網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境構(gòu)建課件

1

網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境構(gòu)建1網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境構(gòu)建1內(nèi)容1.

網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境2.

虛擬化技術(shù)3.

蜜網(wǎng)(Honeynet)技術(shù)4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境5.

網(wǎng)絡(luò)攻防的活動(dòng)與競(jìng)賽形式2內(nèi)容2一些名言和典故3

"不聞不若見(jiàn)之，聞之不若見(jiàn)之，見(jiàn)之不若知之，知之不若行之，學(xué)至于行之而止矣，行之，明也。"——荀子《儒效篇》

"實(shí)踐出真知",“實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)"——毛澤東《毛澤東選集》

"紙上談兵"(趙括)

"知其然，而不知其所以然"——梁?jiǎn)⒊墩撔≌f(shuō)與群治之關(guān)系》一些名言和典故3 "不聞不若見(jiàn)之，聞之不若見(jiàn)之，見(jiàn)之不若知為什么需要網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境?4

網(wǎng)絡(luò)攻防是基礎(chǔ)知識(shí)和實(shí)踐緊密結(jié)合的技術(shù)方向

基礎(chǔ)知識(shí):

計(jì)算機(jī)各個(gè)方面專業(yè)知識(shí)都要"略懂"

操作系統(tǒng)、網(wǎng)絡(luò)的基本結(jié)構(gòu)與底層機(jī)制

編程語(yǔ)言、匯編語(yǔ)言及軟件編譯執(zhí)行機(jī)理

密碼學(xué)與信息安全專業(yè)基礎(chǔ)

…

實(shí)踐技能:

各種網(wǎng)絡(luò)和系統(tǒng)實(shí)踐技能也要"略懂"

系統(tǒng)底層機(jī)制進(jìn)行深入探究的技術(shù)能力:

網(wǎng)絡(luò)、程序…

掌握網(wǎng)絡(luò)滲透測(cè)試的實(shí)踐技能支持更好的研究和防御

掌握對(duì)攻擊的分析實(shí)踐技能了解安全威脅,支持更好的防范

掌握攻擊防御和響應(yīng)技能為什么需要網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境?4 網(wǎng)絡(luò)攻防是基礎(chǔ)知識(shí)和實(shí)踐緊專屬的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境5

學(xué)習(xí)網(wǎng)絡(luò)攻防技術(shù)需要一個(gè)實(shí)驗(yàn)環(huán)境

學(xué)打籃球：你就需要籃球場(chǎng)

拿Internet直接作為攻防實(shí)驗(yàn)學(xué)習(xí)環(huán)境

違背傳統(tǒng)黑客道德與精神

效率低下學(xué)習(xí)方式，“腳本小子”/低水平駭客

專屬的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境

環(huán)境的可控性、可重復(fù)性

“我的地盤我作主”專屬的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境5 學(xué)習(xí)網(wǎng)絡(luò)攻防技術(shù)需要一個(gè)實(shí)驗(yàn)環(huán)境網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境的基本組成6

攻擊機(jī):

發(fā)起網(wǎng)絡(luò)攻擊的主機(jī)Win32:

Windows

XPLinux:

more

powerful,

建議攻擊平臺(tái)

攻擊目標(biāo)主機(jī)（靶機(jī)）Win32桌面操作系統(tǒng):

Windows

XPLinux服務(wù)器操作系統(tǒng):

Ubuntu

/

…Win32服務(wù)器操作系統(tǒng):

Win

2K3

/Win

2K

Server

攻擊檢測(cè)、分析與防御平臺(tái)

攻擊目標(biāo)主機(jī)網(wǎng)關(guān)位置

網(wǎng)關(guān):

網(wǎng)絡(luò)流分析、檢測(cè)、防御

攻擊目標(biāo)主機(jī):

系統(tǒng)日志采集與分析

構(gòu)建一個(gè)基本網(wǎng)絡(luò)攻防環(huán)境，需要4-5臺(tái)主機(jī)及相關(guān)聯(lián)網(wǎng)設(shè)備

網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境的基本組成6 攻擊機(jī):發(fā)起網(wǎng)絡(luò)攻擊的主機(jī)V-Net:

基于虛擬蜜網(wǎng)的攻防實(shí)驗(yàn)環(huán)境7虛擬機(jī)技術(shù)

(Virtual

Machine)

通過(guò)虛擬化技術(shù)在一臺(tái)主機(jī)上構(gòu)建攻防實(shí)驗(yàn)環(huán)境

降低部署成本同時(shí)提高易管理性虛擬機(jī)軟件:

VMware

Workstation/vSphere蜜網(wǎng)技術(shù)

(Honeynet)

陷阱網(wǎng)絡(luò)：誘騙和分析網(wǎng)絡(luò)攻擊

高交互式蜜罐：提供攻擊目標(biāo)環(huán)境

蜜網(wǎng)網(wǎng)關(guān)/Sebek：攻擊網(wǎng)絡(luò)/系統(tǒng)行為捕獲與分析虛擬機(jī)+蜜網(wǎng)=虛擬蜜網(wǎng)

(Virtual

Honeynet)V-Net:基于虛擬蜜網(wǎng)的攻防實(shí)驗(yàn)環(huán)境7虛擬機(jī)技術(shù)(Vi8基于虛擬蜜網(wǎng)的攻防實(shí)驗(yàn)環(huán)境拓?fù)?基于虛擬蜜網(wǎng)的攻防實(shí)驗(yàn)環(huán)境拓?fù)?內(nèi)容1.

網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境2.

虛擬化技術(shù)3.

蜜網(wǎng)(Honeynet)技術(shù)介紹4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境5.

網(wǎng)絡(luò)攻防的活動(dòng)與競(jìng)賽形式9內(nèi)容9虛擬化技術(shù)和云計(jì)算熱潮

Google

Trends：虛擬化和云計(jì)算查詢熱度趨勢(shì)比較

虛擬化技術(shù)：

21世紀(jì)以來(lái)的IT技術(shù)熱點(diǎn)

云計(jì)算：近年來(lái)IT領(lǐng)域最熱點(diǎn)的詞匯10虛擬化技術(shù)和云計(jì)算熱潮 GoogleTrends：虛擬化什么是虛擬化?11虛擬化(Virtualization)

創(chuàng)建某種事物的虛擬(非真實(shí))版本的方法和過(guò)程.虛擬(Virtual)

通常用于區(qū)分純粹概念上的事物和擁有物理實(shí)體的事物.

計(jì)算領(lǐng)域中的虛擬化[][webopedia]

創(chuàng)建某種計(jì)算資源的虛擬版本的方法和過(guò)程.

某種事物

某種計(jì)算資源

示例:

處理器,

內(nèi)存,

磁盤,

完整的計(jì)算機(jī),

網(wǎng)絡(luò)等什么是虛擬化?11虛擬化(Virtualization)計(jì)算機(jī)系統(tǒng)最重要的三個(gè)接口

ISA:

指令集架構(gòu)Interface

3:

系統(tǒng)ISA,OS可見(jiàn),

用于管理硬件Interface

4:

用戶ISA,應(yīng)用程序可見(jiàn)

ABI:

應(yīng)用程序二進(jìn)制接口Interface

2:

系統(tǒng)調(diào)用接口Interface

4:

用戶ISA

API:

應(yīng)用程序編程接口Interface

1:

高級(jí)編程語(yǔ)言庫(kù)函數(shù)調(diào)用Interface

4:

用戶ISAFigure:

Computer

SystemArchitecture12計(jì)算機(jī)系統(tǒng)最重要的三個(gè)接口 ISA:指令集架構(gòu)Inter什么是虛擬機(jī)？13

什么是虛擬機(jī)?

機(jī)器("machine")的虛擬版本

那什么是機(jī)器"Machine"?

從一個(gè)進(jìn)程的角度定義機(jī)器

一個(gè)邏輯內(nèi)存地址空間;

用戶級(jí)的指令和寄存器;

I/O

(僅通過(guò)操作系統(tǒng)系統(tǒng)調(diào)用可見(jiàn))

實(shí)際上,

ABI接口定義了進(jìn)程角度所看到的機(jī)器;

API接口定義了一個(gè)高級(jí)編程語(yǔ)言程序所看到的機(jī)器.

從操作系統(tǒng)的角度定義機(jī)器

底層硬件特性定義了機(jī)器.

ISA提供了操作系統(tǒng)和機(jī)器之間的接口.什么是虛擬機(jī)？13 什么是虛擬機(jī)?進(jìn)程級(jí)虛擬機(jī)和系統(tǒng)級(jí)虛擬機(jī)

進(jìn)程級(jí)虛擬機(jī)

進(jìn)程級(jí)虛擬機(jī)是執(zhí)行單一進(jìn)程的虛擬平臺(tái).Java

VM,

FVM

Sandbox,etc.

系統(tǒng)級(jí)虛擬機(jī)

系統(tǒng)級(jí)虛擬機(jī)提供了支持操作系統(tǒng)和上層眾多應(yīng)用進(jìn)程的一個(gè)完整、持久穩(wěn)固的系統(tǒng)環(huán)境.VMware,

Qemu,

etc.

基本概念guest,

host,

runtime,VMM14進(jìn)程級(jí)虛擬機(jī)和系統(tǒng)級(jí)虛擬機(jī) 進(jìn)程級(jí)虛擬機(jī)142011年3月6日 網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐課程

18Copyright

(c)

2008－2009

諸葛建偉系統(tǒng)級(jí)虛擬機(jī)2011年3月6日 網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐課程 18系統(tǒng)級(jí)虛擬15Hosted

VS.

HypervisorHypervisor

VMHosted

VM16HostedVS.HypervisorHyperviso系統(tǒng)級(jí)虛擬機(jī)實(shí)現(xiàn)需求和目標(biāo)17

系統(tǒng)級(jí)虛擬機(jī)實(shí)現(xiàn)需求

向Guest

OS提供與真實(shí)硬件相類似的硬件接口硬件接口:CPU,

Memory,

I/O

(Disk,

Network,外設(shè))

系統(tǒng)級(jí)虛擬機(jī)實(shí)現(xiàn)目標(biāo)

兼容性:

具備運(yùn)行歷史遺留軟件的能力

性能:

較低的虛擬化性能開(kāi)銷

簡(jiǎn)單性:

支持安全隔離

(沒(méi)有/很少安全缺陷),

可靠性(不失效)

多種不同技術(shù),

分別提供不同的設(shè)計(jì)平衡系統(tǒng)級(jí)虛擬機(jī)實(shí)現(xiàn)需求和目標(biāo)17 系統(tǒng)級(jí)虛擬機(jī)實(shí)現(xiàn)需求VMware的產(chǎn)品線和技術(shù)解決方案VMwarevSphereTM18VMware的產(chǎn)品線和技術(shù)解決方案VMware1829VMware

Workstation29VMwareWorkstation19VMware虛擬機(jī)的虛擬硬件設(shè)置CPU

虛擬CPU(單核/雙核)

內(nèi)存

從宿主物理內(nèi)存分配

硬盤

宿主文件系統(tǒng)中文件

外設(shè)

網(wǎng)卡

光驅(qū)USB

聲卡

…30VMware虛擬機(jī)的虛擬硬件設(shè)置CPU3020VMware支持的虛擬網(wǎng)絡(luò)拓?fù)淠Ｊ?/p>

VMware虛擬網(wǎng)卡支持三種基本拓?fù)溥B接橋接模式(bridged)

虛擬的透明網(wǎng)橋

虛擬機(jī)網(wǎng)卡對(duì)外可見(jiàn)，可直接綁定外網(wǎng)IP主機(jī)模式(host-only)

虛擬交換機(jī)

網(wǎng)絡(luò)地址轉(zhuǎn)換模式(NAT)

虛擬機(jī)不能直接連接外網(wǎng)

由宿主進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換后訪問(wèn)外網(wǎng)31橋接模式主機(jī)模式網(wǎng)絡(luò)地址轉(zhuǎn)換模式VMware支持的虛擬網(wǎng)絡(luò)拓?fù)淠Ｊ?VMware虛擬網(wǎng)卡支21VMware的虛擬網(wǎng)絡(luò)管理VMware forWindows版本Edit

|

Virtual

Network

Settings…VMware for

Linux版本vmware-config.pl22VMware的虛擬網(wǎng)絡(luò)管理VMware for22內(nèi)容1.

網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境2.

虛擬化技術(shù)與云計(jì)算熱潮3.

蜜網(wǎng)(Honeynet)技術(shù)介紹4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境5.

網(wǎng)絡(luò)攻防的活動(dòng)與競(jìng)賽形式23內(nèi)容23蜜罐(Honeypot)技術(shù)的提出

防御方嘗試改變攻防博弈不對(duì)稱性提出的一種主動(dòng)防護(hù)技術(shù)

蜜罐:

一類安全資源，其價(jià)值就在于被探測(cè)、被攻擊及被攻陷

“蜜罐公理”:無(wú)任何業(yè)務(wù)用途任何蜜罐捕獲行為都是惡意

繞過(guò)攻擊檢測(cè)“NP難”問(wèn)題

蜜罐技術(shù)的提出和發(fā)展198920071990TheCuckoo’sEgg中引入蜜罐技術(shù)2005NielsProvos發(fā)布Honeyd1.02000LanceSpitzner等人 第一代創(chuàng)建蜜網(wǎng)項(xiàng)目組 蜜網(wǎng)技術(shù)第二代蜜網(wǎng)技術(shù)蜜網(wǎng)研究聯(lián)盟成立2001 20032005第三代蜜網(wǎng)技術(shù)20021998FredCohen發(fā)布DTK2001FredCohen發(fā)布AFrameworkforDeception2003LanceSpitzner提出蜜場(chǎng)技術(shù)24蜜罐(Honeypot)技術(shù)的提出 防御方嘗試改變攻防博弈蜜罐技術(shù)－如何實(shí)施誘騙？25

欺騙環(huán)境(Pot)的構(gòu)建:黑洞

VS.

模擬

VS.

真實(shí)

零交互式蜜罐:

黑洞，沒(méi)有任何響應(yīng)

低交互式蜜罐－虛擬蜜罐:

模擬網(wǎng)絡(luò)拓?fù)?、協(xié)議棧、服務(wù)(Honeyd/Nepenthes)；模擬OS

(Sandbox)

高交互式蜜罐

物理蜜罐:

完全真實(shí)的硬件、OS、應(yīng)用、服務(wù)

虛擬機(jī)蜜罐:

模擬的硬件(VMWare)/真實(shí)的OS、應(yīng)用、服務(wù)

部署陷阱,

誘騙攻擊者(Honey)

守株待兔:

安全漏洞－針對(duì)掃描式攻擊

酒香也怕巷子深:

散播陷阱信息,

引誘攻擊者

(GoogleHacking

Honeypot,

HoneyEmail)重定向技術(shù)

(Honeyfarm)

主動(dòng)出擊:

利用爬蟲(chóng)技術(shù)－客戶端蜜罐(HoneyClawer

惡意網(wǎng)站監(jiān)測(cè))蜜罐技術(shù)－如何實(shí)施誘騙？25 欺騙環(huán)境(Pot)的構(gòu)建:蜜罐技術(shù)－誘騙之后

欺騙環(huán)境的核心功能需求

數(shù)據(jù)控制

數(shù)據(jù)捕獲

數(shù)據(jù)分析

欺騙環(huán)境的配置管理

欺騙與反欺騙的較量

欺騙環(huán)境偽裝:

環(huán)境偽裝/業(yè)務(wù)偽裝對(duì)欺騙環(huán)境的識(shí)別:

fingerprintingAnti-Honeypot,

Anti-Anti-Honeypot,

…

－

更深一層的博弈問(wèn)題26蜜罐技術(shù)－誘騙之后 欺騙環(huán)境的核心功能需求26低交互式蜜罐技術(shù)27

低交互式蜜罐技術(shù)

具有與攻擊源主動(dòng)交互的能力

模擬網(wǎng)絡(luò)服務(wù)響應(yīng)，模擬漏洞

容易部署，容易控制攻擊

低交互式－交互級(jí)別由于模擬能力而受限，數(shù)據(jù)獲取能

力和偽裝性較弱，一般僅能捕獲已知攻擊

低交互式蜜罐工具

iSink

–

威斯康星州立大學(xué)Internet

Motion

Sensor

–

密歇根大學(xué)，ArborNetworksHoneyd

－

Google公司軟件工程師Niels

ProvosNepenthes

–

Nepenthes開(kāi)發(fā)團(tuán)隊(duì)商業(yè)產(chǎn)品:

KFSensor,

Specter,

HoneyPoint…低交互式蜜罐技術(shù)27 低交互式蜜罐技術(shù)高交互式蜜罐技術(shù)28

高交互式蜜罐技術(shù)

使用真實(shí)的操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)與攻擊源進(jìn)行交互

高度的交互等級(jí)－對(duì)未知漏洞、安全威脅具有天然的可適性，數(shù)據(jù)獲取能力、偽裝性均較強(qiáng)

弱勢(shì)－資源需求較大，可擴(kuò)展性較弱，部署安全風(fēng)險(xiǎn)較高

虛擬機(jī)蜜罐

VS.

物理蜜罐虛擬機(jī)(Virtual

Machine)/仿真器(Emulator)技術(shù)

節(jié)省硬件資源、容易部署和控制、容易恢復(fù)、安全風(fēng)險(xiǎn)降低

高交互式蜜罐工具Honeynet

–

蜜網(wǎng)項(xiàng)目組

(The

Honeynet

Project)

HoneyBow

(基于高交互式蜜罐的惡意代碼捕獲器)

–

北京大學(xué)狩獵女神項(xiàng)目組Argos

–

荷蘭阿姆斯特丹大學(xué)

(Vrije

UniversiteitAmsterdam)

歐盟分布式蜜罐項(xiàng)目(NoAH)參與方高交互式蜜罐技術(shù)28 高交互式蜜罐技術(shù)蜜網(wǎng)技術(shù)的提出－從蜜罐到蜜網(wǎng)29

低交互式(虛擬)蜜罐高交互式(虛擬機(jī)/物理)蜜罐

使用真實(shí)的網(wǎng)絡(luò)拓?fù)?，操作系統(tǒng)和應(yīng)用服務(wù)

為攻擊者提供足夠的活動(dòng)空間

能夠捕獲更為全面深入的攻擊信息

單點(diǎn)蜜罐工具蜜網(wǎng)體系框架

體系框架中可包含多個(gè)蜜罐

同時(shí)提供核心的數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析機(jī)制

構(gòu)建一個(gè)高度可控的攻擊誘騙和分析網(wǎng)絡(luò)蜜網(wǎng)技術(shù)的提出－從蜜罐到蜜網(wǎng)29低交互式(虛擬)蜜罐高蜜網(wǎng)項(xiàng)目組(TheHoneynet

Project)

全球非贏利性研究機(jī)構(gòu)

1999年起源于郵件組WarGames

2000-今:

19

Chapters狩獵女神項(xiàng)目組－China

Chapter

目標(biāo)

探尋黑客界的攻擊工具、戰(zhàn)術(shù)和動(dòng)機(jī)，并分享所得

著名成員創(chuàng)始人/CEO:

LanceSpitznerFyodor,

DaveDittrich,

NielsProvos,

AntonChuvakin,

Ron

Dodge

…30蜜網(wǎng)項(xiàng)目組(TheHoneynetProject) 全2011年3月6日網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐課程Copyright

(c)

2008－2009

諸葛建偉48蜜網(wǎng)技術(shù)的發(fā)展配置Lance

Spitzner在1999年提出并實(shí)現(xiàn)?

在Linux操作系統(tǒng)上構(gòu)建?

蜜罐主機(jī)位于一個(gè)3層路由器后面?

防火墻限制往外連接?

網(wǎng)絡(luò)流抓捕工具記錄所有的數(shù)據(jù)包困難?

攻擊可以繞過(guò)防火墻?

只能抓取和監(jiān)聽(tīng)明文通訊?

需要多個(gè)不同類型工具一起工作?

難以構(gòu)建、配置和部署?

運(yùn)營(yíng)和維護(hù)需要花費(fèi)大量的時(shí)間?

沒(méi)有內(nèi)嵌的數(shù)據(jù)分析功能蜜網(wǎng)網(wǎng)關(guān)光盤?

可啟動(dòng)的Linux光盤可在5分內(nèi)完成蜜網(wǎng)網(wǎng)關(guān)的安裝?

集成了數(shù)據(jù)捕獲、數(shù)據(jù)控制和數(shù)據(jù)分析的所有工具?

提供蜜網(wǎng)部署的標(biāo)準(zhǔn)化工具數(shù)據(jù)捕獲?

每個(gè)進(jìn)出蜜網(wǎng)的數(shù)據(jù)包都被記錄?

IDS提供對(duì)攻擊的高層摘要視圖?

Sebek將記錄在蜜罐系統(tǒng)中的攻擊行為，上傳到蜜網(wǎng)網(wǎng)關(guān)數(shù)據(jù)控制?

由2層防火墻進(jìn)行網(wǎng)絡(luò)連接數(shù)限制?

網(wǎng)絡(luò)入侵防御系統(tǒng)阻斷向外發(fā)起的攻擊數(shù)據(jù)分析?

所有捕獲的數(shù)據(jù)均可通過(guò)一個(gè)Web接口進(jìn)行查看?

通過(guò)Email報(bào)警通知管理員蜜網(wǎng)中的可疑行為分布式蜜網(wǎng)?

由世界各國(guó)組織機(jī)構(gòu)部署多個(gè)蜜網(wǎng)?

通過(guò)集中點(diǎn)對(duì)分布式蜜網(wǎng)進(jìn)行管理?

收集到的攻擊數(shù)據(jù)匯總到集中數(shù)據(jù)庫(kù)?

通過(guò)蜜網(wǎng)網(wǎng)關(guān)光盤進(jìn)行實(shí)現(xiàn)和部署?

目前正在進(jìn)行積極研發(fā)2005-20072007-1999-2005原理?

網(wǎng)絡(luò)流監(jiān)聽(tīng)工具記錄蜜網(wǎng)中所有的網(wǎng)絡(luò)流?

對(duì)從被攻陷蜜罐發(fā)起的向外攻擊進(jìn)行阻斷?

黑客認(rèn)為蜜罐系統(tǒng)是業(yè)務(wù)網(wǎng)絡(luò)中的一部分?

蜜罐系統(tǒng)被黑客掃描、攻擊及攻陷?

蜜罐系統(tǒng)沒(méi)有任何業(yè)務(wù)用戶和用途?

所有在蜜網(wǎng)中的網(wǎng)絡(luò)行為都是可疑的2011年3月6日網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐課程48蜜網(wǎng)技術(shù)的發(fā)展配31蜜網(wǎng)體系框架32蜜網(wǎng)體系框架32蜜網(wǎng)技術(shù)核心機(jī)制33

數(shù)據(jù)控制機(jī)制

防止蜜網(wǎng)被黑客/惡意軟件利用攻擊第三方

數(shù)據(jù)捕獲機(jī)制

獲取黑客攻擊/惡意軟件活動(dòng)的行為數(shù)據(jù)

網(wǎng)絡(luò)行為數(shù)據(jù)－網(wǎng)絡(luò)連接、網(wǎng)絡(luò)流

系統(tǒng)行為數(shù)據(jù)－進(jìn)程、命令、打開(kāi)文件、發(fā)起連接

數(shù)據(jù)分析機(jī)制

理解捕獲的黑客攻擊/惡意軟件活動(dòng)的行為

配置和管理機(jī)制

有效的配置和管理蜜網(wǎng)環(huán)境蜜網(wǎng)技術(shù)核心機(jī)制33 數(shù)據(jù)控制機(jī)制第三代蜜網(wǎng)34

第二代蜜網(wǎng)技術(shù)－2003年Eeyore光盤概念驗(yàn)證性實(shí)現(xiàn)

第三代蜜網(wǎng)技術(shù)－2005年5月發(fā)布ROO蜜網(wǎng)網(wǎng)關(guān)光盤

從LiveCD到安裝光盤－更易部署和定制

基于最小化版本的Fedora

Core

3－更安全，yum自動(dòng)化升級(jí)多種配置機(jī)制(hwctl,

menu,

walleye)－更容易配置

提供數(shù)據(jù)分析工具Walleye－更加易用第三代蜜網(wǎng)34 第二代蜜網(wǎng)技術(shù)－2003年Eeyore光盤數(shù)據(jù)控制35數(shù)據(jù)控制35IPTables實(shí)現(xiàn)連接數(shù)限制36

網(wǎng)絡(luò)連接數(shù)限制

對(duì)內(nèi)部發(fā)起到外部的網(wǎng)絡(luò)連接進(jìn)行數(shù)量限制TCP/UDP/ICMP/other

IP/etc/init.d/rc.firewall通過(guò)IPTables進(jìn)行配置實(shí)現(xiàn)RoachMotel

Mode

－

“黑店模式”

“反接”防火墻，只進(jìn)不出

允許外部發(fā)起到內(nèi)部的網(wǎng)絡(luò)連接

阻斷內(nèi)部發(fā)起到外部的網(wǎng)絡(luò)連接IPTables實(shí)現(xiàn)連接數(shù)限制36網(wǎng)絡(luò)連接數(shù)限制攻擊數(shù)據(jù)包過(guò)濾Snort_inline:NIPSiptables

-A

FORWARD-i

$LAN_IFACE

-m

state

--stateRELATED,ESTABLISHED

-j

QUEUE

過(guò)濾模式：? 丟棄(Drop)：簡(jiǎn)單丟棄攻擊數(shù)據(jù)包拒絕(Reject)：丟棄并發(fā)RST? 替換(Replace)：替換攻擊數(shù)據(jù)內(nèi)容Replace規(guī)則示例Packet

Flow37NETWORKIPTABLESIP_QUEUESNORT_INLINEIP_QUEUEIPTABLESNETWORK攻擊數(shù)據(jù)包過(guò)濾Snort_inline:NIPSiptab011年3月6日術(shù)與實(shí)踐課程數(shù)據(jù)控制機(jī)制圖示IPTableseth0Snort_inlineIPTableseth1SebekHoneyWallSebekSwatchIPTables日志Snort報(bào)警信息eth2管理員限制丟棄修改

無(wú)效化向外已知攻擊方法網(wǎng)絡(luò)連接數(shù)掃描、DoSEmail報(bào)警蜜罐主機(jī)蜜罐主機(jī)對(duì)攻擊者隱蔽38011年3月6日術(shù)與實(shí)踐課程數(shù)據(jù)控制機(jī)制圖示IPTables數(shù)據(jù)捕獲機(jī)制39

快數(shù)據(jù)通道網(wǎng)絡(luò)行為數(shù)據(jù)

–

HoneyWall

網(wǎng)絡(luò)流數(shù)據(jù):

Argus

入侵檢測(cè)報(bào)警:

Snort

操作系統(tǒng)信息:

p0f系統(tǒng)行為數(shù)據(jù)

–

Sebek@Honeypot

進(jìn)程、文件、命令、鍵擊記錄以rootkit方式監(jiān)控sys_socket,

sys_open,

sys_read系統(tǒng)調(diào)用

網(wǎng)絡(luò)行為與系統(tǒng)行為數(shù)據(jù)之間的關(guān)聯(lián)

–

sys_socket

慢數(shù)據(jù)通道網(wǎng)絡(luò)原始數(shù)據(jù)包

–

tcpdump@HoneyWall數(shù)據(jù)捕獲機(jī)制39 快數(shù)據(jù)通道網(wǎng)絡(luò)行為數(shù)據(jù)40網(wǎng)絡(luò)行為數(shù)據(jù)40系統(tǒng)行為數(shù)據(jù)-SebekSebek工作原理劫持Linux系統(tǒng)調(diào)用-sys_read,

sys_open,sys_socket,

…劫持Win32核心API-ZwOpenFile,

ZwReadFile,

ZwEnumerateKey,

ZwSecureConnectPort等13個(gè)

核心APISebek版本3.2.0

for

Linux3.0.0

for

*BSD

3.0.4

for

Win32

…41系統(tǒng)行為數(shù)據(jù)-SebekSebek工作原理41Sebek的隱藏機(jī)制42Sebek

Linux

Client

采用一種Rookit隱藏機(jī)制Sebek:

可裝載內(nèi)核模塊(LKM:

loadable

kernel

module)

Cleaner:

另一內(nèi)核模塊，從內(nèi)核模塊列表中清除Sebek內(nèi)核模塊Sebek

Win32

Client

實(shí)現(xiàn)為一個(gè)系統(tǒng)內(nèi)核驅(qū)動(dòng)，進(jìn)行隱藏但通過(guò)遍歷PsLoadedModuleList可發(fā)現(xiàn)Sebek的隱藏機(jī)制42SebekLinuxClientSebek系統(tǒng)行為數(shù)據(jù)隱蔽上傳43Sebek系統(tǒng)行為數(shù)據(jù)隱蔽上傳43網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐課程Copyright

(c)

2008－2009

諸葛建偉61數(shù)據(jù)捕獲機(jī)制體系結(jié)構(gòu)圖網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐課程61數(shù)據(jù)捕獲機(jī)制體系結(jié)構(gòu)圖442011年3月6日網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐課程62Gen

3

蜜網(wǎng)數(shù)據(jù)模型sensorPK

sensor_idstatenamecountry_codecommand osPK

sensor_idPK

os_idgenredetailsys_socketPK

sensor_idPK

sys_socket_idFK1 process_idFK2 argus_idcalltypeArgus:

網(wǎng)絡(luò)流數(shù)據(jù)argusPK

sensor_idPK

argus_idip_protolocalsrc_ipdst_ipsrc_portdst_portsrc_pktsdst_pktssrc_bytesdst_bytesFK1

client_os_ididsPK

sensor_idPK

ids_idFK2

ids_sig_idsig_idFK1

argus_idpriorityPK

sensor_idPK

command_idnamesys_openPK

sensor_idPKsys_open_idFK1 process_iduidfilenamesys_readPK

sensor_idPKsys_read_idFK1

process_iduidlengthdatap0fSnort:

入侵檢測(cè)報(bào)警Sebek:系統(tǒng)行為數(shù)據(jù)Copyright

(c)

2008－2009

諸葛建偉processPKPKsensor_id

process_idsrc_ippidids_sigPKPKsensor_id

ids_sig_idsig_namereferenceprocess_treePKPK,FK1PK,FK2sensor_id

child_process

parent_processprocess_to_comPKPK,FK2PK,FK1sensor_id

process_id

command_idArgus:網(wǎng)絡(luò)流數(shù)據(jù)2011年3月6日網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐課程62Gen3蜜網(wǎng)452011年3月6日網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐課程63數(shù)據(jù)捕獲機(jī)制圖示Arguseth0eth1TcpdumpSebekHoneyWall蜜罐主機(jī)Sebek蜜罐主機(jī)hflowd系統(tǒng)行為數(shù)據(jù)eth2管理員對(duì)攻擊者隱蔽Snortp0fIPTablessebekdhflow

DB網(wǎng)絡(luò)連接報(bào)警OSpcap文件Walleye2011年3月6日網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐課程63數(shù)據(jù)捕獲機(jī)制圖示46數(shù)據(jù)分析－Walleye64Perl語(yǔ)言編寫的Web

GUI通過(guò)DBI連接mysql數(shù)據(jù)庫(kù)mysql數(shù)據(jù)庫(kù)中的信息由hflowd.pl提交

數(shù)據(jù)分析視圖

摘要視圖

網(wǎng)絡(luò)流視圖

進(jìn)程樹(shù)視圖進(jìn)程細(xì)節(jié)信息（open_file,

read_data,command…）

網(wǎng)絡(luò)流信息:

網(wǎng)絡(luò)流數(shù)據(jù)包解碼，snort檢測(cè)結(jié)果

Pcap數(shù)據(jù)－慢通道數(shù)據(jù)分析－Walleye64Perl語(yǔ)言編寫的WebGUI47Walleye摘要視圖內(nèi)/外連接數(shù)內(nèi)/外IDS報(bào)警流量及IDS報(bào)警統(tǒng)計(jì)65Walleye摘要視圖內(nèi)/外連接數(shù)內(nèi)/外流量及IDS報(bào)警48Walleye－網(wǎng)絡(luò)連接視圖p0f操作系Snort報(bào)警統(tǒng)辨識(shí)6Walleye－網(wǎng)絡(luò)連接視圖p0f操作系Snort統(tǒng)辨識(shí)649Walleye－網(wǎng)絡(luò)原始流視圖67Walleye－網(wǎng)絡(luò)原始流視圖6750Walleye－進(jìn)程樹(shù)視圖68Walleye－進(jìn)程樹(shù)視圖68511年3月6日 網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐課程Copyright

(c)

2008－2009

諸葛建偉Walleye－鍵擊記錄視圖201521年3月6日 網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐課程Walleye－鍵擊記錄上手實(shí)踐53安裝VMware

Workstation1)

下載并安裝VMware

Workstation軟件

2)

查看VMware的虛擬網(wǎng)卡和虛擬網(wǎng)絡(luò)設(shè)置

瀏覽honeynetproject網(wǎng)站，并閱讀網(wǎng)站上的knowyourenemy系列論文。下載虛擬機(jī)鏡像：/share/link?shareid=116501&uk=3828326324上手實(shí)踐53安裝VMwareWorkstation內(nèi)容1.

網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境2.

虛擬化技術(shù)3.

蜜網(wǎng)(Honeynet)技術(shù)介紹4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境5.

網(wǎng)絡(luò)攻防的活動(dòng)與競(jìng)賽形式54內(nèi)容54網(wǎng)絡(luò)攻防虛擬機(jī)鏡像55虛擬機(jī)鏡像名稱虛擬機(jī)鏡像類型基礎(chǔ)操作系統(tǒng)發(fā)布者LinuxMetasploitableLinux靶機(jī)Ubuntu

8.04MetasploitProjectWinXPMetasploitableWindows靶機(jī)WinXP

SP0

EnSelf-builtSEED

VMLinux攻擊機(jī)/

靶機(jī)Ubuntu

9.04SEED

ProjectBack

Track

4Linux攻擊機(jī)Ubuntu

8.10Remote ExploitTeamWinXP

AttackerWindows攻擊機(jī)WinXP

SP3

CNSelf-builtHoneyWall蜜網(wǎng)網(wǎng)關(guān)ROO

v1.4The HoneynetProject網(wǎng)絡(luò)攻防虛擬機(jī)鏡像55虛擬機(jī)鏡像名稱虛擬機(jī)鏡像類型基礎(chǔ)操作系Linux

Metasploitable56

發(fā)布時(shí)間2010.5,

Metasploit

ProjectLinux

Metasploitable基礎(chǔ)操作系統(tǒng)：Ubuntu

8.04

Server

構(gòu)建虛擬機(jī)軟件：VMware

6.5開(kāi)放服務(wù):

proftpd/openssh/telnet/bind/apache/samba/mysql/distccd/postgresWeb服務(wù):

tomcat/tikiwiki/twikiMetasploit

Exploit:

distcc/tomcat/tikiwiki/twiki

弱口令:smb/ssh/telnet/apache/mysql/postgres/tomcat

有待進(jìn)一步豐富漏洞環(huán)境LinuxMetasploitable56 發(fā)布時(shí)間Windows

Metasploitable57Win2ks_Metasploitable基礎(chǔ)操作系統(tǒng)版本：Windows

2000

Server

SP4

EN網(wǎng)絡(luò)服務(wù):

IIS,

MSSQL,

SMB,

ServU,

…

Metasploit適用的攻擊模塊:

~150(未測(cè)試)WinXP_Metasploitable

基礎(chǔ)操作系統(tǒng)版本:

WinXP

SP2

EN客戶端軟件：IE,

Adobe,

Office,

Realplayer,baofeng,

winamp,

…

Metasploit適用的攻擊模塊:

200-300(未測(cè)試)WindowsMetasploitable57Win2ksSEED

VM58SEED

(SEcurity

EDucation)

信息安全教育實(shí)驗(yàn)環(huán)境美國(guó)紐約雪城大學(xué)(Syracuse

University)的Wenliang

Du教授SEED

VM

TCP/IP協(xié)議棧攻擊；SQL注入/XSS攻擊SEEDVM58SEED(SEcurityEDucatBack

Track

459Back

Track

非常流行的滲透測(cè)試和信息安全審計(jì)的Linux發(fā)行版本基于Ubuntu

8.10

集成了二十多類幾百款安全軟件

攻擊破解之利器，蹭網(wǎng)卡附帶DVD光盤BT4軟件包集合軟件包用途BT4軟件包集合軟件包用途BackTrack-Enumeration查點(diǎn)工具軟件BackTrack-Bluetooth藍(lán)牙攻擊破解軟件BackTrack-Tunneling隧道工具軟件BackTrack-Sniffers網(wǎng)絡(luò)嗅探工具軟件BackTrack-Bruteforce暴力破解軟件BackTrack-VOIP網(wǎng)絡(luò)電話攻擊軟件BackTrack-Spoofing欺騙攻擊軟件BackTrack-Debuggers調(diào)試工具軟件BackTrack-Passwords口令破解軟件BackTrack-Penetration滲透測(cè)試攻擊軟件BackTrack-Wireless無(wú)線攻擊破解軟件BackTrack-Database數(shù)據(jù)庫(kù)軟件BackTrack-Discovery掃描發(fā)現(xiàn)軟件BackTrack-RFIDRFID攻擊破解軟件BackTrack-CiscoCisco攻擊軟件BackTrack-PythonPythonBackTrack-WebWeb滲透測(cè)試軟件BackTrack-Drivers驅(qū)動(dòng)Applicaitons應(yīng)用程序BackTrack-GPUGPU計(jì)算BackTrack-Forensics取證分析軟件BackTrack-Misc其他BackTrack-FuzzersFuzz注入測(cè)試軟件BackTrack459BackTrackBT4軟件包WinXP

Attacker虛擬機(jī)鏡像60

自制WinXP攻擊機(jī)鏡像軟件工具包類別包含軟件列表基礎(chǔ)環(huán)境配置JAVA

SDK

1.6.21、CC/G++編譯器

(MinGW)

4.5.0、Python解釋器2.7、AdobeFlash

Player

10.1、cygwin

1.7.7-1、Adobe

Reader

9.3、Perl

Strawberry

5.12.0瀏覽器軟件Firefox

3.6.9

中國(guó)版、Chrome

6.0.472.53、Opera

10.61、IE

6.0網(wǎng)絡(luò)傳輸軟件Filezilla

Server

0.9.36、Filezilla

Client

編程工具Eclipse

Classic

3.6、DEV-CPP

文本編輯器Source

Navigator

4.2、MadEdit

0.1.2

beta、WinHex

15.7

SR-3

試用版反匯編工具OllyDbg

2、IDA

Pro

5.7

demo、IDA

Pro

4.9

Free、C32asm

0.8.8、W32Dasm8.93反編譯工具JD-GUI0.3.3、dcc、boomerang

alpha

0.3.1靜態(tài)分析工具Peid

0.95、LordPE、超級(jí)巡警脫殼器

v1.3、ASpack

unpacker

v1.1、upx

3.06、fs滲透攻擊工具M(jìn)etasploit

3.4.2-dev、Metasploit

2.7網(wǎng)絡(luò)掃描與嗅探Nmap

/Zenmap

5.30

beta1、Wireshark

1.4.0、Nessus

4.2.2、Xscan

3.3、Snort密碼學(xué)工具CryptoCal

1.2、PrimeGenerator

1.1、RSAtools

2、DSAtools

1.3、UltraCracking

Machine、MD5Crack

4.1監(jiān)視工具WinDump

3.9.5、Process

Explorer

12.04、Process

Monitor

2.92WinXPAttacker虛擬機(jī)鏡像60自制WinXPHoneyWall虛擬機(jī)鏡像61

HoneyWall

-

虛擬蜜網(wǎng)中最核心的功能部件The

Honeynet

Project開(kāi)源發(fā)布ROO

v1.4

數(shù)據(jù)捕獲IPTables/Snort/tcpdump/Sebekd

數(shù)據(jù)控制IPTables/Snort_inline

數(shù)據(jù)分析Hflowd/walleyeHoneyWall虛擬機(jī)鏡像61 HoneyWall-個(gè)人版網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境宿主要求62

硬件

CPU:

P4

1.5G以上

*內(nèi)存:

1G以上，建議2G以上

硬盤:

3-4個(gè)虛擬機(jī)需20G左右空間

聯(lián)網(wǎng)（或激活）的百兆網(wǎng)卡以上

軟件Windows平臺(tái)/Linux平臺(tái)均可，個(gè)人興趣VMware

Workstation或Server版本

虛擬機(jī)

蜜網(wǎng)網(wǎng)關(guān): 虛擬CPU/256M+/8G/3虛擬網(wǎng)卡; ROO

v1.4

靶機(jī):

虛擬CPU/128M+/4G+/1虛擬網(wǎng)卡;

Windows/Linux

攻擊機(jī):

虛擬CPU/128M+/4G+/1虛擬網(wǎng)卡;Windows/Linux個(gè)人版網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境宿主要求62 硬件V-Net攻防環(huán)境使用的聯(lián)網(wǎng)方式虛擬機(jī):蜜網(wǎng)網(wǎng)關(guān)宿主NAT模式主機(jī)模式虛擬機(jī):靶機(jī)虛擬機(jī):攻擊機(jī)63V-Net攻防環(huán)境使用的聯(lián)網(wǎng)方式虛擬機(jī):宿主NAT模式主機(jī)模個(gè)人版網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境拓?fù)浣Y(jié)構(gòu)80個(gè)人版網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境拓?fù)浣Y(jié)構(gòu)8064個(gè)人版網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境中的網(wǎng)絡(luò)配置65

宿主+VMware虛擬機(jī)軟件

vmnet1

–

主機(jī)模式

vmnet8

–

NAT模式，連接宿主物理網(wǎng)卡，通過(guò)NAT后連接外網(wǎng)

虛擬機(jī)-蜜網(wǎng)網(wǎng)關(guān)

eth0(外網(wǎng)口)

–連接vmnet8:NAT模式

eth1(內(nèi)網(wǎng)口)

–連接vmnet1:

主機(jī)模式

eth0和eth1構(gòu)成一個(gè)透明網(wǎng)橋

eth2(管理口)

–連接vmnet8:NAT模式

宿主通過(guò)vmnet8的虛擬網(wǎng)卡對(duì)蜜網(wǎng)網(wǎng)關(guān)進(jìn)行管理

虛擬機(jī)-靶機(jī)

eth0–

連接vmeth1:

主機(jī)模式

虛擬機(jī)-攻擊機(jī)eth0–

連接vmeth8:NAT模式個(gè)人版網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境中的網(wǎng)絡(luò)配置65 宿主+VMware內(nèi)容1.

網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境2.

虛擬化技術(shù)3.

蜜網(wǎng)(Honeynet)技術(shù)介紹4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境5.

網(wǎng)絡(luò)攻防的活動(dòng)與競(jìng)賽形式66內(nèi)容66黑客會(huì)議-網(wǎng)絡(luò)攻防活動(dòng)集中場(chǎng)所67

國(guó)際上最著名的兩大黑客會(huì)議Defcon

(since

1992)Blackhat

(since1997)拉斯維加斯,

Jeff

Moss

中國(guó)最著名的黑客會(huì)議XCon

(since

2002)

北京,

8月,

安全焦點(diǎn)團(tuán)隊(duì)主辦黑客會(huì)議-網(wǎng)絡(luò)攻防活動(dòng)集中場(chǎng)所67國(guó)際上最著名的兩大黑客網(wǎng)絡(luò)攻防活動(dòng)與競(jìng)賽形式-Demo

Demo

-

“耳聽(tīng)為虛、眼見(jiàn)為實(shí)”Barnaby

Jack

在2010年Black

Hat會(huì)議上遠(yuǎn)程操縱ATM機(jī)瘋狂吐現(xiàn)金演示68網(wǎng)絡(luò)攻防活動(dòng)與競(jìng)賽形式Demo-“耳聽(tīng)為虛、眼見(jiàn)為實(shí)網(wǎng)絡(luò)攻防活動(dòng)與競(jìng)賽形式-上手體驗(yàn)

(Hands-on)

“紙上得來(lái)終覺(jué)淺，絕知此事要躬行”69網(wǎng)絡(luò)攻防活動(dòng)與競(jìng)賽形式“紙上得來(lái)終覺(jué)淺，絕知此事要躬行”網(wǎng)絡(luò)攻防活動(dòng)與競(jìng)賽形式-實(shí)驗(yàn)

(Lab)70

計(jì)算機(jī)專業(yè)學(xué)習(xí)需要Lab

編程語(yǔ)言

–

編程實(shí)習(xí),

ACM

POJ

操作系統(tǒng)

–

操作系統(tǒng)實(shí)習(xí)(Minix)

計(jì)算機(jī)網(wǎng)絡(luò)

–

網(wǎng)絡(luò)實(shí)習(xí)

…

網(wǎng)絡(luò)攻防技術(shù)

–

網(wǎng)絡(luò)攻防實(shí)驗(yàn)LabSEED(SEcurityEDucation)信息安全教育實(shí)驗(yàn)環(huán)境:

TCP/IP協(xié)議攻擊,

SQL/XSS攻擊網(wǎng)絡(luò)攻防活動(dòng)與競(jìng)賽形式70計(jì)算機(jī)專業(yè)學(xué)習(xí)需要Lab網(wǎng)絡(luò)攻防活動(dòng)與競(jìng)賽形式-競(jìng)賽

(Contest)71

Defcon每年都會(huì)有多達(dá)幾十個(gè)不同的競(jìng)賽

經(jīng)典的撬鎖(也被納入物理安全范疇)

系統(tǒng)破解Wi-Fi天線DIY

CTF奪旗競(jìng)賽…

CanSecWest會(huì)議從2007年開(kāi)始的Pwn2OwnCTF(Capture

the

Flag)網(wǎng)絡(luò)攻防活動(dòng)與競(jìng)賽形式71Defcon每年都會(huì)有多達(dá)幾十黑客會(huì)議上的奪旗賽Defcon

2008

CTF賽現(xiàn)場(chǎng)72黑客會(huì)議上的奪旗賽72CTF現(xiàn)場(chǎng)-沒(méi)有硝煙的戰(zhàn)場(chǎng)73CTF現(xiàn)場(chǎng)-沒(méi)有硝煙的戰(zhàn)場(chǎng)73網(wǎng)絡(luò)攻防活動(dòng)與競(jìng)賽形式-綿羊墻(The

Wall

of

Sheep)

起源于2002年defcon“F**ked

sheep“

引起人們對(duì)網(wǎng)絡(luò)安全的關(guān)注，用來(lái)教育人們74網(wǎng)絡(luò)攻防活動(dòng)與競(jìng)賽形式起源于2002年defcon74作業(yè)2-網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境搭建和

測(cè)試75

作業(yè)內(nèi)容:

利用虛擬蜜網(wǎng)技術(shù)進(jìn)行網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境構(gòu)建，并進(jìn)行網(wǎng)絡(luò)連通性測(cè)試與驗(yàn)證

至少包括一臺(tái)攻擊機(jī)、一臺(tái)靶機(jī)、SEED虛擬機(jī)和蜜網(wǎng)網(wǎng)關(guān)

作業(yè)提交:

實(shí)驗(yàn)報(bào)告，根據(jù)自己的理解和實(shí)驗(yàn)經(jīng)過(guò)，詳細(xì)說(shuō)明網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境的結(jié)構(gòu)和組成模塊；搭建和測(cè)試過(guò)程及遇到的問(wèn)題；解決問(wèn)題的過(guò)程、方法和收獲等提交方式:nsassignment15@126.com

作業(yè)命名：學(xué)號(hào)_姓名_作業(yè)＊＊(2011611001_張三_作業(yè)2)作業(yè)2-網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境搭建和測(cè)試75 作業(yè)內(nèi)容:利用Thanks76Thanks761

網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境構(gòu)建1網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境構(gòu)建77內(nèi)容1.

網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境2.

虛擬化技術(shù)3.

蜜網(wǎng)(Honeynet)技術(shù)4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境5.

網(wǎng)絡(luò)攻防的活動(dòng)與競(jìng)賽形式78內(nèi)容2一些名言和典故79

"不聞不若見(jiàn)之，聞之不若見(jiàn)之，見(jiàn)之不若知之，知之不若行之，學(xué)至于行之而止矣，行之，明也。"——荀子《儒效篇》

"實(shí)踐出真知",“實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)"——毛澤東《毛澤東選集》

"紙上談兵"(趙括)

"知其然，而不知其所以然"——梁?jiǎn)⒊墩撔≌f(shuō)與群治之關(guān)系》一些名言和典故3 "不聞不若見(jiàn)之，聞之不若見(jiàn)之，見(jiàn)之不若知為什么需要網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境?80

網(wǎng)絡(luò)攻防是基礎(chǔ)知識(shí)和實(shí)踐緊密結(jié)合的技術(shù)方向

基礎(chǔ)知識(shí):

計(jì)算機(jī)各個(gè)方面專業(yè)知識(shí)都要"略懂"

操作系統(tǒng)、網(wǎng)絡(luò)的基本結(jié)構(gòu)與底層機(jī)制

編程語(yǔ)言、匯編語(yǔ)言及軟件編譯執(zhí)行機(jī)理

密碼學(xué)與信息安全專業(yè)基礎(chǔ)

…

實(shí)踐技能:

各種網(wǎng)絡(luò)和系統(tǒng)實(shí)踐技能也要"略懂"

系統(tǒng)底層機(jī)制進(jìn)行深入探究的技術(shù)能力:

網(wǎng)絡(luò)、程序…

掌握網(wǎng)絡(luò)滲透測(cè)試的實(shí)踐技能支持更好的研究和防御

掌握對(duì)攻擊的分析實(shí)踐技能了解安全威脅,支持更好的防范

掌握攻擊防御和響應(yīng)技能為什么需要網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境?4 網(wǎng)絡(luò)攻防是基礎(chǔ)知識(shí)和實(shí)踐緊專屬的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境81

學(xué)習(xí)網(wǎng)絡(luò)攻防技術(shù)需要一個(gè)實(shí)驗(yàn)環(huán)境

學(xué)打籃球：你就需要籃球場(chǎng)

拿Internet直接作為攻防實(shí)驗(yàn)學(xué)習(xí)環(huán)境

違背傳統(tǒng)黑客道德與精神

效率低下學(xué)習(xí)方式，“腳本小子”/低水平駭客

專屬的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境

環(huán)境的可控性、可重復(fù)性

“我的地盤我作主”專屬的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境5 學(xué)習(xí)網(wǎng)絡(luò)攻防技術(shù)需要一個(gè)實(shí)驗(yàn)環(huán)境網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境的基本組成82

攻擊機(jī):

發(fā)起網(wǎng)絡(luò)攻擊的主機(jī)Win32:

Windows

XPLinux:

more

powerful,

建議攻擊平臺(tái)

攻擊目標(biāo)主機(jī)（靶機(jī)）Win32桌面操作系統(tǒng):

Windows

XPLinux服務(wù)器操作系統(tǒng):

Ubuntu

/

…Win32服務(wù)器操作系統(tǒng):

Win

2K3

/Win

2K

Server

攻擊檢測(cè)、分析與防御平臺(tái)

攻擊目標(biāo)主機(jī)網(wǎng)關(guān)位置

網(wǎng)關(guān):

網(wǎng)絡(luò)流分析、檢測(cè)、防御

攻擊目標(biāo)主機(jī):

系統(tǒng)日志采集與分析

構(gòu)建一個(gè)基本網(wǎng)絡(luò)攻防環(huán)境，需要4-5臺(tái)主機(jī)及相關(guān)聯(lián)網(wǎng)設(shè)備

網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境的基本組成6 攻擊機(jī):發(fā)起網(wǎng)絡(luò)攻擊的主機(jī)V-Net:

基于虛擬蜜網(wǎng)的攻防實(shí)驗(yàn)環(huán)境83虛擬機(jī)技術(shù)

(Virtual

Machine)

通過(guò)虛擬化技術(shù)在一臺(tái)主機(jī)上構(gòu)建攻防實(shí)驗(yàn)環(huán)境

降低部署成本同時(shí)提高易管理性虛擬機(jī)軟件:

VMware

Workstation/vSphere蜜網(wǎng)技術(shù)

(Honeynet)

陷阱網(wǎng)絡(luò)：誘騙和分析網(wǎng)絡(luò)攻擊

高交互式蜜罐：提供攻擊目標(biāo)環(huán)境

蜜網(wǎng)網(wǎng)關(guān)/Sebek：攻擊網(wǎng)絡(luò)/系統(tǒng)行為捕獲與分析虛擬機(jī)+蜜網(wǎng)=虛擬蜜網(wǎng)

(Virtual

Honeynet)V-Net:基于虛擬蜜網(wǎng)的攻防實(shí)驗(yàn)環(huán)境7虛擬機(jī)技術(shù)(Vi8基于虛擬蜜網(wǎng)的攻防實(shí)驗(yàn)環(huán)境拓?fù)?基于虛擬蜜網(wǎng)的攻防實(shí)驗(yàn)環(huán)境拓?fù)?4內(nèi)容1.

網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境2.

虛擬化技術(shù)3.

蜜網(wǎng)(Honeynet)技術(shù)介紹4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境5.

網(wǎng)絡(luò)攻防的活動(dòng)與競(jìng)賽形式85內(nèi)容9虛擬化技術(shù)和云計(jì)算熱潮

Google

Trends：虛擬化和云計(jì)算查詢熱度趨勢(shì)比較

虛擬化技術(shù)：

21世紀(jì)以來(lái)的IT技術(shù)熱點(diǎn)

云計(jì)算：近年來(lái)IT領(lǐng)域最熱點(diǎn)的詞匯86虛擬化技術(shù)和云計(jì)算熱潮 GoogleTrends：虛擬化什么是虛擬化?87虛擬化(Virtualization)

創(chuàng)建某種事物的虛擬(非真實(shí))版本的方法和過(guò)程.虛擬(Virtual)

通常用于區(qū)分純粹概念上的事物和擁有物理實(shí)體的事物.

計(jì)算領(lǐng)域中的虛擬化[][webopedia]

創(chuàng)建某種計(jì)算資源的虛擬版本的方法和過(guò)程.

某種事物

某種計(jì)算資源

示例:

處理器,

內(nèi)存,

磁盤,

完整的計(jì)算機(jī),

網(wǎng)絡(luò)等什么是虛擬化?11虛擬化(Virtualization)計(jì)算機(jī)系統(tǒng)最重要的三個(gè)接口

ISA:

指令集架構(gòu)Interface

3:

系統(tǒng)ISA,OS可見(jiàn),

用于管理硬件Interface

4:

用戶ISA,應(yīng)用程序可見(jiàn)

ABI:

應(yīng)用程序二進(jìn)制接口Interface

2:

系統(tǒng)調(diào)用接口Interface

4:

用戶ISA

API:

應(yīng)用程序編程接口Interface

1:

高級(jí)編程語(yǔ)言庫(kù)函數(shù)調(diào)用Interface

4:

用戶ISAFigure:

Computer

SystemArchitecture88計(jì)算機(jī)系統(tǒng)最重要的三個(gè)接口 ISA:指令集架構(gòu)Inter什么是虛擬機(jī)？89

什么是虛擬機(jī)?

機(jī)器("machine")的虛擬版本

那什么是機(jī)器"Machine"?

從一個(gè)進(jìn)程的角度定義機(jī)器

一個(gè)邏輯內(nèi)存地址空間;

用戶級(jí)的指令和寄存器;

I/O

(僅通過(guò)操作系統(tǒng)系統(tǒng)調(diào)用可見(jiàn))

實(shí)際上,

ABI接口定義了進(jìn)程角度所看到的機(jī)器;

API接口定義了一個(gè)高級(jí)編程語(yǔ)言程序所看到的機(jī)器.

從操作系統(tǒng)的角度定義機(jī)器

底層硬件特性定義了機(jī)器.

ISA提供了操作系統(tǒng)和機(jī)器之間的接口.什么是虛擬機(jī)？13 什么是虛擬機(jī)?進(jìn)程級(jí)虛擬機(jī)和系統(tǒng)級(jí)虛擬機(jī)

進(jìn)程級(jí)虛擬機(jī)

進(jìn)程級(jí)虛擬機(jī)是執(zhí)行單一進(jìn)程的虛擬平臺(tái).Java

VM,

FVM

Sandbox,etc.

系統(tǒng)級(jí)虛擬機(jī)

系統(tǒng)級(jí)虛擬機(jī)提供了支持操作系統(tǒng)和上層眾多應(yīng)用進(jìn)程的一個(gè)完整、持久穩(wěn)固的系統(tǒng)環(huán)境.VMware,

Qemu,

etc.

基本概念guest,

host,

runtime,VMM90進(jìn)程級(jí)虛擬機(jī)和系統(tǒng)級(jí)虛擬機(jī) 進(jìn)程級(jí)虛擬機(jī)142011年3月6日 網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐課程

18Copyright

(c)

2008－2009

諸葛建偉系統(tǒng)級(jí)虛擬機(jī)2011年3月6日 網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐課程 18系統(tǒng)級(jí)虛擬91Hosted

VS.

HypervisorHypervisor

VMHosted

VM92HostedVS.HypervisorHyperviso系統(tǒng)級(jí)虛擬機(jī)實(shí)現(xiàn)需求和目標(biāo)93

系統(tǒng)級(jí)虛擬機(jī)實(shí)現(xiàn)需求

向Guest

OS提供與真實(shí)硬件相類似的硬件接口硬件接口:CPU,

Memory,

I/O

(Disk,

Network,外設(shè))

系統(tǒng)級(jí)虛擬機(jī)實(shí)現(xiàn)目標(biāo)

兼容性:

具備運(yùn)行歷史遺留軟件的能力

性能:

較低的虛擬化性能開(kāi)銷

簡(jiǎn)單性:

支持安全隔離

(沒(méi)有/很少安全缺陷),

可靠性(不失效)

多種不同技術(shù),

分別提供不同的設(shè)計(jì)平衡系統(tǒng)級(jí)虛擬機(jī)實(shí)現(xiàn)需求和目標(biāo)17 系統(tǒng)級(jí)虛擬機(jī)實(shí)現(xiàn)需求VMware的產(chǎn)品線和技術(shù)解決方案VMwarevSphereTM94VMware的產(chǎn)品線和技術(shù)解決方案VMware1829VMware

Workstation29VMwareWorkstation95VMware虛擬機(jī)的虛擬硬件設(shè)置CPU

虛擬CPU(單核/雙核)

內(nèi)存

從宿主物理內(nèi)存分配

硬盤

宿主文件系統(tǒng)中文件

外設(shè)

網(wǎng)卡

光驅(qū)USB

聲卡

…30VMware虛擬機(jī)的虛擬硬件設(shè)置CPU3096VMware支持的虛擬網(wǎng)絡(luò)拓?fù)淠Ｊ?/p>

VMware虛擬網(wǎng)卡支持三種基本拓?fù)溥B接橋接模式(bridged)

虛擬的透明網(wǎng)橋

虛擬機(jī)網(wǎng)卡對(duì)外可見(jiàn)，可直接綁定外網(wǎng)IP主機(jī)模式(host-only)

虛擬交換機(jī)

網(wǎng)絡(luò)地址轉(zhuǎn)換模式(NAT)

虛擬機(jī)不能直接連接外網(wǎng)

由宿主進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換后訪問(wèn)外網(wǎng)31橋接模式主機(jī)模式網(wǎng)絡(luò)地址轉(zhuǎn)換模式VMware支持的虛擬網(wǎng)絡(luò)拓?fù)淠Ｊ?VMware虛擬網(wǎng)卡支97VMware的虛擬網(wǎng)絡(luò)管理VMware forWindows版本Edit

|

Virtual

Network

Settings…VMware for

Linux版本vmware-config.pl98VMware的虛擬網(wǎng)絡(luò)管理VMware for22內(nèi)容1.

網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境2.

虛擬化技術(shù)與云計(jì)算熱潮3.

蜜網(wǎng)(Honeynet)技術(shù)介紹4.

基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境5.

網(wǎng)絡(luò)攻防的活動(dòng)與競(jìng)賽形式99內(nèi)容23蜜罐(Honeypot)技術(shù)的提出

防御方嘗試改變攻防博弈不對(duì)稱性提出的一種主動(dòng)防護(hù)技術(shù)

蜜罐:

一類安全資源，其價(jià)值就在于被探測(cè)、被攻擊及被攻陷

“蜜罐公理”:無(wú)任何業(yè)務(wù)用途任何蜜罐捕獲行為都是惡意

繞過(guò)攻擊檢測(cè)“NP難”問(wèn)題