下载后可任意编辑基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析The Artemis Project/狩猎女神项目组柳亚鑫,吴智发,诸葛建伟一、先决条件在 阅 读 本 文 前 , 请 先 阅 读 Know Your Enemy: Honeynets , Know Your Enemy: GenII Honeynets和Know Your Enemy:Honeywall CDROM Roo,可到http://www.honeynet.org/papers进行学习。对Honeynets的概念和第三代Honeynet (Roo)技术有个清楚的认识,并完全了解Roo的部署软/硬件要求。请首先阅读狩猎女神项目技术报告 《基于Vmware workstation的虚拟Honeynet》,其中有关类似部分将不再赘述。二、什么是虚拟Honeynet根据 Honeynet 组织的定义:虚拟 Honeynet 是一种可让你在单一的机器上运行所有东西的解决方案。之所以称为虚拟是因为运行在机器上的各个操作系统看起来与运行在单独一台机器上的操作系统并没有什么外观上的区别。蜜网是在蜜罐技术上逐步进展起来的一个新的概念, 又称为诱捕网络。蜜网技术实质上还是一类讨论型的高交互蜜罐技术, 所谓的高交互意味着蜜网中用真实的操作系统、应用程序以及服务来跟攻击者进行交互而不是像 Honeyd 那样仅提供模拟的系统和服务。与传统蜜罐技术的差异在于, 蜜网构成了一个黑客诱捕网络体系架构, 在这个架构中, 可以包含一个或多个蜜罐, 同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。一个典型的蜜网通常有防火墙、入侵检测系统( IDS) 和多个蜜罐主机组成。防火墙和 IDS 对所有进出蜜网的数据进行捕获和控制, 然后对所捕获的信息加以分析, 以便猎取关于攻击者的一些情报。在蜜网内部, 可以放置任何类型的系统在充当蜜罐, 如 Solaris、Linux、Windows NT、Cisco 交换机等。这样, 就为攻击者制造了一个感觉更真实的网络环境。同时通过对各个系统配置不同的服务, 例如 DNS、Web、ftp、www 服务器或者 Solaris FTP 服务器, 就可以了解攻击者使用的各种工具和战术。下面是本文部署的第三代虚拟 Honeynet 的网络拓扑图。下载后可任意编辑虚拟 Honeynet 主要分成两类:1. 自包含虚拟 Honeynet(Self-Contained Honeynet):这种类别的 Honeynet 把它的各个组成部分都安装在单一的一台机器上。2. 混合虚拟 Honeynet(Hybrid Honeynet):这种类别的 Honeynet 并不局限与一台机器,而是把它的组成部分分开在多台机器上部署。我们在这里部署的自包含的...
