1 / 103

Module 9 : 誘捕系統實習

Module 9 : 誘捕系統實習. 學習目的. 利用誘捕系統,找出網路中潛在的威脅 本模組共有四個小節包括 (1) 誘捕系統簡介 (2) 誘捕系統工具介紹 (3) 誘捕系統的實務 (4) 誘捕系統的專案 實作. Module 9 : 誘捕系統實習. Module 9-1 :誘捕系統簡介 (*) Module 9-2 :誘捕系統工具介紹 (*) Module 9-3 :誘捕系統的實務 (**) Module 9-4 :誘捕系統的專案實作 (*). * 初級 (basic) :基礎性教材內容

silvain
Download Presentation

Module 9 : 誘捕系統實習

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Module 9:誘捕系統實習

  2. 學習目的 • 利用誘捕系統,找出網路中潛在的威脅 • 本模組共有四個小節包括 (1)誘捕系統簡介 (2)誘捕系統工具介紹 (3)誘捕系統的實務 (4)誘捕系統的專案實作

  3. Module 9:誘捕系統實習 • Module 9-1:誘捕系統簡介(*) • Module 9-2:誘捕系統工具介紹(*) • Module 9-3:誘捕系統的實務(**) • Module 9-4:誘捕系統的專案實作(*) * 初級(basic):基礎性教材內容 **中級(moderate):教師依據學生的吸收情況,選擇性介紹本節的內容 ***高級(advanced):適用於深入研究的內容

  4. Module 9-1:誘捕系統簡介(*)

  5. 誘捕系統(Honeypot)的介紹 • 誘捕系統(Honeypot):受到嚴密監控的網路誘騙系統,具有以下特點 • 迷惑敵人,誘使駭客攻擊Honeypot而無暇去攻擊一些系統中比較重要的機器 • 對新攻擊發出預警 • 引誘駭客攻擊 • 可使用入侵偵測系統與防火牆等結合使用,以提升安全性

  6. 誘捕系統(Honeypot)的重要性 • 引誘攻擊者入侵組織資訊系統的陷阱 • 作為對系統弱點預警的監視工具 • 減低資訊科技系統及網路遭攻擊的風險 • 蒐集入侵方法並加以分析,為系統的潛在漏洞提供寶貴資訊

  7. 誘捕系統(Honeypot)的重要性 (續) • 傳統的IDS 針對已知的入侵手法對外來的attacker作出警告 • Honeypot 學習駭客入侵的工具,以找出作業系統的弱點 增加對惡意程式的蒐證

  8. 誘捕系統(Honeypot)的功能 • 誘捕系統模擬成有缺陷的系統,等待攻擊者來攻擊,藉以蒐集攻擊的手法與方式 • Honeypot解決IDS或防火牆記錄等資訊過量問題 • 為一個模擬或真實的網路系統 • 隱藏在防火牆後面,所有進出的資料皆受到監視 • 使用不同的作業系統及設備,如Solaris、Linux、Windows NT及Cisco Switch

  9. 誘捕系統(Honeypot)的功能 (續) • 不同的系統平台上面運行著不同的服務 • 例:Linux的DNS server、Windows NT的webserver或Solaris的FTP Server • 入侵者會將目標定於幾個特定的系統漏洞上 • 不同的服務有不同的攻擊手法 • 分析記錄使我們了解服務的弱點

  10. 誘捕系統(Honeypot)的分類 • 低互動性誘捕系統(Low-Interaction Honeypot) • 提供有限的服務,藉由模擬服務與作業系統來運作 • 風險也較小,因攻擊者絕不會進到一個真實的作業系統 • 高互動性誘捕系統(High-Interaction Honeypot) • 以真實的作業系統與真實的應用程式來運作,而非模擬 • 風險相對較高,因攻擊者可能攻陷一個真實的作業系統 ,並威脅真實的網路

  11. 低互動性誘捕系統(Low-Interaction Honeypot) • 模擬現有作業系統上的服務 • 監控沒有使用的 IP 位址空間 • 記錄攻擊 • 主要優勢 • 較容易部署與維護 • 風險亦較小,因攻擊者絕不會進到一個真實的作業系統 • 例:Honeyd、Nepenthes及Honeytrap

  12. 高互動性誘捕系統(High-Interaction Honeypot) • 以真實的作業系統來構建,提供真實的系統和服務給駭客攻擊 • 不預設一個攻擊者會有什麼樣的行為,而提供可以追蹤所有活動的環境 • 缺點: • 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器 • 部署較為複雜,技術層面較高 • 例:Honeywall-ROO、HIHAT及Honeybow

  13. Low-Interaction v.s. High-Interaction Honeypot

  14. Module 9-2:誘捕系統工具介紹(*)

  15. 誘捕系統(Honeypot)工具比較 • 商業軟體 • 優:效果佳 • 缺:成本高 • 例:Symantec Decoy Server與KFSensor • 免費軟體 • 優:成本低 • 缺:缺少某些商業軟體所提供的效果 • 例:Honeyd與Nepenthes

  16. 誘捕系統(Honeypot)工具比較 9-16

  17. 誘捕系統(Honeypot)工具- Symantec Decoy Server • 由賽門鐵克公司所發展商用之誘捕系統 • 會警示由內/外部所發出之未經授權的入侵意圖 • 可自動地偵測與回應新型態的攻擊 • 在與對手互動時產生模擬的流量 • 過程可重播

  18. 誘捕系統(Honeypot)工具- KFSensor • 可針對Windows作業系統所提供的各項服務以及弱點進行模擬 • 可模擬Windows的網路,如NetBIOS、SMB、CIFS • 可偵測到針對Windows檔案分享的攻擊 • 模擬常見的通訊協定如:FTP、SMB、POP3、HTTP、Telnet、SMTP與SOCKS等以蒐集攻擊者的資訊 資料來源:http://www.keyfocus.net/kfsensor/

  19. 誘捕系統(Honeypot)工具 - Honeyd • 輕型Open-source的虛擬Honeypot • 模擬多個作業系統和網路服務 • 諸多外掛模組,用於模擬常見的服務 • 模擬微軟 IIS 網頁伺服器的Scripts • 模擬SMTP • 模擬HTTP • 模擬Telnet • 支援IP協定架構 • 模擬任意拓撲架構的虛擬網路與網路通道

  20. 誘捕系統(Honeypot)工具 - Honeyd (續) • 處理目的IP位址屬於虛擬Honeypot之一的網路封包的方法 • 對指向Honeyd主機的虛擬IP位址創建特定路由 • 使用ARP-Proxy • 使用網路通道

  21. 使用ARP - Proxy 封包的Destination=Honeypot Windows NT 4.0 9-21

  22. 使用ARP - Proxy (續) 路由器查詢它的路由表由找到10.0.0.13的轉送位址 9-22

  23. 使用ARP - Proxy (續) 沒有配置專用的路由 9-23

  24. 使用ARP - Proxy (續) 路由器透過ARP請求確定10.0.0.13 的MAC位址 9-24

  25. 使用ARP - Proxy (續) 路由器把發送Honeypot Windows NT 4.0的封包轉到Honeyd主機的MAC位址 9-25

  26. Honeyd原理說明 在port 80等待連線

  27. Honeyd原理說明 (續) 有人連進來,由subsystem接受連線 9-27

  28. Honeyd原理說明 (續) 由internal service決定如何回應 9-28

  29. Honeyd配置 • 透過配置模板(Template)來配置虛擬的Honeypot • 配置語言是一種Context-free文法(上下文順序無關),可以設定虛擬網路、作業系統及服務

  30. 配置模板 創建一作業系統模板 • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 9-30

  31. 配置模板 (續) 設定該模板的Nmap 指紋 • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 9-31

  32. 配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 設定預設的TCP和UDP和ICMP 動作 9-32

  33. 配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 設定系統監聽埠號,並且呼叫腳本iisemul8.pl和cmdexe.pl 9-33

  34. 配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 打開TCP 139與137 Port 打開UDP 137與135 Port 9-34

  35. 誘捕系統(Honeypot)工具 - Nepenthes • Nepenthes為惡意程式誘捕系統,藉由模擬系統弱點,誘使惡意程式對誘捕系統進行攻擊,進而捕捉到惡意程式,是屬於Low-Interaction Honeypot

  36. 誘捕系統(Honeypot)工具 - Nepenthes (續) Vulnerability Modules:模擬網路服務的弱點

  37. 誘捕系統(Honeypot)工具 - Nepenthes (續) Shellcode parsing Modules:分析與反解Exploit Payload,找出Mal-URL

  38. 誘捕系統(Honeypot)工具 - Nepenthes (續) Fetch Modules:利用HTTP、FTP、TFTP…從遠端抓取惡意程式Binary

  39. 誘捕系統(Honeypot)工具 - Nepenthes (續) Submission Modules:將抓下來的惡意程式存到Disk,或其他伺服器

  40. Nepenthes … 誘捕系統(Honeypot)工具 - Nepenthes (續) • 於Linux環境下執行,透過模組模擬不同的系統弱點,並可將蒐集的惡意程式儲存在分散式的資料庫中 • Developer:Paul Baecher, Markus Koetter • Nepenthes網址: • http://nepenthes.carnivore.it • http://nepenthes.mwcollect.org

  41. 誘捕系統(Honeypot)工具 - Nepenthes (續) • Nepenthes可以模擬的弱點

  42. 漏洞掃描工具 - X-Scan • 掃瞄內容包括:遠端系統服務類型、操作系統類型及版本,各種弱點漏洞、後門、應用服務漏洞 • 原創作者:XFOCUS Team • X-Scan網址:http://www.xfocus.org/programs/200507/18 9-42

  43. 結論 • Honeyd可以應用在網路安全的許多領域 • 例︰病毒探測、反蠕蟲、阻止垃圾郵件及轉移攻擊目標等 • Honeypot系統都是正在發展中的技術,還需要不斷地擴充和完善功能,提升迷惑性和自身的安全性 • 誘捕系統為安全研究使用較多,部署於企業內部需考量其風險及安全性,並配合適當的監控及分析技術,否則仍不適用於一般的企業作為安全機制的一環

  44. Module 9-3:誘捕系統的實務(**)

  45. 說明 • 架設實作(一),請使用HoneyD軟體配置Honeypot誘捕系統。依實驗拓樸,請使用HoneyD主機做安裝及測試 • 架設實作(二),請使用Nepenthes軟體配置Nepenthes誘捕系統,並利用X-Scan做掃描。依實驗拓樸,請使用Nepenthes主機做Nepenthes軟體安裝及測試,attacker主機做7z軟體及X-Scan軟體安裝及測試

  46. 架設實作(一) Honeypot架設實作實習

  47. 實作環境介紹 attacker OS:WINXP-SP2 IP:10.1.2.2 HoneyD OS:FC6-yum-STD IP:10.1.1.2 安裝軟體:Honeyd IP2 IP1 router OS:FC6-STD IP1:10.1.1.3 IP2:10.1.2.3

  48. 實驗拓樸on Testbed@TWISC - 建立完成的實驗拓樸

  49. 誘捕系統(Honeypot)工具 - Honeyd • 版本 • honeyd-1.5c • 支援作業平台 • Linux及OpenBSD • 其他需求工具 • libpcap、libdnet、 libevent、libedit、 termcap、pcre 、及arpd • 下載位址 • http://www.honeyd.org/uploads/honeyd-1.5c.tar.gz

  50. 誘捕系統(Honeypot)工具 - Honeyd • Libpcap:是Linux系統中用以擷取封包的工具之ㄧ • Libdnet:提供了修改封包IP的功能 • Libevent:透過libevent使我們可以設定當某些事件發生時就會執行的某些函示,也就是我們可以透過libevent來呼叫特定的script來模擬某些作業系統的網路特徵 • Libedit:提供讀取封包的功能 • Termcap:提供傳送控制訊息的功能 • Pcre:處理PCRE - Perl Compatible Regular Expressions正規表示式的一個函式庫 • Arpd:如果駭客的ARP requests是指向一個虛擬IP ,arpd會回應駭客使駭客以為這個虛擬IP指向honeyd

More Related