcp port 139 open
add default tcp port 137 open
add default udp port 137 open
add default udp port 135 open
網路安全
9-30
配置模板 (續)
•
•
•
•
•
•
•
•
•
•
•
•
•
設定該模板的
Nmap 指紋
### Default Template
create default
# Set default behavior
set default personality "Microsoft Windows XP Home Edition"
set default default tcp action open
set default default udp action open
set default default icmp action open
add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl"
add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl"
add default tcp port 139 open
add default tcp port 137 open
add default udp port 137 open
add default udp port 135 open
網路安全
9-31
配置模板 (續)
•
•
•
•
•
•
•
•
•
•
•
•
•
### Default Template
create default
# Set default behavior
set default personality "Microsoft Windows XP Home Edition"
set default default tcp action open
設定預設的TCP和
set default default udp action open
UDP和ICMP 動作
set default default icmp action open
add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl"
add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl"
add default tcp port 139 open
add default tcp port 137 open
add default udp port 137 open
add default udp port 135 open
網路安全
9-32
配置模板 (續)
•
•
•
•
•
•
•
•
•
•
•
•
•
### Default Template
create default
# Set default behavior
set default personality "Microsoft Windows XP Home Edition"
set default default tcp action open
set default default udp action open
set default default icmp action open
add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl"
add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl"
add default tcp port 139 open
add default tcp port 137 open 設定系統監聽埠號，並且呼叫
add default udp port 137 open 腳本iisemul8.pl 和cmdexe.pl
add default udp port 135 open
網路安全
9-33
配置模板 (續)
•
•
•
•
•
•
•
•
•
•
•
•
•
### Default Template
create default
# Set default behavior
set default personality "Microsoft Windows XP Home Edition"
set default default tcp action open
set default default udp action open
set default default icmp action open
add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl"
add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl"
add default tcp port 139 open
打開TCP 139與137 Port
add default tcp port 137 open
add default udp port 137 open
打開UDP 137與135 Port
add default udp port 135 open
網路安全
9-34
誘捕系統(Honeypot)工具 - Nepenthes
• Nepenthes為惡意程式誘捕系統，藉由模擬系統弱
點，誘使惡意程式對誘捕系統進行攻擊，進而捕
捉到惡意程式，是屬於Low-Interaction Honeypot
網路安全
9-35
誘捕系統(Honeypot)工具 - Nepenthes (續)
Vulnerability Modules：
模擬網路服務的弱點
網路安全
9-36
誘捕系統(Honeypot)工具 - Nepenthes (續)
Shellcode parsing Modules：分析與反
解Exploit Payload，找出Mal-URL
網路安全
9-37
誘捕系統(Honeypot)工具 - Nepenthes (續)
Fetch Modules：利用HTTP、FTP、
TFTP…從遠端抓取惡意程式Binary
網路安全
9-38
誘捕系統(Honeypot)工具 - Nepenthes (續)
Submission Modules：將抓下來的
惡意程式存到Disk，或其他伺服器
網路安全
9-39
誘捕系統(Honeypot)工具 - Nepenthes (續)
• 於Linux環境下執行，透過模組模擬不同的系統弱
點，並可將蒐集的惡意程式儲存在分散式的資料
庫中
• Developer：Paul Baecher, Markus Koetter
• Nepenthes網址：
– http://nepenthes.carnivore.it
– http://nepenthes.mwcollect.org
Nepenthes
…
網路安全
9-40
誘捕系統(Honeypot)工具 - Nepenthes (續)
• Nepenthes可以模擬的弱點
Name
vuln-asn1
vuln-optix
vuln-bagle
vuln-pnp
vuln-dameware
vuln-sasserftpd
vuln-dcom
vuln-mymq
vuln-veritas
vuln-upnp
vuln-mssql
vuln-wins
vuln-ftpd
vuln-msdtc
vuln-mydoom
vuln-sub7
vuln-netdde
vuln-netbiosname
vuln-iis
vuln-kuang2
vuln-lsass
網路安全
9-41
漏洞掃描工具 - X-Scan
• 掃瞄內容包括：遠端系統服務類型、操作系統類型
及版本，各種弱點漏洞、後門、應用服務漏洞
• 原創作者：XFOCUS Team
• X-Scan網址：
http://www.xfocus.org/programs/200507/18
網路安全
9-42
結論
• Honeyd可以應用在網路安全的許多領域
– 例︰病毒探測、反蠕蟲、阻止垃圾郵件及轉移攻擊
目標等
• Honeypot系統都是正在發展中的技術，還需要不
斷地擴充和完善功能，提升迷惑性和自身的安全
性
• 誘捕系統為安全研究使用較多，部署於企業內部
需考量其風險及安全性，並配合適當的監控及分
析技術，否則仍不適用於一般的企業作為安全機
制的一環
網路安全
9-43
Module 9-3：誘捕系統的實務(**)
網路安全
9-44
說明
• 架設實作(一)，請使用HoneyD軟體配置Honeypot
誘捕系統。依實驗拓樸，請使用HoneyD主機做安
裝及測試
• 架設實作(二)，請使用Nepenthes軟體配置
Nepenthes誘捕系統，並利用X-Scan做掃描。依實
驗拓樸，請使用Nepenthes主機做Nepenthes軟體安
裝及測試，attacker主機做7z軟體及X-Scan軟體安
裝及測試
網路安全
9-45
架設實作(一)
Honeypot架設實作實習
網路安全
9-46
實作環境介紹
attacker
OS：WINXP-SP2
IP：10.1.2.2
IP2
IP1
HoneyD
OS：FC6-yum-STD
IP：10.1.1.2
安裝軟體：Honeyd
router
OS：FC6-STD
IP1：10.1.1.3
IP2：10.1.2.3
網路安全
9-47
實驗拓樸on Testbed@TWISC
- 建立完成的實驗拓樸
網路安全
9-48
誘捕系統(Honeypot)工具 - Honeyd
• 版本
– honeyd-1.5c
• 支援作業平台
– Linux及OpenBSD
• 其他需求工具
– libpcap、libdnet、 libevent、libedit、 termcap、
pcre 、及arpd
• 下載位址
– http://www.honeyd.org/uploads/honeyd-1.5c.tar.gz
網路安全
9-49
誘捕系統(Honeypot)工具 - Honeyd
• Libpcap:是Linux系統中用以擷取封包的工具之ㄧ
• Libdnet:提供了修改封包IP的功能
• Libevent:透過libevent使我們可以設定當某些事件發生時
就會執行的某些函示，也就是我們可以透過libevent來呼
叫特定的script來模擬某些作業系統的網路特徵
• Libedit:提供讀取封包的功能
• Termcap:提供傳送控制訊息的功能
• Pcre:處理PCRE - Perl Compatible Regular Expressions
正規表示式的一個函式庫
• Arpd:如果駭客的ARP requests是指向一個虛擬IP ，arpd
會回應駭客使駭客以為這個虛擬IP指向honeyd
網路安全
9-50
其他需求工具 - libdnet
• 版本
– libdnet-1.11
• 支援作業平台
– Fedora 3/4/5/6
• 下載位址
– http://www.honeynet.org.tw/images/stories/Honeypot_
tools/honeyd_files/1_libdnet-1.11.tar.gz
網路安全
9-51
其他需求工具 - libevent
• 版本
– libevent-1.4.8
• 支援作業平台
– Linux、BSD、Mac OS X及Solaris
• 下載位址
– http://www.honeynet.org.tw/images/stories/Honeypot_
tools/honeyd_files/2_libevent-1.4.8-stable.tar.gz
網路安全
9-52
其他需求工具 - libpcap
• 版本
– libpcap-1.0.0
• 支援作業平台
– Fedora 5/6、StartCom 5及Arklinux
• 下載位址
– http://www.honeynet.org.tw/images/stories/Honeypot_
tools/honeyd_files/3_libpcap-1.0.0.tar.gz
網路安全
9-53
其他需求工具 - arpd
• 版本
– arpd-0.2
• 支援作業平台
– Linux
• 下載位址
– http://www.honeynet.org.tw/images/stories/Honeypot_
tools/honeyd_files/4_arpd.zip
網路安全
9-54
其他需求工具 - termcap
• 版本
– termcap-1.3.1
• 支援作業平台
– Linux及BSD
• 下載位址
– http://www.honeynet.org.tw/images/stories/Honeypot_
tools/honeyd_files/5_termcap-1.3.1.tar.gz
網路安全
9-55
其他需求工具 - libedit
• 版本
– libedit-0.3
• 支援作業平台
– Linux及BSD
• 下載位址
– http://www.honeynet.org.tw/images/stories/Honeypot_
tools/honeyd_files/6_libedit-0.3.tar.gz
網路安全
9-56
其他需求工具 - pcre
• 版本
– pcre-7.8
• 支援作業平台
– Fedora 6
• 下載位址
– http://www.honeynet.org.tw/images/stories/Honeypot_
tools/honeyd_files/7_pcre-7.8.tar.gz
網路安全
9-57
rrdtool
• 版本
– rrdtool-1.0.50-3.el5.rf.i386.rpm
• 支援作業平台
– Fedora 6
• 下載位址
– ftp://fr.rpmfind.net/linux/dag/redhat/el5/en/i386/dag/R
PMS/rrdtool-1.0.50-3.el5.rf.i386.rpm
網路安全
9-58
Honeyd
執行以下指令：
將權限切換至root
• # sudo su
• # yum -y install kernel-headers, kernel, kernel-devel
• # yum -y install gcc, glibc , glic-devel gcc-c++, flex,
bison, byacc, zlib-devel
網路安全
9-59
Honeyd (續)
建立honeyd這個目錄
並用cd指令切換到
honeyd這個目錄之下
• # mkdir /honeyd/
• # cd /honeyd/
• # cp /share/isc/Module09/1_libdnet-1.11.tar.gz .
•
•
•
•
•
•
# tar zxvf 1_libdnet-1.11.tar.gz
複製1_libdnet# cd libdnet-1.11
1.11.tar.gz並解壓縮後
#./configure -prefix=/usr
進入libdnet-1.11目錄
# make
利用./configure 、make及make
# make install
install安裝1_libdnet-1.11
# cd ..
安裝最後回到/honeyd/那層目錄
網路安全
9-60
Honeyd (續)
• # cp /share/isc/Module09/2_libevent-1.4.8stable.tar.gz .
• # tar zxvf 2_libevent-1.4.8-stable.tar.gz
• # cd libevent-1.4.8-stable/
複製2_libevent-1.4.8• #./configure -prefix=/usr
stable.tar.gz並解壓縮
• # make
後進入libevent-1.4.8• # make install
stable/目錄
• # cd ..
利用./configure 、make及make
install安裝2_libevent-1.4.8
網路安全
9-61
Honeyd (續)
•
•
•
•
•
•
•
複製3_libpcap-1.0.0.tar.gz並解壓縮
# cp /share/isc/Module09/3_libpcap-1.0.0.tar.gz .
# tar zxvf 3_libpcap-1.0.0.tar.gz
# cd libpcap-1.0.0
切到libpcap-1.0.0之下
#./configure --prefix=/usr
# make
# make install
# cd ..
利用./configure 、make
及make install安裝
3_libpcap-1.0.0
網路安全
9-62
Honeyd (續)
•
•
•
•
•
•
•
•
•
•
複製4_arpd.zip並解壓縮
# cp /share/isc/Module09/4_arpd.zip .
# unzip -d arpd/ 4_arpd.zip
# cd arpd/
# ls
切到arpd/之下
# chmod a+x *
增加執行權限
# ls
#./configure --prefix=/usr 利用./configure、
# make
make及make install
# make install
安裝4_arpd
# cd ..
網路安全
9-63
Honeyd (續)
•
•
•
•
•
•
•
複製5_termcap1.3.1.tar.gz並解壓縮
# cp /share/isc/Module09/5_termcap-1.3.1.tar.gz .
# tar zxvf 5_termcap-1.3.1.tar.gz
# cd termcap-1.3.1-src/src
切到termcap-1.3.1#./configure --prefix=/usr
src/src之下
# make
# make install
利用./configure 、
make及make install
# cd ../..
安裝5_termcap1.3.1
網路安全
9-64
Honeyd (續)
•
•
•
•
•
•
•
複製6_libedit-0.3.tar.gz並解壓縮
# cp /share/isc/Module09/6_libedit-0.3.tar.gz .
# tar zxvf 6_libedit-0.3.tar.gz
移至libedit-0.3
# cd libedit
#./configure --prefix=/usr
利用./configure 、
# make
make及make install
安裝6_libedit-0.3
# make install
# cd ..
網路安全
Honeyd (續)
•
•
•
•
•
•
•
複製 7_pcre-7.8.tar.gz並解壓縮
# cp /share/isc/Module09/7_pcre-7.8.tar.gz .
# tar zxvf 7_pcre-7.8.tar.gz
移至pcre-7.8
# cd pcre-7.8
#./configure --prefix=/usr
利用./configure 、
# make
make及make install
# make install
安裝pcre-7.8
# cd ..
網路安全
9-66
Honeyd (續)
• # cp /share/isc/Module09/rrdtool-1.0.503.el5.rf.i386.rpm .
• # rpm -ivh rrdtool-1.0.50-3.el5.rf.i386.rpm
• 用於產生Time-Series 圖檔，如果此套件沒有安裝，
honeyd很容易產生錯誤，停止執行。
網路安全
9-67
Honeyd (續)
•
•
•
•
•
•
•
複製9_honeyd-1.5c.tar.gz並解壓縮
# cp /share/isc/Module09/honeyd-1.5c.tar.gz .
# tar zxvf honeyd-1.5c.tar.gz
# cd honeyd-1.5c
#./configure --prefix=/usr
利用./configure -# make
prefix=/usr、make
# make install
及make install安裝
# cd ..
honeyd-1.5c
網路安全
9-68
Honeyd (續)
•
•
•
•
•
# mkdir -p /opt/honeyd/bin/ 在/opt/honeyd/之下
建立bin、etc及log
# mkdir -p /opt/honeyd/etc/
這3個資料夾
# mkdir -p /opt/honeyd/log/
# cp /usr/sbin/arpd /opt/honeyd/bin/
# cp /usr/bin/honeyd /opt/honeyd/bin/
網路安全
9-69
Honeyd (續)
• # cp /share/isc/Module09/honeyd_kit.zip .
• # unzip -d honeyd_kit/ honeyd_kit.zip
安裝模擬honeyd的windows服務之scripts檔案
• # cp /share/isc/Module09/smtp /opt/honeyd/bin/
• # cp /share/isc/Module09/proxy /opt/honeyd/bin/
• # cp /usr/share//honeyd/nmap.assoc /opt/honeyd/etc/
把smtp及proxy這幾個檔案與nmap.assoc複製到/opt裡
相對應的位置
網路安全
9-70
Honeyd
把nmap.prints、xprobe2.conf、 pf.os、 honeyd.conf、start(續) honeyd.sh及scripts資料夾複製到/opt裡相對應的位置
•
•
•
•
# cp /usr/share/honeyd/nmap.prints /opt/honeyd/etc/
# cp /usr/share/honeyd/pf.os /opt/honeyd/etc/
# cp /usr/share/honeyd/xprobe2.conf /opt/honeyd/etc/
# cp /share/isc/Module09/honeyd.conf
/opt/honeyd/etc/
• # cp -rf /honeyd/honeyd_kit/scripts/ /opt/honeyd/
• # cp -rf /honeyd/honeyd_kit/start-honeyd.sh
/opt/honeyd/
網路安全
9-71
Honeyd (續)
•
•
•
•
•
•
在eth4上監聽封包、更改紀錄的存取時間
及存取權限及用ls –l看log/下有哪些檔案
# cd /opt/honeyd/bin/
#./arpd -i eth4
# touch /opt/honeyd/log/honeyd.log
# touch /opt/honeyd/log/service.log
# chown -R nobody.nobody /opt/honeyd/log
# ls -l /opt/honeyd/log/*
依honeyd.conf的設定執
行honeyd並把訊息紀錄
到honeyd.log並用less指
令查看紀錄
網路安全
9-72
Honeyd (續)
加註解
改
• # cd /opt/honeyd/
• # vi start-honeyd.sh
1.將「set –x」此行前面加上#做註解
2.將eth1改為eth4
• # chmod a+x start-honeyd.sh
• # sh start-honeyd.sh
• # ps aux | grep honeyd
網路安全
9-73
結果
Honeyd正在背景程序執行中
網路安全
9-74
編輯程式碼
• # vi /opt/honeyd/etc/honeyd.conf
• 游標移至要刪除的第一行，按dG (游標以下全刪)
保留紅色方框區塊，其他部份全刪除
網路安全
9-75
編輯程式碼 (續)
• 修改後之完整程式碼
新增：「bind 10.1.1.7 default」，
做為ARP Spoofing所假冒的IP位址
網路安全
9-76
編輯程式碼 (續)
• # vi /opt/honeyd/scripts/windows/cmdexe.pl
將紅色框內的「-T」刪除
網路安全
9-77
編輯程式碼 (續)
•
•
•
•
# chmod a+x /opt/honeyd/scripts/windows/cmdexe.pl
# mkdir /var/cmdexe
# touch /var/cmdexe/logfile
# chown -R nobody.nobody /var/cmdexe
網路安全
9-78
攻擊測試
• 於attacker主機使用Command Prompt進行telnet
Telnet一台不存在的機器，以cmdexe.pl
作回應，偽裝成Windows XP的機器回應
網路安全
9-79
Trouble Shooting
• 如操作過程有疑慮，請查看log並依指示除錯
• # cd log
Honeyd的log存放於
/ops/honeyd/log/，並
包含四個log
10.1.1.7之連線記錄
網路安全
9-80
架設實作(二)
Nepenthes架設實作實習
網路安全
9-81
實驗環境介紹
attacker
OS：WINXP-SP2
IP：10.1.2.2
Nepenthes
OS：FC6-yum-STD
IP：10.1.1.2
安裝軟體：nepenthes
IP1
IP2
router
OS：FC6-STD
IP1：10.1.2.3
IP2：10.1.1.3
網路安全
9-82
實驗拓樸on Testbed@TWISC
- 建立完成的實驗拓樸
網路安全
9-83
誘捕系統(Honeypot)工具 - Nepenthes
• 版本
– nepenthes-0.2.2
• 支援作業平台
– gentoo、debian、 FreeBSD及OpenBSD
• 下載位址
– http://downloads.sourceforge.net/nepenthes/nepenthes0.2.2.tar.gz?use_mirror=nchc
網路安全
9-84
漏洞掃描工具 - X-Scan
• 版本
– X-Scan -3.3
• 支援作業平台
– Windows
• 下載位址
– http://www.xfocus.org/programs/200507/X-Scan-v3.3en.rar
• 其他需求
– 7z-4.65
網路安全
9-85
其他需求工具 - 7z
• 版本
– 7z-4.65
• 支援作業平台
– Windows
• 下載位址
– http://downloads.sourceforge.net/project/sevenzip/7Zip/4.65/7z465.exe?use_mirror=nchc
網路安全
9-86
Nepenthes
將作業系統update並安裝
subversion、automake …等套件
• # sudo su
• # yum -y update
• # yum -y install subversion automake libtool flex bison gcc
gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file
libpcap libpcap-devel iptables-devel
• # cd /root
• # cp /share/isc/Module09/nepenthes-0.2.2.tar.gz .
• # tar vxzf nepenthes-0.2.2.tar.gz
• # cd nepenthes-0.2.2/
移到/root之下、下載nepenthes0.2.2.tar.gz並解壓縮
網路安全
9-87
Nepenthes (續)
•
•
•
•
•
利用./configure、make及make install
安裝nepenthes
# autoreconf -v -i --force
# ./configure --prefix=/opt/nepenthes
# make
# make install
# /opt/nepenthes/bin/nepenthes -c
/opt/nepenthes/etc/nepenthes/nepenthes.conf -r
/opt/nepenthes -D
執行nepenthes
網路安全
9-88
Nepenthes執行成功
網路安全
9-89
安裝X-Scan
• 於attacker主機下載7z及X-Scan軟體
• 安裝7z軟體，以執行X-Scan軟體之解壓縮
• 解壓縮X-Scan軟體
– 進資料夾並點擊xscan_gui.exe執行
網路安全
9-90
使用X-Scan進行掃瞄
• 選擇要掃瞄之IP
–
–
–
–
點擊Config
點擊Scan parameter
輸入IP
選OK
10.1.1.2
• 點擊執行
• 等待掃瞄結束
網路安全
9-91
X-Scan掃描結果
網路安全
9-92
結論
•
•
•
•
學習如何架設一個簡單的誘捕系統
了解誘捕系統在探測時可使用哪些工具
知道駭客在入侵時可能使用的手法
站在攻擊者的角度，使我們更加了解目前的
windows系統或其他作業系統擁有的重大缺陷，幫
助我們強化組織內部系統的安全性
網路安全
9-93
習題
網路安全
9-94
習題一
• 請列出Honeypot的分類 ，並說明各類的優缺點
網路安全
9-95
習題二
• 請列出兩種Honeypot的軟體 ，並說明每個軟體有
哪幾個部份
網路安全
9-96
Module 9-4：誘捕系統的實作練習(*)
網路安全
9-97
實作練習目的
• 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot所產生的訊息內容以及Honeypot所能模
擬的系統弱點
網路安全
9-98
實作練習情境描述
• A公司最近經過資訊安全公司Symentec的介紹發現有honeypot這
種系統可以模擬系統弱點並幫忙偵測系統弱點，但是老闆並不
清楚honeypot的紀錄能夠提供什麼資訊，也不清楚能模擬什麼
弱點。扮演最佳員工的同學們，在老闆的要求下要透過對
honeypot紀錄的分析來獲得一些有關攻擊的資訊，以及證明給
老闆honeypot能夠成功模擬系統弱點
• 利用前面所介紹的2個架設實作，分別完成下列要求
 環境裡的Attacker主機是Windows XP sp2作業系統，而該主機
必須先裝上X-Scan的網站工具套件
 X-Scan在網路上搜尋並解壓縮後即可使用
 Router主機的作業系統則是Fedora Core 6在HoneyD主機上架設
honeyd，在Nepenthes主機上架設nepenthes
 利用X-Scan對這兩台主機進行弱點掃描，利用honeyd.log檔分
析honeyd所偽裝的位址，並利用X-Scan來觀察Nepenthes所模擬
的系統服務
網路安全
9-99
環境配置圖
Attacker
OS：WinXP-SP2
IP：10.1.2.2
IP2
IP1
HoneyD
OS：FC6-yum-STD
IP：10.1.1.2
安裝軟體：Honeyd
router
OS：FC6-STD
IP1：10.1.1.3
IP2：10.1.2.3
網路安全
9-100
環境配置圖 (續)
Attacker
OS：WINXP-SP2
IP：10.1.2.2
安裝軟體：X-Scan
Nepenthes
OS：FC6-yum-STD
IP：10.1.1.2
安裝軟體：nepenthes
IP2
IP1
router
OS：FC6-STD
IP1：10.1.1.3
IP2：10.1.2.3
網路安全
9-101
作業繳交說明
• 請參考情境完成作業，並將過程擷圖列於報告中
• 請 於 2011.05.18 23:59
[email protected]
前 將 報 告 寄 至
• 助教收到信後會回信供同學確認繳交
網路安全
7-102
參考資料
• Taiwan Honeypot Project, http://www.honeynet.org.tw/
• 香港特別行政區政府(民97年2月)。誘捕系統(honeypot)的保安。民98
年7月12日，取自：
http://www.infosec.gov.hk/tc_chi/technical/files/honeypots.pdf
• 台灣電腦網路危機處理曁協調中心(91年1月)虛擬攻防系統--Honeypot。
台灣電腦網路危機處理技術專欄。取自：
http://www.cert.org.tw/document/column/show.php?key=42
• 談真實和虛擬兩種honeypot技術的比較(94年3月16日)。CCID IT技術。
(98年6月21日)，取自：
http://www.jkforum.net/redirect.php?tid=810797&goto=lastpost
• 翟繼強、葉飛喬(民97)。虛擬蜜罐Honeyd的分析和研究。民98年7月
12日，取自：
http://www.studa.net/network/080430/10052753.html
網路安全
9-103