|
7.蜜罐的实际例子 1f7W3M$z)m!R,Z1g
)m(w;J2];m"d下面我们以Redhat linux 9.0为平台,做一个简单的蜜罐陷阱的配置。 1E4~0A6d(^$O5j6{&?
程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛+L)K!M&f2m*|4J0\$B
我们知道,黑客一旦获得root口令,就会以root身份登录,这一登录过程就是黑客入侵的必经之路。其二,黑客也可能先以普通用户身份登录,然后用su命令转换成root身份,这又是一条必经之路。
!e-]+~9I,_;z%K%}"Z0G/a6a*m5T(G.K1c
我们讨论如何在以下情况下设置陷阱: 2^9{5?*|0s8t6o)x5B0Z/j
4c)u%j8z)G%j+@(1)当黑客以root身份登录时; 程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛0b;} ~#q)I;s!Y6o4x/c
%w:z0M4I&]8H&c(T)u程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛(2)当黑客用su命令转换成root身份时;
:E+V&c/L,B:B1k2l程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛)y4I/E*W2Y$d
(3)当黑客以root身份成功登录后一段时间内; 程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛:y1[ `5j/~;N;@"W*}
*r:a$B0u5L&{程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛第一种情况的陷阱设置
![*K+J1V G'o8l4|:ITechWeb-技术社区#d3H;g Y:u(T
一般情况下,只要用户输入的用户名和口令正确,就能顺利进入系统。如果我们在进入系统时设置了陷阱,并使黑客对此防不胜防,就会大大提高入侵的难度系数。例如,当黑客已获取正确的root口令,并以root身份登录时,我们在此设置一个迷魂阵,提示它,你输入的口令错误,并让它重输用户名和口令。而其实,这些提示都是虚假的,只要在某处输入一个密码就可通过。黑客因此就掉入这个陷阱,不断地输入root用户名和口令,却不断地得到口令错误的提示,从而使它怀疑所获口令的正确性,放弃入侵的企图。 4[.u'v8I2L'M.L
tech.techweb.com.cn(E3F+j(Z-B0r
给超级用户也就是root用户设置陷阱,并不会给系统带来太多的麻烦,因为,拥有root口令的人数不会太多,为了系统的安全,稍微增加一点复杂性也是值得的。这种陷阱的设置时很方便的,我们只要在root用户的.profile中加一段程序就可以了。我们完全可以在这段程序中触发其他入侵检测与预警控制程序。陷阱程序如下: 0m-B3t1I/K#o7G/`&n"D2|
(_.~'d.|-K%Q1U程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛
6v6m1L/q*I0f(F!r0{,P# root .profile程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛;s)x2y$y#e-}$I'D&R
Cleartech.techweb.com.cn0|!^#B,n7?8a/x
Echo “You had input an error password , please input again !”
!S&m6o'{4C+j1q,ZEcho0B!q$A.|4d%T
Echo –n “Login:”
8X.V*P:v,BTechWeb-技术社区Read p
;v;p(}#E.z#|程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛If ( “$p” = “123456”) thenTechWeb-技术社区.{#z4^0X"l(D5~*i0F
Cleartech.techweb.com.cn/@5v,^8L$d'a
Else
$g!l5z"?:@-c:g0w*I"o;|Exit
(P"M6_.@9O1X;?)],l(MTechWeb-技术社区
6t7?:E'K$L,B&y-u%pTechWeb-技术社区
#L6A.k'{8W2rtech.techweb.com.cn2G1O$Y0j.c&{-P
7I,S f'`(U)E0Y5r(eTechWeb-技术社区
"h9h8W5V.W H
1l;l'@,j*L,J7L*sTechWeb-技术社区程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛+L/`'O"q$x5|:s
第二种情况的陷阱设置
'T)\5P)[9V#b9r)Ptech.techweb.com.cn
#m%P T/u8Y3j T$u在很多情况下,黑客会通过su命令转换成root身份,因此,必须在此设置陷阱。当黑客使用su命令,并输入正确的root口令时,也应该报错,以此来迷惑它,使它误认为口令错误,从而放弃入侵企图。这种陷阱的设置也很简单,你可以在系统的/etc/profile文件中设置一个alias,把su命令重新定义成转到普通用户的情况就可以了,例如alias su=”su user1”。这样,当使用su时,系统判断的是user1的口令,而不是root的口令,当然不能匹配。即使输入su root也是错误的,也就是说,从此屏蔽了转向root用户的可能性。 程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛-M*P/g V.f1a.h
6k*^$^2g&B*htech.techweb.com.cn第三种情况的陷阱设置
7u'N/Z!D%f*uTechWeb-技术社区
1I;e3v#z7M0^5U#b(y5g如果前两种设置都失效了,黑客已经成功登录,就必须启用登录成功的陷阱。一旦root用户登录,就可以启动一个计时器,正常的root登录就能停止计时,而非法入侵者因不知道何处有计时器,就无法停止计时,等到一个规定的时间到,就意味着有黑客入侵,需要触发必要的控制程序,如关机处理等,以免造成损害,等待系统管理员进行善后处理。陷阱程序如下:
/N;F%u;k&G5S5f
+z'w M%M&P;e/l(J-o程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛# .testfile程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛%E;Q)G2M3C#U"K%d.K
times=0(Y1s1X2r3{"_ i3I
while [ $times –le 30 ] do
(}%l0[,a$G9o程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛sleep 13y2D-?#G,b4p:R;\2r
times=$[times + 1]
5Y4s5j0s$N7S+I"ydone
;t%i+B Q5Q0Dhalt /* 30秒时间到,触发入侵检测与预警控制 */)D(q7v6~3t1A9k
+B;t1Q"j7s2j.A6J7o4S2Y1B){ H%e'~4q-d2{9q
$G:l)Q:p:l;?&]#s+G
#h4E0~+L%|4D#E5x.I
程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛#f5W1R,s)P0X*d3[
4d V+c/X9g/R2`8g
;@*s;p4P"I.t:u'l3K*c
tech.techweb.com.cn-H-x&J,~;o&C0i8B#N-a;v/W!`
程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛&b#v3X"d6i:`&w t"q
将该程序放入root .bashrc中后台执行:
0W(S A0s2j$M(J6tTechWeb-技术社区!^,y6x o"m;E3e&m
+W8g$s.^,~&t:P
# root . bashrc
:T;`#~$a8A"k9\%Q5V程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛….TechWeb-技术社区1C;@,r)m4R$U*u;c:^/h
Sh .testfile&
-i9s'q*x+])a#Z$sTechWeb-技术社区
,Y*g:I"x1|8_-v6e6s:Z0LTechWeb-技术社区tech.techweb.com.cn;x2t [#\$N;z0S:I/U
3N,c7e1B*h0S,c:@4d
#`;P$J:B6G$ltech.techweb.com.cn该程序不能用Ctrl-C终止,系统管理员可用jobs命令检查到,然后用kill %n将它停止。
1^;{#D:H"P*Y'b.?!q"T;t2M#v6Q5S
从上述三种陷阱的设置,我们可以看到一个一般的规律:改变正常的运行状态,设置虚假信息,使入侵者落入陷阱,从而触发入侵检测与预警控制程序。 程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛!w2t"v&u6r:L(N6P2V
tech.techweb.com.cn-N2^8Y'C4C!}4H
8.关键技术设计
,D)Y1x8~:F9y+U'R+_
(H/b)z4R(o3w qTechWeb-技术社区自蜜罐概念诞生之日起,相关技术一直在长足的发展。到今天为止,蜜罐技术应用的最高度应该说是Honeynet技术的实现。
;\,_0K0v"\;`8{4}.r&I
,a,J3d8Q;J)~#i9.总结
)E:`6x:{9m(c程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛4F)~/m,T+[*l;Q
任何事物的存在都会有利弊,蜜罐技术的发展也是伴随着各种不同的观点而不断的成长的。蜜罐技术是通过诱导让黑客们误入歧途,消耗他们的精力,为我们加强防范赢得时间。通过蜜网让我们在受攻击的同时知道谁在使坏,目标是什么。同时也检验我们的安全策略是否正确,防线是否牢固,蜜罐的引入使我们与黑客之间同处于相互斗智的平台counter-intelligence,而不是处处遭到黑枪的被动地位。我们的网络并不安全,IDS,FIREWALL,Encryption技术都有其缺陷性,我们期待它们与蜜罐的完美结合,那将是对网络安全的最好礼物。我们完全相信,蜜罐技术必将在网络安全中发挥出极其重要的作用,一场世界上声势浩大的蜜罐技术行动必将到来。
|
