入侵检测-实验笔记

一、演示对Windows系统部署蜜罐

1.预备知识

蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。

蜜罐可以按照其部署目的区分为产品型蜜罐和研究型蜜罐两类,研究型蜜罐专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,研究人员可以对黑客攻击进行追踪和分析,捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至能够监听到黑客之间的交谈,从而掌握它们的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作。而产品型蜜罐的目的在于为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署,而且不需要管理员投入大量的工作。

蜜罐也可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐,高交互蜜罐提供完全真实的操作系统和网络服务,没有任何的模拟,从黑客角度上看,高交互蜜罐完全是其垂涎已久的“活靶子”,因此在高交互蜜罐中,我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时,自然地加大了部署和维护的复杂度及风险的扩大。交互度反应了黑客在蜜罐上进行攻击活动的自由度。低交互蜜罐一般仅仅模拟操作系统和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动较为有限,因此通过低交互蜜罐能够收集的信息也比较有限。产品型蜜罐一般属于低交互蜜罐。

蜜罐还可以按照其实现方法区分成物理蜜罐与虚拟蜜罐。物理蜜罐是真实的网络上存在的主机,运行着真实的操作系统,提供真实的服务,拥有自己的IP地址;虚拟蜜罐则是由一台机器模拟的,这台机器会响应发送到虚拟蜜罐的网络数据流,提供模拟的网络服务等。Defnet是一款著名的“蜜罐”虚拟系统,它会虚拟一台有“缺陷”的服务器,等着恶意攻击者上钩。利用该软件虚拟出来的系统和真正的系统看起来没有什么区别,但它是为恶意攻击者布置的陷阱。通过它可以看到攻击者都执行了哪些命令,进行了哪些操作,使用了哪些恶意攻击工具。通过陷阱的记录,可以了解攻击者的习惯,掌握足够的攻击证据,甚至反击攻击者。

2.实验目的

了解系统蜜罐的基本原理,掌握Defnet蜜罐系统的使用。

3.实验工具和环境

Defnet工具&WinXP

4.实验步骤

  • 1.打开defnet.exe程序,运行Defnet HoneyPot
  • 2.在Defnet HoneyPot的程序主界面右侧,点击“HoneyPot”按钮,在设置对话框中,可以虚拟Web、FTP、SMTP、Finger、POP3和Telnet等常规网站提供的服务。
  • 3.虚拟一个FTP Server服务,可选中相应服务“FTP Server”复选框,并可以给恶意攻击者“Full Access”权限,且可设置好“Directory”项,用于指定伪装的文件目录项。
  • 4.设置“Finger Server”的“Advanced”高级设置项,设置多个用户。
  • 5.点击右下角“Advanced”设置“Telnet Server”的高级设置项,设置伪装驱动器盘符(Drive)、卷标(Volume)、序列号(serial no),以及目录创建时间和目录名,剩余磁盘空间(Free space in bytes),MAC地址,网卡类型等,具体如下图所示。这样以来,就可以让虚拟出来的系统更加真实了。
  • 6.点击右下角“Advanced”设置“Telnet Server”的高级设置项,设置伪装驱动器盘符(Drive)、卷标(Volume)、序列号(serial no),以及目录创建时间和目录名,剩余磁盘空间(Free space in bytes),MAC地址,网卡类型等,具体如下图所示。这样以来,就可以让虚拟出来的系统更加真实了。蜜罐提醒设置蜜罐提醒设置如果我们不能在电脑前跟踪攻击者的攻击动作时,当想了解攻击者都做了些什么时,可以使用HoneyPot提供的“提醒”功能。在软件主界面点击“Options”按钮,在打开设置窗口中,设置自己的E-mail信箱,其自动将攻击者的动作记录下来,发送到设置的邮箱中。选中“Send logs by e-mail”,在输入框中填写自己的邮箱地址,邮件发送服务器地址,发送者邮箱地址。再选中“Authenticaton required”,填写邮箱的登录名和密码,自己就可以随时掌握攻击者的入侵情况了。
  • 实验结束~

二、演示Windows系统数据包记录实验

1.预备知识

入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(intrusion detection system,IDS)是完成入侵检测功能的软件和硬件的集合。

入侵检测的功能主要体现在以下几个方面:

  • 1、监视并分析用户和系统的活动。
  • 2、核查系统配置和漏洞。
  • 3、识别已知的攻击行为并报警。
  • 4、统计分析异常行为。
  • 5、评估系统关键资源和数据文件的完整性。
  • 6、操作系统的审计跟踪管理并识别违反安全策略的用户行为。

2.实验目的

理解入侵检测的作用和原理,掌握snort入侵检测的数据包记录的方法。

3.实验工具和环境

Snort、Wireshark、WinXP

4.实验步骤

  • 1.打开”snort.exe”
  • 2.使用下面命令查看是否正常: Snort –W 如果出现小猪的形状就说明安装成功了,此时,snort已经可以用于嗅探模式了。
  • 3.输入嗅探模式命令snort –i 1(此处选择1是网卡选择,可能有好几个网卡可选择的)
  • 4.此时该控制台就会开始记录数据包,单击“开始-命令提示符”,再打开一个命令行,输入“ping 192.168.20.20”,此时snort就会开始实时记录数据包。
  • 5.上面介绍的嗅探器模式只是把信息显示在屏幕上,如果要把这些数据信息记录到硬盘上并制定到一个目录中,那就需要使用数据包记录器模式。再次打开“桌面-实验工具-snort.exe”,C:\snort\bin目录下运行命令:snort –i 1 –de –l “c:\Snort\log”
  • 6.进入Snort包记录器模式。ctrl+c退出记录命令,打开“实验工具”中的“Wireshark”:
  • 7.点击wireshake界面左上角的“file-open”:
  • 8.打开“C:\Snort\log\snort.log.xxxxxxxxxx”(xxxxxxxxxx是十位数字):
  • 9.这就是通过Snort获取的数据包,可简单分析日志记录的数据包。
  • 实验结束~

三、对web服务部署蜜罐实验

1.预备知识

攻击者对企业网络的攻击、渗透,往往以获取服务器的控制权,窃取敏感数据为目的。服务器一旦部署完成就处于内外攻击之中,安全实践证明,打造百分之百安全的服务器只能是梦想。因此,与其疲于防范,不如改变防御策略主动出击。

搭建蜜罐服务器是个不错的方案,通过它分析获取攻击时间、攻击方式,甚至分析攻击者的心理习惯等,既保护了真正的服务器,同时为我们抓捕攻击者提供了依据。

蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹。

因此,蜜罐的定义是:蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。Trap Server是一款WEB服务器蜜罐软件,它可以模拟很多不同的服务器,例如Apache、 HTTP Server、IIS等。TrapServer蜜罐运行时就会开放一个伪装的WEB服务器,虚拟服务器将对这个服务器的访问情况进行监视,并把所有对该服务器的访问记录下来,包括IP地址,访问文件等。通过这些对黑客的入侵行为进行简单的分析。

2.实验目的

了解WEB蜜罐的基本原理,掌握Trap Server的使用。

3.实验工具和环境

Trap Server、WinXP

4.实验步骤

  • 1.在pc2中安装Trap Server,默认安装即可(安装包在桌面/实验工具/中),出现下图所示界面即安装成功,勾选“运行程序”,点击“完成”
  • 2.运行Trap Server虚拟服务器;启动Trap Server(默认安装路径为C:\Program Files\虚拟服务器软件);服务器类别:分别是“启动IIS服务器”、“启动Apache服务器”和“启动EasyPHP服务器” 软件可以模拟上述三种服务器,默认监听的都是80端口。主页路径默认的是安装Trap Server目录下面的WEB文件夹,可以自己另外设置别的目录,但主页的路径不能修改,可以把自己做的主页放到文件夹里面,这样这款蜜罐就可以做为WEB服务器用了。软件默认监听的80端口,也可以修改,比如系统安装了IIS,占用了80,那么完全可以选择一个没有被占用的端口,比如8080之类的;本实验中将端口设置为8080(在监听端口编辑框内修改)选择要模拟的服务器类型后(示例中为IIS,如下图所示),在主界面点击“开始监听”按钮,点击“解除阻止”,即可启动蜜罐服务。
  • 3.在PC2的控制台单击“开始-命令提示符”,进入pc2的dos界面,输入“ipconfig”查看pc2的IP地址为192.168.122.87
  • 4.在PC1的控制台单击“开始-命令提示符”,进入pc1的dos界面,输入“ipconfig”查看pc1的IP地址为192.168.122.18。
  • 5.打开pc1虚拟控制台,打开IE浏览器。在浏览器中输入http://192.168.122.87:8080,出现如下界面
  • 6.回到PC2中就可以监视到PC1的操作,如下图所示,192.168.122.18即为PC1的IP地址,在遭受攻击时,如果不知道攻击者的真实IP地址,可以点击“跟踪”按钮,软件会跟踪IP经过的路由,揪出攻击者的IP地址
  • 7.测试Trap Server虚拟服务器在PC1中打开命令行窗口,输入telnet 192.168.122.87 8080,连接到实验台8080端口。

进入一下界面

在新打开的窗口中输入get index.htm(注意:该命令可能不会显示):

敲两下两下ENTER键。通过返回的信息就知道服务器的版本了,如下图所示

在PC2中可以在Trap Server中看到相应的记录,如下图所示

  • 实验结束

四、演示检测入侵行为

1.实验目的

理解入侵检测的作用和原理,掌握snort入侵检测的方法

2.实验工具环境

Snort2.9.0.3.rarSnortrules-snapshot-2903.tar.gz、WinXP

3.实验步骤

  • 1.打开桌面实验工具文件夹双击snort.exe,在C盘上述相关安装程序并且使用下面命令检测安装是否成功:cd C:\snort\bin (回车) 键入Snort –W 如果出现小猪的形状就说明安装成功了
  • 2.将snortrules-snapshot-2903.tar.gz解压,并将文件夹拷贝覆盖到c:\Snort下,修改snort配置文件 etc里面的snort.conf文件
原: var RULE_PATH ../rules
改为: var RULE_PATH C:\Snort\rules
原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
改为:dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor(后面一定不要有/)
原: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
改为:dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll原:dynamicdetection directory /usr/local/lib/snort_dynamicrules
改为:dynamicdetection directory C:\Snort\lib\snort_dynamicrules
然后将C:\Snort\so_rules\precompiled\FC-12/86\2.9.0.1里的所有文件拷贝到C:\Snort\lib\snort_dynamicrules (snort_dynamicrules 文件夹需要新建)
原: include classification.config
改为: include C:\Snort\etc\classification.config
原: include reference.config
改为: include C:\Snort\etc\reference.config
原: # include threshold.conf
改为: include C:\Snort\etc\threshold.conf
原:#Does nothing in IDS modepreprocessor normalize_ip4preprocessor normalize_tcp: ips ecn streampreprocessor normalize_icmp4preprocessor normalize_ip6preprocessor normalize_icmp6
在之前加上#,注释掉。
原:preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 65535 decompress_depth 65535
改为:preprocessor http_inspect: global iis_unicode_map C:\Snort\etc\unicode.map 1252 compress_depth 65535 decompress_depth 65535
(因为在windows下unicode.map这个文件在etc文件夹下。将compress_depth 和decompress_depth 设置compress_depth 65535 decompress_depth 65535)
将所有的ipvar修改为var
将#include $RULE_PATH/web-misc.rules注释掉
进入dos,在snort\bin目录用snort -W查看系统可用网络接口。
记住需要监视的网卡的编号,比如为1,那么在以后的使用中,用-i 1就可以选择对应的网卡。
运行命令
snort –i 1 -c "c:\Snort\etc\snort.conf" -l "c:\snort\log"
此时为攻击检测模式。
ctrl+c停止检测后
到c:\snort\log目录下可以查看日志报告。
名为alert的文件即为检测报告(可用记事本打开)
  • 实验结束~

五、演示利用蜜罐记录攻击信息

1.实验目的

了解系统蜜罐的基本原理,掌握Defnet蜜罐系统的使用。

2.实验工具和环境

Defnet蜜罐工具、WinXP两台

3.实验步骤

  • 1.打开defnet.exe程序,运行Defnet HoneyPot,在Defnet HoneyPot的程序主界面右侧,点击“HoneyPot”按钮。
  • 2.虚拟一个Telnet Server服务,可选中相应服务“Telnet Server”复选框,login设为administrator,senha设为“123456”
  • 3.点击右下角“Advanced”设置“Telnet Server”的高级设置项,设置伪装驱动器盘符(Drive)、卷标(Volume)、序列号(serial no),以及目录创建时间和目录名,剩余磁盘空间(Free space in bytes),MAC地址,网卡类型等,具体如下图所示。
  • 4.这样以来,就可以让虚拟出来的系统更加真实了设置完成后,直接关闭对话框“honeypot”,在第一个对话框按下“monitore”按钮,开始监听。
  • 5.单击“开始”“命令提示符”,打开DOS界面;在命令行中输入“ipconfig”命令,可以看到wxpsp3_2的IP地址192.168.122.86 PS:根据自身IP决定
  • 6.打开wxpsp3同上一步查询IP地址192.168.122.97
  • 7.接着在wxpsp3的命令行中输入telnet 192.168.122.86(wxpsp3_2的IP地址),请求telnet连接。
  • 8.连接成功后输入之前在wxpsp3_2中配置的蜜罐用户名和密码。如下图所示即为登录成功。
  • 9.返回wxpsp3_2发现登录过程信息已经被记录
  • 实验结束~
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇