(擴充)蜜罐與蜜網(wǎng)技術(shù)

蜜罐與蜜網(wǎng)技術(shù)

IntroductiontoHoneypotandHoneynet內(nèi)容概要蜜罐技術(shù)簡介提出、發(fā)展歷程、概念、Honeyd、發(fā)展趨勢Gen3蜜網(wǎng)技術(shù)

蜜網(wǎng)基本原理、發(fā)展歷程、框架、技術(shù)細節(jié)、部署實例蜜罐與蜜網(wǎng)技術(shù)的應(yīng)用舉例僵尸網(wǎng)絡(luò)(Botnet)、網(wǎng)絡(luò)釣魚(Phishing)蜜罐技術(shù)概述

蜜罐技術(shù)的提出蜜罐技術(shù)基本概念、分類及優(yōu)勢虛擬蜜罐工具－Honeyd蜜罐技術(shù)發(fā)展歷程，當(dāng)前研究熱點互聯(lián)網(wǎng)安全狀況安全基礎(chǔ)薄弱操作系統(tǒng)/軟件存在大量漏洞安全意識弱、缺乏安全技術(shù)能力任何主機都是攻擊目標(biāo)！DDoS、跳板攻擊需要大量僵尸主機蠕蟲、病毒的泛濫并不再僅僅為了炫耀：Spamming,Phishing攻擊者不需要太多技術(shù)攻擊工具的不斷完善Metasploit:40+Exploits攻擊腳本和工具可以很容易得到和使用0-dayexploits:packetstorm網(wǎng)絡(luò)攻防的非對稱博弈工作量不對稱攻擊方：夜深人靜,攻其弱點防守方：24*7,全面防護信息不對稱攻擊方：通過網(wǎng)絡(luò)掃描、探測、踩點對攻擊目標(biāo)全面了解防守方：對攻擊方一無所知后果不對稱攻擊方：任務(wù)失敗，極少受到損失防守方：安全策略被破壞，利益受損蜜罐技術(shù)的提出試圖改變攻防博弈的非對稱性對攻擊者的欺騙技術(shù)－增加攻擊代價、減少對實際系統(tǒng)的安全威脅了解攻擊者所使用的攻擊工具和攻擊方法追蹤攻擊源、攻擊行為審計取證Honeypot:首次出現(xiàn)在CliffStoll的小說“TheCuckoo’sEgg”(1990)FredCohenDTK:DeceptionToolKit(1997)AFrameworkforDeception(2001)蜜罐技術(shù)概述

蜜罐技術(shù)的提出蜜罐技術(shù)基本概念、分類及優(yōu)勢虛擬蜜罐工具－Honeyd蜜罐技術(shù)發(fā)展歷程，當(dāng)前研究熱點蜜罐技術(shù)的概念“Asecurityresourcewho’svalueliesinbeingprobed,attackedorcompromised”對攻擊者的欺騙技術(shù)沒有業(yè)務(wù)上的用途，不存在區(qū)分正常流量和攻擊的問題所有流入/流出蜜罐的流量都預(yù)示著掃描、攻擊及攻陷用以監(jiān)視、檢測和分析攻擊蜜罐的分類交互性：攻擊者在蜜罐中活動的交互性級別低交互型－虛擬蜜罐模擬服務(wù)和操作系統(tǒng)只能捕獲少量信息/容易部署，減少風(fēng)險例:Honeyd高交互型－物理蜜罐提供真實的操作系統(tǒng)和服務(wù)，而不是模擬可以捕獲更豐富的信息/部署復(fù)雜，高安全風(fēng)險例:蜜網(wǎng)虛擬機蜜罐－虛擬硬件、真實操作系統(tǒng)/網(wǎng)絡(luò)服務(wù)蜜罐技術(shù)優(yōu)勢高度保真的小數(shù)據(jù)集低誤報率低漏報率能夠捕獲新的攻擊方法及技術(shù)并不是資源密集型原理簡單，貼近實際蜜罐技術(shù)概述

蜜罐技術(shù)的提出蜜罐技術(shù)基本概念、分類及優(yōu)勢虛擬蜜罐工具－Honeyd蜜罐技術(shù)發(fā)展歷程，當(dāng)前研究熱點HoneydAvirtualhoneypotframeworkHoneyd1.0(Jan22,2005)byNielsProvos,GoogleInc.支持同時模擬多個IP地址主機經(jīng)過測試，最多同時支持65535個IP地址支持模擬任意的網(wǎng)絡(luò)拓撲結(jié)構(gòu)通過服務(wù)模擬腳本可以模擬任意TCP/UDP網(wǎng)絡(luò)服務(wù)IIS,Telnet,pop3…支持ICMP對ping和traceroutes做出響應(yīng)通過代理機制支持對真實主機、網(wǎng)絡(luò)服務(wù)的整合addwindowstcpport23proxy“5923”Honeyd監(jiān)控未使用IP地址Honeyd設(shè)計上的考慮接收網(wǎng)絡(luò)流量模擬蜜罐系統(tǒng)僅模擬網(wǎng)絡(luò)協(xié)議棧層次，而不涉及操作系統(tǒng)各個層面可以模擬任意的網(wǎng)絡(luò)拓撲Honeyd宿主主機的安全性限制只能在網(wǎng)絡(luò)層面與蜜罐進行交互捕獲網(wǎng)絡(luò)連接和攻擊企圖日志功能接收網(wǎng)絡(luò)流量Honeyd模擬的蜜罐系統(tǒng)接收相應(yīng)網(wǎng)絡(luò)流量三種方式為Honeyd模擬的虛擬主機建立路由ARP代理支持網(wǎng)絡(luò)隧道模式(GRE)Honeyd體系框架路由模塊中央數(shù)據(jù)包分發(fā)器將輸入的數(shù)據(jù)包分發(fā)到相應(yīng)的協(xié)議處理器協(xié)議處理器Service模擬腳本個性化引擎配置數(shù)據(jù)庫存儲網(wǎng)絡(luò)協(xié)議棧的個性化特征路由模塊Honeyd支持創(chuàng)建任意的網(wǎng)絡(luò)拓撲結(jié)構(gòu)對路由樹的模擬配置一個路由進入點可配置鏈路時延和丟包率模擬任意的路由路徑擴展將物理主機融合入模擬的網(wǎng)絡(luò)拓撲通過GRE隧道模式支持分布式部署FTP服務(wù)模擬腳本case$incmd_nocasein

QUIT*) echo-e"221Goodbye.\r" exit0;;SYST*) echo-e"215UNIXType:L8\r" ;;HELP*) echo-e"214-Thefollowingcommandsarerecognized(*=>'sunimplemented).\r" echo-e"USERPORTSTORMSAM*RNTONLSTMKDCDUP\r" echo-e"PASSPASVAPPEMRSQ*ABORSITEXMKDXCUP\r" echo-e"ACCT*TYPEMLFL*MRCP*DELESYSTRMDSTOU\r" echo-e"SMNT*STRUMAIL*ALLOCWDSTATXRMDSIZE\r" echo-e"REIN*MODEMSND*RESTXCWDHELPPWDMDTM\r" echo-e"QUITRETRMSOM*RNFRLISTNOOPXPWD\r" echo-e"214Directcommentstoftp@$domain.\r" ;;USER*)個性化引擎為什么需要個性化引擎?不同的操作系統(tǒng)有不同的網(wǎng)絡(luò)協(xié)議棧行為攻擊者通常會運行指紋識別工具，如Xprobe和Nmap獲得目標(biāo)系統(tǒng)的進一步信息個性化引擎使得虛擬蜜罐看起來像真實的目標(biāo)每個由Honeyd產(chǎn)生的包都通過個性化引擎引入操作系統(tǒng)特定的指紋，讓Nmap/Xprobe進行識別使用Nmap指紋庫作為TCP/UDP連接的參考使用Xprobe指紋庫作為ICMP包的參考日志功能Honeyd的日志功能Honeyd對任何協(xié)議創(chuàng)建網(wǎng)絡(luò)連接日志，報告試圖發(fā)起的、或完整的網(wǎng)絡(luò)連接在網(wǎng)絡(luò)協(xié)議模擬實現(xiàn)中可以進行相關(guān)信息收集Feb1223:06:33Connectiontoclosedport:udp(:1978-01:1978)Feb1223:23:40Connectionrequest:tcp(8:3269-02:25)Feb1223:23:40Connectionestablished:tcp(8:3269-02:25)<->shscripts/smtp.shFeb1223:24:14Connectiondroppedwithreset:tcp(8:3269-02:25)Feb1223:34:53Killingattemptedconnection:tcp(27:3297-02:80)WedFeb1223:23:40UTC2003:SMTPstartedfromPortEHLOHoneyd的應(yīng)用反蠕蟲SnipeBlaster:adddefaulttcpport4444"/bin/shscripts/strikeback.sh$ipsrc"Honeycomb–SIGCOMMpaper自動生成NIDS檢測特征巴西蜜罐聯(lián)盟－安全監(jiān)測蜜罐技術(shù)概述

蜜罐技術(shù)的提出蜜罐技術(shù)基本概念、分類及優(yōu)勢虛擬蜜罐工具－Honeyd蜜罐技術(shù)發(fā)展歷程，當(dāng)前研究熱點蜜罐技術(shù)的發(fā)展歷程蜜罐(Honeypot)物理蜜罐虛擬蜜罐工具:DTK,Honeyd專用蜜罐工具:mwcollect,nepenthes蜜網(wǎng)(Honeynet)TheHoneynetProjectGen1/Gen2/Gen3HoneynetResearchPurpose蜜場(Honeyfarm)蜜罐技術(shù)如何有效地對一個大型網(wǎng)絡(luò)提供防護功能？外/內(nèi)部安全威脅的發(fā)現(xiàn)、重定向、跟蹤蜜場蜜罐技術(shù)研究熱點虛擬蜜罐工具AHoneypotframework-Honeyd針對不同互聯(lián)網(wǎng)安全威脅惡意軟件:mwcollect,nepenthes蜜網(wǎng)體系框架數(shù)據(jù)分析與可視化－關(guān)聯(lián)分析維護過程:過程規(guī)范、工具/腳本支持蜜場重定向機制:網(wǎng)關(guān)重定向(Bait-n-Switch),接入網(wǎng)重定向蜜罐的偽裝性問題:主動式蜜罐技術(shù)客戶端蜜罐－捕獲并分析針對客戶端的安全威脅僵尸網(wǎng)絡(luò):Drone,HoneyBot針對瀏覽器的安全威脅(惡意網(wǎng)站,spyware):Honeyclient,HoneyMonkeyGen3蜜網(wǎng)技術(shù)

蜜網(wǎng)技術(shù)的基本原理和發(fā)展歷程Gen3蜜網(wǎng)技術(shù)框架及核心需求Gen3蜜網(wǎng)技術(shù)細節(jié)數(shù)據(jù)控制機制數(shù)據(jù)捕獲機制數(shù)據(jù)分析機制Gen3蜜網(wǎng)部署實例講解什么是蜜網(wǎng)技術(shù)？實質(zhì)上是一種研究型、高交互型的蜜罐技術(shù)一個體系框架包括一個或多個蜜罐多層次的數(shù)據(jù)控制機制－高度可控全面的數(shù)據(jù)捕獲機制輔助研究人員對攻擊數(shù)據(jù)進行深入分析虛擬蜜網(wǎng)在一臺機器上部署蜜網(wǎng)的解決方案VMware&UserModeLinux優(yōu)勢減少部署成本更容易管理劣勢虛擬機的指紋－虛擬硬件的配置信息蜜網(wǎng)項目組非贏利性研究機構(gòu)目標(biāo)Tolearnthetools,tactics,andmotivesoftheblackhatcommunityandsharetheselessonslearned歷史1999–

非正式的郵件列表June2000–

演變?yōu)槊劬W(wǎng)項目組Jan.2002–

發(fā)起蜜網(wǎng)研究聯(lián)盟Dec.2002–10個活躍的聯(lián)盟成員創(chuàng)始人及主席LanceSpitzner(SunMicrosystems)蜜網(wǎng)技術(shù)的發(fā)展歷程PhaseI:1999-2001GenI蜜網(wǎng)技術(shù):概念驗證PhaseII:2001-2003GenII蜜網(wǎng)技術(shù):初步成熟的蜜網(wǎng)技術(shù)方案PhaseIII:2003-2004HoneyWall－Eeyore:可引導(dǎo)的CDROM，集成數(shù)據(jù)控制和數(shù)據(jù)捕獲工具PhaseIV:2004-2005對分布式的蜜網(wǎng)捕獲的數(shù)據(jù)進行收集和關(guān)聯(lián)的集中式系統(tǒng)－kangaPhaseV:2005-Gen3蜜網(wǎng)技術(shù)數(shù)據(jù)捕獲機制的改進－argus、sebek3.0.xDataAnalysisFramework－WalleyeNewHoneyWallCDROM－RooEdBalas,IndianaUniversityGen3蜜網(wǎng)技術(shù)

蜜網(wǎng)技術(shù)的基本原理和發(fā)展歷程Gen3蜜網(wǎng)技術(shù)框架及核心需求Gen3蜜網(wǎng)技術(shù)細節(jié)數(shù)據(jù)控制機制數(shù)據(jù)捕獲機制數(shù)據(jù)分析機制Gen3蜜網(wǎng)部署實例講解蜜網(wǎng)的體系框架蜜網(wǎng)技術(shù)核心需求數(shù)據(jù)控制機制防止蜜網(wǎng)被黑客/惡意軟件利用攻擊第三方數(shù)據(jù)捕獲機制獲取黑客攻擊/惡意軟件活動的行為數(shù)據(jù)網(wǎng)絡(luò)行為數(shù)據(jù)－網(wǎng)絡(luò)連接、網(wǎng)絡(luò)流系統(tǒng)行為數(shù)據(jù)－進程、命令、打開文件、發(fā)起連接數(shù)據(jù)分析機制理解捕獲的黑客攻擊/惡意軟件活動的行為Gen3蜜網(wǎng)技術(shù)

蜜網(wǎng)技術(shù)的基本原理和發(fā)展歷程Gen3蜜網(wǎng)技術(shù)框架及核心需求Gen3蜜網(wǎng)技術(shù)細節(jié)數(shù)據(jù)控制機制數(shù)據(jù)捕獲機制數(shù)據(jù)分析機制Gen3蜜網(wǎng)部署實例講解數(shù)據(jù)控制攻擊數(shù)據(jù)包過濾Snort_inline:NIPSiptables-AFORWARD-i$LAN_IFACE-mstate--stateRELATED,ESTABLISHED-jQUEUE數(shù)據(jù)控制機制圖示IPTableseth0Snort_inlineIPTableseth1SebekHoneyWall蜜罐主機Sebek蜜罐主機SwatchIPTables日志Snort報警信息eth2管理員對攻擊者隱蔽丟棄修改無效化向外已知攻擊方法網(wǎng)絡(luò)連接數(shù)限制掃描、DoSEmail報警Gen3蜜網(wǎng)技術(shù)

蜜網(wǎng)技術(shù)的基本原理和發(fā)展歷程Gen3蜜網(wǎng)技術(shù)框架及核心需求Gen3蜜網(wǎng)技術(shù)細節(jié)數(shù)據(jù)控制機制數(shù)據(jù)捕獲機制數(shù)據(jù)分析機制Gen3蜜網(wǎng)部署實例講解數(shù)據(jù)捕獲機制快數(shù)據(jù)通道網(wǎng)絡(luò)行為數(shù)據(jù)–HoneyWall網(wǎng)絡(luò)流數(shù)據(jù):Argus入侵檢測報警:Snort操作系統(tǒng)信息:p0f系統(tǒng)行為數(shù)據(jù)–Sebek@Honeypot進程、文件、命令、鍵擊記錄以rootkit方式監(jiān)控sys_socket,sys_open,sys_read系統(tǒng)調(diào)用網(wǎng)絡(luò)行為與系統(tǒng)行為數(shù)據(jù)之間的關(guān)聯(lián)–sys_socket慢數(shù)據(jù)通道網(wǎng)絡(luò)原始數(shù)據(jù)包–tcpdump@HoneyWall數(shù)據(jù)捕獲機制體系結(jié)構(gòu)圖Gen3蜜網(wǎng)數(shù)據(jù)模型Sebek:系統(tǒng)行為數(shù)據(jù)p0fArgus:網(wǎng)絡(luò)流數(shù)據(jù)Snort:入侵檢測報警數(shù)據(jù)捕獲機制圖示Arguseth0eth1TcpdumpSebekHoneyWall蜜罐主機Sebek蜜罐主機hflowd系統(tǒng)行為數(shù)據(jù)eth2管理員對攻擊者隱蔽Snortp0fIPTablessebekdhflowDB網(wǎng)絡(luò)連接報警OSpcap文件WalleyeGen3蜜網(wǎng)技術(shù)

蜜網(wǎng)技術(shù)的基本原理和發(fā)展歷程Gen3蜜網(wǎng)技術(shù)框架及核心需求Gen3蜜網(wǎng)技術(shù)細節(jié)數(shù)據(jù)控制機制數(shù)據(jù)捕獲機制數(shù)據(jù)分析機制Gen3蜜網(wǎng)部署實例講解數(shù)據(jù)分析－WalleyePerl語言編寫的WebGUI通過DBI連接mysql數(shù)據(jù)庫mysql數(shù)據(jù)庫中的信息由hflowd.pl提交數(shù)據(jù)分析視圖Overview視圖網(wǎng)絡(luò)流視圖進程樹視圖進程細節(jié)信息（open_file,read_data,command…）網(wǎng)絡(luò)流信息:網(wǎng)絡(luò)流數(shù)據(jù)包解碼，snort檢測結(jié)果Pcap數(shù)據(jù)－慢通道具體細節(jié)測試案例分析Gen3蜜網(wǎng)技術(shù)

蜜網(wǎng)技術(shù)的基本原理和發(fā)展歷程Gen3蜜網(wǎng)技術(shù)框架及核心需求Gen3蜜網(wǎng)技術(shù)細節(jié)數(shù)據(jù)控制機制數(shù)據(jù)捕獲機制數(shù)據(jù)分析機制Gen3蜜網(wǎng)部署實例講解Gen3蜜網(wǎng)的部署和測試在單臺主機上部署虛擬Gen3蜜網(wǎng)Gen3蜜網(wǎng)的部署過程Gen3蜜網(wǎng)的測試參考文檔:狩獵女神項目組網(wǎng)站RooCDROMUserManual(中文版)Gen3虛擬蜜網(wǎng)部署和測試技術(shù)報告虛擬Gen3蜜網(wǎng)網(wǎng)絡(luò)拓撲虛擬Gen3蜜網(wǎng)資源需求硬件資源單臺主機－P4以上/512M以上/40G以上/2塊網(wǎng)卡軟件資源VmwareWorkstation4.2.5-8848forLinux/vmware-any-any-update93.tar.gz(bridgemodepatch)HoneywallRooCDROMLinux/Windows操作系統(tǒng)安裝盤Sebekclient3.0.xVmware的配置HoneyWall虛擬主機硬件設(shè)置Honeypot虛擬主機硬件設(shè)置安裝HoneyWall配置HoneyWall登錄不允許root直接登錄roo/honeyàsu-(root/honey)修改缺省口令配置方式配置文件:/etc/honeywall.confCommandline:hwctlInterview:menuWebGUI:walleyeWalleye的管理界面配置過程蜜網(wǎng)的相關(guān)信息蜜罐的IP地址蜜網(wǎng)IP范圍管理接口管理接口IP地址管理接口訪問控制策略數(shù)據(jù)控制參數(shù)配置外出連接限制數(shù)snort_inline控制策略DNS訪問配置自動報警功能及Sebek選項報警Email地址Sebek數(shù)據(jù)包目的IP地址管理接口安裝Honeypot操作系統(tǒng)不同的patch策略未打任何補?。东@所有攻擊完全補?。瓃ero-dayexploits未打補丁的操作系統(tǒng)版本Linux8.0/9.0缺省安裝WindowXPSP0開放盡量多的網(wǎng)絡(luò)服務(wù)WWW:Apache/IISFTP:wuftpd,…/SMTP:sendmail/exchangeSQL:mysql/mssqlRPCsmb安裝Sebek3.0.x解壓tar包修改sbk_install.shDESTINATION_IP=""(MANAGEMENT_IP)DESTINATION_MAC="00:0C:29:12:86:6D"(MANAGEMENT_MAC)MAGIC_VALUE:各個Sebek一致KEYSTOKE_ONLYSOCKET_TRACKINGTESTING安裝Sebek./configure,make,./sbk_install.sh測試網(wǎng)絡(luò)連通性外網(wǎng)主機<->ping蜜罐主機管理接口ssh遠程連接:確認連接主機IP在Honeywall上設(shè)置的管理網(wǎng)段內(nèi)訪問Walleye:https://mgmt_ip數(shù)據(jù)控制機制連接數(shù)限制(ICMP/TCP/UDP):nmap已知攻擊數(shù)據(jù)包限制:metasploit向測試主機攻擊數(shù)據(jù)捕獲機制查看Walleye是否捕獲網(wǎng)絡(luò)連接、Snort報警、pcap數(shù)據(jù)及Sebek系統(tǒng)行為數(shù)據(jù)攻擊分析實例－滲透測試工具攻擊分析實例－發(fā)起攻擊執(zhí)行指令：uname–a;whoami;cd/etc;catshadow;exit;攻擊分析實例－Email報警攻擊分析實例-WalleyeOverview視圖內(nèi)/外連接數(shù)內(nèi)/外IDS報警流量及IDS報警統(tǒng)計攻擊分析實例－Walleye網(wǎng)絡(luò)流視圖p0f操作系統(tǒng)辨識Snort報警攻擊案例分析－Exploit網(wǎng)絡(luò)流相關(guān)進程樹視圖攻擊案例分析－Exploit網(wǎng)絡(luò)流詳細視圖攻擊案例分析－Exploit數(shù)據(jù)包解碼視圖攻擊案例分析－Exploit網(wǎng)絡(luò)流檢測結(jié)果攻擊案例分析－Exploit網(wǎng)絡(luò)流數(shù)據(jù)包攻擊案例分析－Shell進程樹視圖攻擊案例分析－Shell進程詳細視圖攻擊案例分析－Shell進程readdetail視圖攻擊案例分析－Shell網(wǎng)絡(luò)流詳細視圖攻擊案例分析－Shell網(wǎng)絡(luò)流數(shù)據(jù)包解碼視圖狩獵女神項目組部署的蜜網(wǎng)狩獵女神項目組的虛擬蜜網(wǎng)蜜罐與蜜網(wǎng)技術(shù)的應(yīng)用

僵尸網(wǎng)絡(luò)(Botnet)的發(fā)現(xiàn)和跟蹤深入剖析網(wǎng)絡(luò)釣魚攻擊(Phishing)互聯(lián)網(wǎng)安全威脅分析案例黑客攻擊通過Samba服務(wù)漏洞獲得root權(quán)限、安裝后門蠕蟲傳播高波蠕蟲:攻擊445端口LSASS漏洞、使用TFTP傳送副本，感染后繼續(xù)掃描僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)與跟蹤–NetSec2005網(wǎng)絡(luò)釣魚攻擊諸葛建偉譯,了解你的敵人:網(wǎng)絡(luò)釣魚攻擊的幕后如何發(fā)現(xiàn)僵尸網(wǎng)絡(luò)？IDS方法必須充分了解僵尸程序，提取指紋信息作為IDS檢測的特征行為監(jiān)測法僵尸程序行為模式：快速連接控制信道、長時間在線發(fā)呆、…蜜罐捕獲法通過部署蜜罐對僵尸程序進行捕獲－樣本通過對網(wǎng)絡(luò)行為進行監(jiān)視和分析－僵尸網(wǎng)絡(luò)控制信道信息惡意軟件捕獲器mwcollect針對主動攻擊漏洞傳播的惡意軟件(包括僵尸程序)模擬RPCDCOM、LSASS等知名漏洞對主動攻擊漏洞惡意軟件注入的shellcode進行分析，獲取惡意軟件傳播使用的URL通過URL獲取惡意軟件樣本其他的僵尸程序來源InternationalmwcollectAlliance共享捕獲的惡意軟件樣本資源與反病毒廠商的樣本交換PandaSoftware公開的惡意軟件分析報告資源Sandbox.norman.no僵尸程序樣本分析任務(wù)－獲取僵尸網(wǎng)絡(luò)控制信道信息控制服務(wù)器host/port連接口令加入的頻道名/頻道口令用戶名和昵稱的結(jié)構(gòu)–CHN|xxxxx?方法沙箱:sandbox.norman.no蜜網(wǎng)在線攻擊分析技術(shù)HoneyBot僵尸網(wǎng)絡(luò)跟蹤工具HoneyClient－客戶端蜜罐技術(shù)能夠根據(jù)給定的控制信道信息連入僵尸網(wǎng)絡(luò)，并隱蔽地對僵尸網(wǎng)絡(luò)活動進行跟蹤和審計Honeybot原型系統(tǒng)：python+ircclientlib同時跟蹤多個僵尸網(wǎng)絡(luò)存活情況、規(guī)模、控制指令觀測Bot樣本及僵尸網(wǎng)絡(luò)數(shù)僵尸網(wǎng)絡(luò)控制服務(wù)器分布僵尸網(wǎng)絡(luò)規(guī)模分布9月份活躍僵尸網(wǎng)絡(luò)持續(xù)跟蹤結(jié)果一個典型的僵尸網(wǎng)絡(luò)規(guī)模變化情況使用mIRC進一步跟蹤僵尸網(wǎng)絡(luò)跟蹤僵尸網(wǎng)絡(luò)的一些經(jīng)驗相當(dāng)大比例的僵尸網(wǎng)絡(luò)生命周期較短首先使用自動化跟蹤工具確定其存活情況、規(guī)模等信息，再進行選擇跟蹤偽裝性昵稱和用戶名必須與其他僵尸程序一致DisableIRC協(xié)議的CTCP(ClienttoClientProtocol)功能使用SOCKS代理保證跟蹤源的隱蔽性如果被僵尸網(wǎng)絡(luò)控制者識破：DDoS互聯(lián)網(wǎng)安全威脅分析案例黑客攻擊通過Samba服務(wù)漏洞獲得root權(quán)限、安裝后門蠕蟲傳播高波蠕蟲:攻擊445端口LSASS漏洞、使用TFTP傳送副本，感染后繼續(xù)掃描僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)與跟蹤–NetSec2005網(wǎng)絡(luò)釣魚攻擊諸葛建偉譯,了解你的敵人:網(wǎng)絡(luò)釣魚攻擊的幕后什么是網(wǎng)絡(luò)釣魚攻擊？目標(biāo)：獲取個人敏感信息用戶名、口令、帳號ID、ATMPIN碼或信用卡信息手段：釣魚攻陷主機架設(shè)釣魚網(wǎng)站－目標(biāo)：知名金融機構(gòu)及商務(wù)網(wǎng)站發(fā)送大量欺騙性垃圾郵件濫用個人敏感信息資金轉(zhuǎn)賬－經(jīng)濟利益冒用身份－犯罪目的通過攻陷的網(wǎng)站服務(wù)器釣魚攻擊者掃描網(wǎng)段，尋找有漏洞的服務(wù)器服務(wù)器被攻陷，并安裝一個rootkit或口令保護的后門工具釣魚者從加密的后門工具獲得對服務(wù)器的訪問權(quán)下載已構(gòu)建完畢的釣魚網(wǎng)站內(nèi)容內(nèi)容配置和網(wǎng)站測試工作第一次訪問釣魚網(wǎng)站的IP地址可能是釣魚者的真實IP地址群發(fā)電子郵件工具被下載，并用以大規(guī)模散發(fā)包含假冒釣魚網(wǎng)站信息的欺騙性垃圾郵件潛在的受害者開始訪問惡意的網(wǎng)頁內(nèi)容有，在4天內(nèi)有265個HTTP請求到達，但不是因為從服務(wù)器發(fā)出的垃圾郵件所吸引沒有，垃圾郵件的發(fā)送和對釣魚網(wǎng)站的訪問被阻斷受害者是否到達釣魚網(wǎng)站

從一個小量級的Email地址輸入列表進行垃圾郵件群發(fā)的BasicPHPscript–可能僅僅是一次測試.從一個中量級Email地址輸入列表進行垃圾郵件群發(fā)的BasicPHPscript

群發(fā)電子郵件僅測試了郵件發(fā)送，可能是給釣魚者同伙，Improvedsyntaxa