Embed Size (px)
DESCRIPTION
Module 9 : 誘捕系統實習. 學習目的. 利用誘捕系統,找出網路中潛在的威脅 本模組共有四個小節包括 (1) 誘捕系統簡介 (2) 誘捕系統工具介紹 (3) 誘捕系統的實務 (4) 誘捕系統的專案 實作 共需三個鐘點. Module 9 : 誘捕系統實習. Module 9-1 :誘捕系統簡介 (*) Module 9-2 :誘捕系統工具介紹 (*) Module 9-3 :誘捕系統的實務 (**) Module 9-4 :誘捕系統的專案實作 (*). * 初級 (basic) :基礎性教材內容 - PowerPoint PPT Presentation
Citation preview
網路安全
Module 9誘捕系統實習
網路安全
學習目的1 利用誘捕系統找出網路中潛在的威脅2 本模組共有四個小節包括
(1) 誘捕系統簡介 (2) 誘捕系統工具介紹 (3) 誘捕系統的實務 (4) 誘捕系統的專案實作 共需三個鐘點
9-2
網路安全
Module 9誘捕系統實習bull Module 9-1 誘捕系統簡介 () bull Module 9-2 誘捕系統工具介紹 ()bull Module 9-3 誘捕系統的實務 () bull Module 9-4 誘捕系統的專案實作 ()
9-3
初級 (basic) 基礎性教材內容 中級 (moderate) 教師依據學生的吸收情況選擇性介紹本節的內容 高級 (advanced) 適用於深入研究的內容
網路安全
Module 9-1誘捕系統簡介 ()
9-4
網路安全
誘捕系統 (Honeypot) 的介紹bull 誘捕系統 (Honeypot) 受到嚴密監控的網路誘騙系統具有以下特點
ndash 迷惑敵人誘使駭客攻擊 Honeypot 而無暇去攻擊一些系統中比較重要的機器ndash 對新攻擊發出預警ndash 引誘駭客攻擊ndash 對攻擊的行為和過程進行深入的分析研究ndash 使用入侵偵測系統與防火牆等結合使用以提升系統安全性
9-5
網路安全
誘捕系統 (Honeypot) 的重要性bull 建構網路防護系統對未經授權或非法的存取動作進行偵測進而引誘攻擊者入侵組織資訊系統的陷阱
ndash 作為對系統弱點預警及先進的監視工具ndash 減低資訊科技系統及網路遭攻擊的風險ndash 蒐集入侵方法並加以分析為系統的潛在漏洞提供寶貴資訊
bull 程序為
9-6
偵測 誘捕 反制
網路安全
誘捕系統 (Honeypot) 的重要性 (續 )
bull IDS 跟 Honeypot bull 傳統的入侵偵側系統 (IDS)
ndash 它記錄了網路上的流量且尋找攻擊和入侵的線索並針對已知的入侵手法對外來的 attacker 作出警告(alert)
bull Honeypotndash 了解入侵者的攻擊方式並從 Honeynet 所收集來的資訊分析監視未來可能被攻擊的趨勢ndash 學習駭客入侵的工具這些資訊也可被用教作教育訓練並藉以找出作業系統的弱點
9-7
網路安全
誘捕系統 (Honeypot) 的功能bull 誘捕系統模擬成有缺陷的系統等待攻擊者來攻擊藉以蒐集攻擊的手法與方式bull Honeypot 解決 IDS 或防火牆記錄等資訊過量問題 bull 為一個模擬或真實的網路系統bull 隱藏在防火牆後面所有進出的資料皆受到監視bull 使用不同的作業系統及設備如 Solaris LinuxWindows NT及 Cisco Switch
9-8
網路安全
誘捕系統 (Honeypot) 的功能 (續 )
bull 不同的系統平台上面運行著不同的服務ndash 例 Linux 的 DNS server Windows NT 的
webserver或 Solaris的 FTP Serverndash 入侵者會將目標定於幾個特定的系統漏洞上ndash 不同的服務有不同的攻擊手法ndash 分析記錄使我們了解服務的弱點
9-9
網路安全
誘捕系統 (Honeypot) 的分類 - 真實與虛擬真實 Honeypot 虛擬 Honeypot
成本 昂貴 廉價風險 低 高優勢 1 仿真 FTP 伺服器並監視所有的 TCP和 UDP 埠並記錄所有埠的活動情況
2 會對駭客的行為作出回應3沒有真正的作業系統不怕被控制
1 有真實的作業系統因此對於駭客的操作回應與其他主機一樣故駭客難以察覺2 入侵檢測能力佳
劣勢 1只能欺騙等級較差的駭客2 記錄的資訊種類有限3 可記錄已知的攻擊種類卻無法偵測到新型的攻擊
1 可能被厲害的駭客破解並進攻正常網路危及正常網路的運作
資料來源 行政院 國家資通安全會報 - 技術服務中心 - 資安論壇 httpforumicstorgtw
9-10
網路安全
誘捕系統 (Honeypot) 的分類bull 低互動性誘捕系統 (Low-Interaction Honeypot)
ndash 提供有限的服務藉由模擬服務與作業系統來運作ndash 風險也較小因攻擊者絕不會進到一個真實的作業系統
bull 高互動性誘捕系統 (High-Interaction Honeypot) ndash 以真實的作業系統與真實的應用程式來運作而非模擬ndash 風險相對較高因攻擊者可能攻陷一個真實的作業系統 並威脅真實的網路
9-11
網路安全
低互動性誘捕系統 (Low-Interaction Honeypot)bull 模擬現有作業系統上的服務bull 監控沒有使用的 IP 位址空間bull 記錄攻擊 bull 主要優勢
ndash 較容易部署與維護ndash 風險亦較小因攻擊者絕不會進到一個真實的作業系統 ndash 例 Honeyd Nepenthes及 Honeytrap
9-12
網路安全
高互動性誘捕系統 (High-Interaction Honeypot)bull 以真實的作業系統來構建提供真實的系統和服務給駭客攻擊bull 不預設一個攻擊者會有什麼樣的行為而提供可以追蹤所有活動的環境bull 缺點
ndash 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器ndash 部署較為複雜技術層面較高
bull 例 Honeywall-ROO HIHAT及 Honeybow
9-13
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端bull Server Honeypot
ndash 傳統的 Honeypot 類型屬於 server Honeypot 主要目標是讓駭客找到並進行攻擊ndash 是被動式的等待攻擊行為發生因為是被動式的若沒有攻擊則無法見到誘捕效果
bull Client Honeypotndash 以主動方式對目標網站進行偵測ndash 分析是否有可疑行為快速判斷並提供警告的訊息ndash 包含請求回應攻擊三個程序
9-14
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
學習目的1 利用誘捕系統找出網路中潛在的威脅2 本模組共有四個小節包括
(1) 誘捕系統簡介 (2) 誘捕系統工具介紹 (3) 誘捕系統的實務 (4) 誘捕系統的專案實作 共需三個鐘點
9-2
網路安全
Module 9誘捕系統實習bull Module 9-1 誘捕系統簡介 () bull Module 9-2 誘捕系統工具介紹 ()bull Module 9-3 誘捕系統的實務 () bull Module 9-4 誘捕系統的專案實作 ()
9-3
初級 (basic) 基礎性教材內容 中級 (moderate) 教師依據學生的吸收情況選擇性介紹本節的內容 高級 (advanced) 適用於深入研究的內容
網路安全
Module 9-1誘捕系統簡介 ()
9-4
網路安全
誘捕系統 (Honeypot) 的介紹bull 誘捕系統 (Honeypot) 受到嚴密監控的網路誘騙系統具有以下特點
ndash 迷惑敵人誘使駭客攻擊 Honeypot 而無暇去攻擊一些系統中比較重要的機器ndash 對新攻擊發出預警ndash 引誘駭客攻擊ndash 對攻擊的行為和過程進行深入的分析研究ndash 使用入侵偵測系統與防火牆等結合使用以提升系統安全性
9-5
網路安全
誘捕系統 (Honeypot) 的重要性bull 建構網路防護系統對未經授權或非法的存取動作進行偵測進而引誘攻擊者入侵組織資訊系統的陷阱
ndash 作為對系統弱點預警及先進的監視工具ndash 減低資訊科技系統及網路遭攻擊的風險ndash 蒐集入侵方法並加以分析為系統的潛在漏洞提供寶貴資訊
bull 程序為
9-6
偵測 誘捕 反制
網路安全
誘捕系統 (Honeypot) 的重要性 (續 )
bull IDS 跟 Honeypot bull 傳統的入侵偵側系統 (IDS)
ndash 它記錄了網路上的流量且尋找攻擊和入侵的線索並針對已知的入侵手法對外來的 attacker 作出警告(alert)
bull Honeypotndash 了解入侵者的攻擊方式並從 Honeynet 所收集來的資訊分析監視未來可能被攻擊的趨勢ndash 學習駭客入侵的工具這些資訊也可被用教作教育訓練並藉以找出作業系統的弱點
9-7
網路安全
誘捕系統 (Honeypot) 的功能bull 誘捕系統模擬成有缺陷的系統等待攻擊者來攻擊藉以蒐集攻擊的手法與方式bull Honeypot 解決 IDS 或防火牆記錄等資訊過量問題 bull 為一個模擬或真實的網路系統bull 隱藏在防火牆後面所有進出的資料皆受到監視bull 使用不同的作業系統及設備如 Solaris LinuxWindows NT及 Cisco Switch
9-8
網路安全
誘捕系統 (Honeypot) 的功能 (續 )
bull 不同的系統平台上面運行著不同的服務ndash 例 Linux 的 DNS server Windows NT 的
webserver或 Solaris的 FTP Serverndash 入侵者會將目標定於幾個特定的系統漏洞上ndash 不同的服務有不同的攻擊手法ndash 分析記錄使我們了解服務的弱點
9-9
網路安全
誘捕系統 (Honeypot) 的分類 - 真實與虛擬真實 Honeypot 虛擬 Honeypot
成本 昂貴 廉價風險 低 高優勢 1 仿真 FTP 伺服器並監視所有的 TCP和 UDP 埠並記錄所有埠的活動情況
2 會對駭客的行為作出回應3沒有真正的作業系統不怕被控制
1 有真實的作業系統因此對於駭客的操作回應與其他主機一樣故駭客難以察覺2 入侵檢測能力佳
劣勢 1只能欺騙等級較差的駭客2 記錄的資訊種類有限3 可記錄已知的攻擊種類卻無法偵測到新型的攻擊
1 可能被厲害的駭客破解並進攻正常網路危及正常網路的運作
資料來源 行政院 國家資通安全會報 - 技術服務中心 - 資安論壇 httpforumicstorgtw
9-10
網路安全
誘捕系統 (Honeypot) 的分類bull 低互動性誘捕系統 (Low-Interaction Honeypot)
ndash 提供有限的服務藉由模擬服務與作業系統來運作ndash 風險也較小因攻擊者絕不會進到一個真實的作業系統
bull 高互動性誘捕系統 (High-Interaction Honeypot) ndash 以真實的作業系統與真實的應用程式來運作而非模擬ndash 風險相對較高因攻擊者可能攻陷一個真實的作業系統 並威脅真實的網路
9-11
網路安全
低互動性誘捕系統 (Low-Interaction Honeypot)bull 模擬現有作業系統上的服務bull 監控沒有使用的 IP 位址空間bull 記錄攻擊 bull 主要優勢
ndash 較容易部署與維護ndash 風險亦較小因攻擊者絕不會進到一個真實的作業系統 ndash 例 Honeyd Nepenthes及 Honeytrap
9-12
網路安全
高互動性誘捕系統 (High-Interaction Honeypot)bull 以真實的作業系統來構建提供真實的系統和服務給駭客攻擊bull 不預設一個攻擊者會有什麼樣的行為而提供可以追蹤所有活動的環境bull 缺點
ndash 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器ndash 部署較為複雜技術層面較高
bull 例 Honeywall-ROO HIHAT及 Honeybow
9-13
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端bull Server Honeypot
ndash 傳統的 Honeypot 類型屬於 server Honeypot 主要目標是讓駭客找到並進行攻擊ndash 是被動式的等待攻擊行為發生因為是被動式的若沒有攻擊則無法見到誘捕效果
bull Client Honeypotndash 以主動方式對目標網站進行偵測ndash 分析是否有可疑行為快速判斷並提供警告的訊息ndash 包含請求回應攻擊三個程序
9-14
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Module 9誘捕系統實習bull Module 9-1 誘捕系統簡介 () bull Module 9-2 誘捕系統工具介紹 ()bull Module 9-3 誘捕系統的實務 () bull Module 9-4 誘捕系統的專案實作 ()
9-3
初級 (basic) 基礎性教材內容 中級 (moderate) 教師依據學生的吸收情況選擇性介紹本節的內容 高級 (advanced) 適用於深入研究的內容
網路安全
Module 9-1誘捕系統簡介 ()
9-4
網路安全
誘捕系統 (Honeypot) 的介紹bull 誘捕系統 (Honeypot) 受到嚴密監控的網路誘騙系統具有以下特點
ndash 迷惑敵人誘使駭客攻擊 Honeypot 而無暇去攻擊一些系統中比較重要的機器ndash 對新攻擊發出預警ndash 引誘駭客攻擊ndash 對攻擊的行為和過程進行深入的分析研究ndash 使用入侵偵測系統與防火牆等結合使用以提升系統安全性
9-5
網路安全
誘捕系統 (Honeypot) 的重要性bull 建構網路防護系統對未經授權或非法的存取動作進行偵測進而引誘攻擊者入侵組織資訊系統的陷阱
ndash 作為對系統弱點預警及先進的監視工具ndash 減低資訊科技系統及網路遭攻擊的風險ndash 蒐集入侵方法並加以分析為系統的潛在漏洞提供寶貴資訊
bull 程序為
9-6
偵測 誘捕 反制
網路安全
誘捕系統 (Honeypot) 的重要性 (續 )
bull IDS 跟 Honeypot bull 傳統的入侵偵側系統 (IDS)
ndash 它記錄了網路上的流量且尋找攻擊和入侵的線索並針對已知的入侵手法對外來的 attacker 作出警告(alert)
bull Honeypotndash 了解入侵者的攻擊方式並從 Honeynet 所收集來的資訊分析監視未來可能被攻擊的趨勢ndash 學習駭客入侵的工具這些資訊也可被用教作教育訓練並藉以找出作業系統的弱點
9-7
網路安全
誘捕系統 (Honeypot) 的功能bull 誘捕系統模擬成有缺陷的系統等待攻擊者來攻擊藉以蒐集攻擊的手法與方式bull Honeypot 解決 IDS 或防火牆記錄等資訊過量問題 bull 為一個模擬或真實的網路系統bull 隱藏在防火牆後面所有進出的資料皆受到監視bull 使用不同的作業系統及設備如 Solaris LinuxWindows NT及 Cisco Switch
9-8
網路安全
誘捕系統 (Honeypot) 的功能 (續 )
bull 不同的系統平台上面運行著不同的服務ndash 例 Linux 的 DNS server Windows NT 的
webserver或 Solaris的 FTP Serverndash 入侵者會將目標定於幾個特定的系統漏洞上ndash 不同的服務有不同的攻擊手法ndash 分析記錄使我們了解服務的弱點
9-9
網路安全
誘捕系統 (Honeypot) 的分類 - 真實與虛擬真實 Honeypot 虛擬 Honeypot
成本 昂貴 廉價風險 低 高優勢 1 仿真 FTP 伺服器並監視所有的 TCP和 UDP 埠並記錄所有埠的活動情況
2 會對駭客的行為作出回應3沒有真正的作業系統不怕被控制
1 有真實的作業系統因此對於駭客的操作回應與其他主機一樣故駭客難以察覺2 入侵檢測能力佳
劣勢 1只能欺騙等級較差的駭客2 記錄的資訊種類有限3 可記錄已知的攻擊種類卻無法偵測到新型的攻擊
1 可能被厲害的駭客破解並進攻正常網路危及正常網路的運作
資料來源 行政院 國家資通安全會報 - 技術服務中心 - 資安論壇 httpforumicstorgtw
9-10
網路安全
誘捕系統 (Honeypot) 的分類bull 低互動性誘捕系統 (Low-Interaction Honeypot)
ndash 提供有限的服務藉由模擬服務與作業系統來運作ndash 風險也較小因攻擊者絕不會進到一個真實的作業系統
bull 高互動性誘捕系統 (High-Interaction Honeypot) ndash 以真實的作業系統與真實的應用程式來運作而非模擬ndash 風險相對較高因攻擊者可能攻陷一個真實的作業系統 並威脅真實的網路
9-11
網路安全
低互動性誘捕系統 (Low-Interaction Honeypot)bull 模擬現有作業系統上的服務bull 監控沒有使用的 IP 位址空間bull 記錄攻擊 bull 主要優勢
ndash 較容易部署與維護ndash 風險亦較小因攻擊者絕不會進到一個真實的作業系統 ndash 例 Honeyd Nepenthes及 Honeytrap
9-12
網路安全
高互動性誘捕系統 (High-Interaction Honeypot)bull 以真實的作業系統來構建提供真實的系統和服務給駭客攻擊bull 不預設一個攻擊者會有什麼樣的行為而提供可以追蹤所有活動的環境bull 缺點
ndash 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器ndash 部署較為複雜技術層面較高
bull 例 Honeywall-ROO HIHAT及 Honeybow
9-13
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端bull Server Honeypot
ndash 傳統的 Honeypot 類型屬於 server Honeypot 主要目標是讓駭客找到並進行攻擊ndash 是被動式的等待攻擊行為發生因為是被動式的若沒有攻擊則無法見到誘捕效果
bull Client Honeypotndash 以主動方式對目標網站進行偵測ndash 分析是否有可疑行為快速判斷並提供警告的訊息ndash 包含請求回應攻擊三個程序
9-14
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Module 9-1誘捕系統簡介 ()
9-4
網路安全
誘捕系統 (Honeypot) 的介紹bull 誘捕系統 (Honeypot) 受到嚴密監控的網路誘騙系統具有以下特點
ndash 迷惑敵人誘使駭客攻擊 Honeypot 而無暇去攻擊一些系統中比較重要的機器ndash 對新攻擊發出預警ndash 引誘駭客攻擊ndash 對攻擊的行為和過程進行深入的分析研究ndash 使用入侵偵測系統與防火牆等結合使用以提升系統安全性
9-5
網路安全
誘捕系統 (Honeypot) 的重要性bull 建構網路防護系統對未經授權或非法的存取動作進行偵測進而引誘攻擊者入侵組織資訊系統的陷阱
ndash 作為對系統弱點預警及先進的監視工具ndash 減低資訊科技系統及網路遭攻擊的風險ndash 蒐集入侵方法並加以分析為系統的潛在漏洞提供寶貴資訊
bull 程序為
9-6
偵測 誘捕 反制
網路安全
誘捕系統 (Honeypot) 的重要性 (續 )
bull IDS 跟 Honeypot bull 傳統的入侵偵側系統 (IDS)
ndash 它記錄了網路上的流量且尋找攻擊和入侵的線索並針對已知的入侵手法對外來的 attacker 作出警告(alert)
bull Honeypotndash 了解入侵者的攻擊方式並從 Honeynet 所收集來的資訊分析監視未來可能被攻擊的趨勢ndash 學習駭客入侵的工具這些資訊也可被用教作教育訓練並藉以找出作業系統的弱點
9-7
網路安全
誘捕系統 (Honeypot) 的功能bull 誘捕系統模擬成有缺陷的系統等待攻擊者來攻擊藉以蒐集攻擊的手法與方式bull Honeypot 解決 IDS 或防火牆記錄等資訊過量問題 bull 為一個模擬或真實的網路系統bull 隱藏在防火牆後面所有進出的資料皆受到監視bull 使用不同的作業系統及設備如 Solaris LinuxWindows NT及 Cisco Switch
9-8
網路安全
誘捕系統 (Honeypot) 的功能 (續 )
bull 不同的系統平台上面運行著不同的服務ndash 例 Linux 的 DNS server Windows NT 的
webserver或 Solaris的 FTP Serverndash 入侵者會將目標定於幾個特定的系統漏洞上ndash 不同的服務有不同的攻擊手法ndash 分析記錄使我們了解服務的弱點
9-9
網路安全
誘捕系統 (Honeypot) 的分類 - 真實與虛擬真實 Honeypot 虛擬 Honeypot
成本 昂貴 廉價風險 低 高優勢 1 仿真 FTP 伺服器並監視所有的 TCP和 UDP 埠並記錄所有埠的活動情況
2 會對駭客的行為作出回應3沒有真正的作業系統不怕被控制
1 有真實的作業系統因此對於駭客的操作回應與其他主機一樣故駭客難以察覺2 入侵檢測能力佳
劣勢 1只能欺騙等級較差的駭客2 記錄的資訊種類有限3 可記錄已知的攻擊種類卻無法偵測到新型的攻擊
1 可能被厲害的駭客破解並進攻正常網路危及正常網路的運作
資料來源 行政院 國家資通安全會報 - 技術服務中心 - 資安論壇 httpforumicstorgtw
9-10
網路安全
誘捕系統 (Honeypot) 的分類bull 低互動性誘捕系統 (Low-Interaction Honeypot)
ndash 提供有限的服務藉由模擬服務與作業系統來運作ndash 風險也較小因攻擊者絕不會進到一個真實的作業系統
bull 高互動性誘捕系統 (High-Interaction Honeypot) ndash 以真實的作業系統與真實的應用程式來運作而非模擬ndash 風險相對較高因攻擊者可能攻陷一個真實的作業系統 並威脅真實的網路
9-11
網路安全
低互動性誘捕系統 (Low-Interaction Honeypot)bull 模擬現有作業系統上的服務bull 監控沒有使用的 IP 位址空間bull 記錄攻擊 bull 主要優勢
ndash 較容易部署與維護ndash 風險亦較小因攻擊者絕不會進到一個真實的作業系統 ndash 例 Honeyd Nepenthes及 Honeytrap
9-12
網路安全
高互動性誘捕系統 (High-Interaction Honeypot)bull 以真實的作業系統來構建提供真實的系統和服務給駭客攻擊bull 不預設一個攻擊者會有什麼樣的行為而提供可以追蹤所有活動的環境bull 缺點
ndash 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器ndash 部署較為複雜技術層面較高
bull 例 Honeywall-ROO HIHAT及 Honeybow
9-13
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端bull Server Honeypot
ndash 傳統的 Honeypot 類型屬於 server Honeypot 主要目標是讓駭客找到並進行攻擊ndash 是被動式的等待攻擊行為發生因為是被動式的若沒有攻擊則無法見到誘捕效果
bull Client Honeypotndash 以主動方式對目標網站進行偵測ndash 分析是否有可疑行為快速判斷並提供警告的訊息ndash 包含請求回應攻擊三個程序
9-14
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 的介紹bull 誘捕系統 (Honeypot) 受到嚴密監控的網路誘騙系統具有以下特點
ndash 迷惑敵人誘使駭客攻擊 Honeypot 而無暇去攻擊一些系統中比較重要的機器ndash 對新攻擊發出預警ndash 引誘駭客攻擊ndash 對攻擊的行為和過程進行深入的分析研究ndash 使用入侵偵測系統與防火牆等結合使用以提升系統安全性
9-5
網路安全
誘捕系統 (Honeypot) 的重要性bull 建構網路防護系統對未經授權或非法的存取動作進行偵測進而引誘攻擊者入侵組織資訊系統的陷阱
ndash 作為對系統弱點預警及先進的監視工具ndash 減低資訊科技系統及網路遭攻擊的風險ndash 蒐集入侵方法並加以分析為系統的潛在漏洞提供寶貴資訊
bull 程序為
9-6
偵測 誘捕 反制
網路安全
誘捕系統 (Honeypot) 的重要性 (續 )
bull IDS 跟 Honeypot bull 傳統的入侵偵側系統 (IDS)
ndash 它記錄了網路上的流量且尋找攻擊和入侵的線索並針對已知的入侵手法對外來的 attacker 作出警告(alert)
bull Honeypotndash 了解入侵者的攻擊方式並從 Honeynet 所收集來的資訊分析監視未來可能被攻擊的趨勢ndash 學習駭客入侵的工具這些資訊也可被用教作教育訓練並藉以找出作業系統的弱點
9-7
網路安全
誘捕系統 (Honeypot) 的功能bull 誘捕系統模擬成有缺陷的系統等待攻擊者來攻擊藉以蒐集攻擊的手法與方式bull Honeypot 解決 IDS 或防火牆記錄等資訊過量問題 bull 為一個模擬或真實的網路系統bull 隱藏在防火牆後面所有進出的資料皆受到監視bull 使用不同的作業系統及設備如 Solaris LinuxWindows NT及 Cisco Switch
9-8
網路安全
誘捕系統 (Honeypot) 的功能 (續 )
bull 不同的系統平台上面運行著不同的服務ndash 例 Linux 的 DNS server Windows NT 的
webserver或 Solaris的 FTP Serverndash 入侵者會將目標定於幾個特定的系統漏洞上ndash 不同的服務有不同的攻擊手法ndash 分析記錄使我們了解服務的弱點
9-9
網路安全
誘捕系統 (Honeypot) 的分類 - 真實與虛擬真實 Honeypot 虛擬 Honeypot
成本 昂貴 廉價風險 低 高優勢 1 仿真 FTP 伺服器並監視所有的 TCP和 UDP 埠並記錄所有埠的活動情況
2 會對駭客的行為作出回應3沒有真正的作業系統不怕被控制
1 有真實的作業系統因此對於駭客的操作回應與其他主機一樣故駭客難以察覺2 入侵檢測能力佳
劣勢 1只能欺騙等級較差的駭客2 記錄的資訊種類有限3 可記錄已知的攻擊種類卻無法偵測到新型的攻擊
1 可能被厲害的駭客破解並進攻正常網路危及正常網路的運作
資料來源 行政院 國家資通安全會報 - 技術服務中心 - 資安論壇 httpforumicstorgtw
9-10
網路安全
誘捕系統 (Honeypot) 的分類bull 低互動性誘捕系統 (Low-Interaction Honeypot)
ndash 提供有限的服務藉由模擬服務與作業系統來運作ndash 風險也較小因攻擊者絕不會進到一個真實的作業系統
bull 高互動性誘捕系統 (High-Interaction Honeypot) ndash 以真實的作業系統與真實的應用程式來運作而非模擬ndash 風險相對較高因攻擊者可能攻陷一個真實的作業系統 並威脅真實的網路
9-11
網路安全
低互動性誘捕系統 (Low-Interaction Honeypot)bull 模擬現有作業系統上的服務bull 監控沒有使用的 IP 位址空間bull 記錄攻擊 bull 主要優勢
ndash 較容易部署與維護ndash 風險亦較小因攻擊者絕不會進到一個真實的作業系統 ndash 例 Honeyd Nepenthes及 Honeytrap
9-12
網路安全
高互動性誘捕系統 (High-Interaction Honeypot)bull 以真實的作業系統來構建提供真實的系統和服務給駭客攻擊bull 不預設一個攻擊者會有什麼樣的行為而提供可以追蹤所有活動的環境bull 缺點
ndash 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器ndash 部署較為複雜技術層面較高
bull 例 Honeywall-ROO HIHAT及 Honeybow
9-13
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端bull Server Honeypot
ndash 傳統的 Honeypot 類型屬於 server Honeypot 主要目標是讓駭客找到並進行攻擊ndash 是被動式的等待攻擊行為發生因為是被動式的若沒有攻擊則無法見到誘捕效果
bull Client Honeypotndash 以主動方式對目標網站進行偵測ndash 分析是否有可疑行為快速判斷並提供警告的訊息ndash 包含請求回應攻擊三個程序
9-14
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 的重要性bull 建構網路防護系統對未經授權或非法的存取動作進行偵測進而引誘攻擊者入侵組織資訊系統的陷阱
ndash 作為對系統弱點預警及先進的監視工具ndash 減低資訊科技系統及網路遭攻擊的風險ndash 蒐集入侵方法並加以分析為系統的潛在漏洞提供寶貴資訊
bull 程序為
9-6
偵測 誘捕 反制
網路安全
誘捕系統 (Honeypot) 的重要性 (續 )
bull IDS 跟 Honeypot bull 傳統的入侵偵側系統 (IDS)
ndash 它記錄了網路上的流量且尋找攻擊和入侵的線索並針對已知的入侵手法對外來的 attacker 作出警告(alert)
bull Honeypotndash 了解入侵者的攻擊方式並從 Honeynet 所收集來的資訊分析監視未來可能被攻擊的趨勢ndash 學習駭客入侵的工具這些資訊也可被用教作教育訓練並藉以找出作業系統的弱點
9-7
網路安全
誘捕系統 (Honeypot) 的功能bull 誘捕系統模擬成有缺陷的系統等待攻擊者來攻擊藉以蒐集攻擊的手法與方式bull Honeypot 解決 IDS 或防火牆記錄等資訊過量問題 bull 為一個模擬或真實的網路系統bull 隱藏在防火牆後面所有進出的資料皆受到監視bull 使用不同的作業系統及設備如 Solaris LinuxWindows NT及 Cisco Switch
9-8
網路安全
誘捕系統 (Honeypot) 的功能 (續 )
bull 不同的系統平台上面運行著不同的服務ndash 例 Linux 的 DNS server Windows NT 的
webserver或 Solaris的 FTP Serverndash 入侵者會將目標定於幾個特定的系統漏洞上ndash 不同的服務有不同的攻擊手法ndash 分析記錄使我們了解服務的弱點
9-9
網路安全
誘捕系統 (Honeypot) 的分類 - 真實與虛擬真實 Honeypot 虛擬 Honeypot
成本 昂貴 廉價風險 低 高優勢 1 仿真 FTP 伺服器並監視所有的 TCP和 UDP 埠並記錄所有埠的活動情況
2 會對駭客的行為作出回應3沒有真正的作業系統不怕被控制
1 有真實的作業系統因此對於駭客的操作回應與其他主機一樣故駭客難以察覺2 入侵檢測能力佳
劣勢 1只能欺騙等級較差的駭客2 記錄的資訊種類有限3 可記錄已知的攻擊種類卻無法偵測到新型的攻擊
1 可能被厲害的駭客破解並進攻正常網路危及正常網路的運作
資料來源 行政院 國家資通安全會報 - 技術服務中心 - 資安論壇 httpforumicstorgtw
9-10
網路安全
誘捕系統 (Honeypot) 的分類bull 低互動性誘捕系統 (Low-Interaction Honeypot)
ndash 提供有限的服務藉由模擬服務與作業系統來運作ndash 風險也較小因攻擊者絕不會進到一個真實的作業系統
bull 高互動性誘捕系統 (High-Interaction Honeypot) ndash 以真實的作業系統與真實的應用程式來運作而非模擬ndash 風險相對較高因攻擊者可能攻陷一個真實的作業系統 並威脅真實的網路
9-11
網路安全
低互動性誘捕系統 (Low-Interaction Honeypot)bull 模擬現有作業系統上的服務bull 監控沒有使用的 IP 位址空間bull 記錄攻擊 bull 主要優勢
ndash 較容易部署與維護ndash 風險亦較小因攻擊者絕不會進到一個真實的作業系統 ndash 例 Honeyd Nepenthes及 Honeytrap
9-12
網路安全
高互動性誘捕系統 (High-Interaction Honeypot)bull 以真實的作業系統來構建提供真實的系統和服務給駭客攻擊bull 不預設一個攻擊者會有什麼樣的行為而提供可以追蹤所有活動的環境bull 缺點
ndash 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器ndash 部署較為複雜技術層面較高
bull 例 Honeywall-ROO HIHAT及 Honeybow
9-13
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端bull Server Honeypot
ndash 傳統的 Honeypot 類型屬於 server Honeypot 主要目標是讓駭客找到並進行攻擊ndash 是被動式的等待攻擊行為發生因為是被動式的若沒有攻擊則無法見到誘捕效果
bull Client Honeypotndash 以主動方式對目標網站進行偵測ndash 分析是否有可疑行為快速判斷並提供警告的訊息ndash 包含請求回應攻擊三個程序
9-14
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 的重要性 (續 )
bull IDS 跟 Honeypot bull 傳統的入侵偵側系統 (IDS)
ndash 它記錄了網路上的流量且尋找攻擊和入侵的線索並針對已知的入侵手法對外來的 attacker 作出警告(alert)
bull Honeypotndash 了解入侵者的攻擊方式並從 Honeynet 所收集來的資訊分析監視未來可能被攻擊的趨勢ndash 學習駭客入侵的工具這些資訊也可被用教作教育訓練並藉以找出作業系統的弱點
9-7
網路安全
誘捕系統 (Honeypot) 的功能bull 誘捕系統模擬成有缺陷的系統等待攻擊者來攻擊藉以蒐集攻擊的手法與方式bull Honeypot 解決 IDS 或防火牆記錄等資訊過量問題 bull 為一個模擬或真實的網路系統bull 隱藏在防火牆後面所有進出的資料皆受到監視bull 使用不同的作業系統及設備如 Solaris LinuxWindows NT及 Cisco Switch
9-8
網路安全
誘捕系統 (Honeypot) 的功能 (續 )
bull 不同的系統平台上面運行著不同的服務ndash 例 Linux 的 DNS server Windows NT 的
webserver或 Solaris的 FTP Serverndash 入侵者會將目標定於幾個特定的系統漏洞上ndash 不同的服務有不同的攻擊手法ndash 分析記錄使我們了解服務的弱點
9-9
網路安全
誘捕系統 (Honeypot) 的分類 - 真實與虛擬真實 Honeypot 虛擬 Honeypot
成本 昂貴 廉價風險 低 高優勢 1 仿真 FTP 伺服器並監視所有的 TCP和 UDP 埠並記錄所有埠的活動情況
2 會對駭客的行為作出回應3沒有真正的作業系統不怕被控制
1 有真實的作業系統因此對於駭客的操作回應與其他主機一樣故駭客難以察覺2 入侵檢測能力佳
劣勢 1只能欺騙等級較差的駭客2 記錄的資訊種類有限3 可記錄已知的攻擊種類卻無法偵測到新型的攻擊
1 可能被厲害的駭客破解並進攻正常網路危及正常網路的運作
資料來源 行政院 國家資通安全會報 - 技術服務中心 - 資安論壇 httpforumicstorgtw
9-10
網路安全
誘捕系統 (Honeypot) 的分類bull 低互動性誘捕系統 (Low-Interaction Honeypot)
ndash 提供有限的服務藉由模擬服務與作業系統來運作ndash 風險也較小因攻擊者絕不會進到一個真實的作業系統
bull 高互動性誘捕系統 (High-Interaction Honeypot) ndash 以真實的作業系統與真實的應用程式來運作而非模擬ndash 風險相對較高因攻擊者可能攻陷一個真實的作業系統 並威脅真實的網路
9-11
網路安全
低互動性誘捕系統 (Low-Interaction Honeypot)bull 模擬現有作業系統上的服務bull 監控沒有使用的 IP 位址空間bull 記錄攻擊 bull 主要優勢
ndash 較容易部署與維護ndash 風險亦較小因攻擊者絕不會進到一個真實的作業系統 ndash 例 Honeyd Nepenthes及 Honeytrap
9-12
網路安全
高互動性誘捕系統 (High-Interaction Honeypot)bull 以真實的作業系統來構建提供真實的系統和服務給駭客攻擊bull 不預設一個攻擊者會有什麼樣的行為而提供可以追蹤所有活動的環境bull 缺點
ndash 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器ndash 部署較為複雜技術層面較高
bull 例 Honeywall-ROO HIHAT及 Honeybow
9-13
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端bull Server Honeypot
ndash 傳統的 Honeypot 類型屬於 server Honeypot 主要目標是讓駭客找到並進行攻擊ndash 是被動式的等待攻擊行為發生因為是被動式的若沒有攻擊則無法見到誘捕效果
bull Client Honeypotndash 以主動方式對目標網站進行偵測ndash 分析是否有可疑行為快速判斷並提供警告的訊息ndash 包含請求回應攻擊三個程序
9-14
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 的功能bull 誘捕系統模擬成有缺陷的系統等待攻擊者來攻擊藉以蒐集攻擊的手法與方式bull Honeypot 解決 IDS 或防火牆記錄等資訊過量問題 bull 為一個模擬或真實的網路系統bull 隱藏在防火牆後面所有進出的資料皆受到監視bull 使用不同的作業系統及設備如 Solaris LinuxWindows NT及 Cisco Switch
9-8
網路安全
誘捕系統 (Honeypot) 的功能 (續 )
bull 不同的系統平台上面運行著不同的服務ndash 例 Linux 的 DNS server Windows NT 的
webserver或 Solaris的 FTP Serverndash 入侵者會將目標定於幾個特定的系統漏洞上ndash 不同的服務有不同的攻擊手法ndash 分析記錄使我們了解服務的弱點
9-9
網路安全
誘捕系統 (Honeypot) 的分類 - 真實與虛擬真實 Honeypot 虛擬 Honeypot
成本 昂貴 廉價風險 低 高優勢 1 仿真 FTP 伺服器並監視所有的 TCP和 UDP 埠並記錄所有埠的活動情況
2 會對駭客的行為作出回應3沒有真正的作業系統不怕被控制
1 有真實的作業系統因此對於駭客的操作回應與其他主機一樣故駭客難以察覺2 入侵檢測能力佳
劣勢 1只能欺騙等級較差的駭客2 記錄的資訊種類有限3 可記錄已知的攻擊種類卻無法偵測到新型的攻擊
1 可能被厲害的駭客破解並進攻正常網路危及正常網路的運作
資料來源 行政院 國家資通安全會報 - 技術服務中心 - 資安論壇 httpforumicstorgtw
9-10
網路安全
誘捕系統 (Honeypot) 的分類bull 低互動性誘捕系統 (Low-Interaction Honeypot)
ndash 提供有限的服務藉由模擬服務與作業系統來運作ndash 風險也較小因攻擊者絕不會進到一個真實的作業系統
bull 高互動性誘捕系統 (High-Interaction Honeypot) ndash 以真實的作業系統與真實的應用程式來運作而非模擬ndash 風險相對較高因攻擊者可能攻陷一個真實的作業系統 並威脅真實的網路
9-11
網路安全
低互動性誘捕系統 (Low-Interaction Honeypot)bull 模擬現有作業系統上的服務bull 監控沒有使用的 IP 位址空間bull 記錄攻擊 bull 主要優勢
ndash 較容易部署與維護ndash 風險亦較小因攻擊者絕不會進到一個真實的作業系統 ndash 例 Honeyd Nepenthes及 Honeytrap
9-12
網路安全
高互動性誘捕系統 (High-Interaction Honeypot)bull 以真實的作業系統來構建提供真實的系統和服務給駭客攻擊bull 不預設一個攻擊者會有什麼樣的行為而提供可以追蹤所有活動的環境bull 缺點
ndash 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器ndash 部署較為複雜技術層面較高
bull 例 Honeywall-ROO HIHAT及 Honeybow
9-13
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端bull Server Honeypot
ndash 傳統的 Honeypot 類型屬於 server Honeypot 主要目標是讓駭客找到並進行攻擊ndash 是被動式的等待攻擊行為發生因為是被動式的若沒有攻擊則無法見到誘捕效果
bull Client Honeypotndash 以主動方式對目標網站進行偵測ndash 分析是否有可疑行為快速判斷並提供警告的訊息ndash 包含請求回應攻擊三個程序
9-14
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 的功能 (續 )
bull 不同的系統平台上面運行著不同的服務ndash 例 Linux 的 DNS server Windows NT 的
webserver或 Solaris的 FTP Serverndash 入侵者會將目標定於幾個特定的系統漏洞上ndash 不同的服務有不同的攻擊手法ndash 分析記錄使我們了解服務的弱點
9-9
網路安全
誘捕系統 (Honeypot) 的分類 - 真實與虛擬真實 Honeypot 虛擬 Honeypot
成本 昂貴 廉價風險 低 高優勢 1 仿真 FTP 伺服器並監視所有的 TCP和 UDP 埠並記錄所有埠的活動情況
2 會對駭客的行為作出回應3沒有真正的作業系統不怕被控制
1 有真實的作業系統因此對於駭客的操作回應與其他主機一樣故駭客難以察覺2 入侵檢測能力佳
劣勢 1只能欺騙等級較差的駭客2 記錄的資訊種類有限3 可記錄已知的攻擊種類卻無法偵測到新型的攻擊
1 可能被厲害的駭客破解並進攻正常網路危及正常網路的運作
資料來源 行政院 國家資通安全會報 - 技術服務中心 - 資安論壇 httpforumicstorgtw
9-10
網路安全
誘捕系統 (Honeypot) 的分類bull 低互動性誘捕系統 (Low-Interaction Honeypot)
ndash 提供有限的服務藉由模擬服務與作業系統來運作ndash 風險也較小因攻擊者絕不會進到一個真實的作業系統
bull 高互動性誘捕系統 (High-Interaction Honeypot) ndash 以真實的作業系統與真實的應用程式來運作而非模擬ndash 風險相對較高因攻擊者可能攻陷一個真實的作業系統 並威脅真實的網路
9-11
網路安全
低互動性誘捕系統 (Low-Interaction Honeypot)bull 模擬現有作業系統上的服務bull 監控沒有使用的 IP 位址空間bull 記錄攻擊 bull 主要優勢
ndash 較容易部署與維護ndash 風險亦較小因攻擊者絕不會進到一個真實的作業系統 ndash 例 Honeyd Nepenthes及 Honeytrap
9-12
網路安全
高互動性誘捕系統 (High-Interaction Honeypot)bull 以真實的作業系統來構建提供真實的系統和服務給駭客攻擊bull 不預設一個攻擊者會有什麼樣的行為而提供可以追蹤所有活動的環境bull 缺點
ndash 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器ndash 部署較為複雜技術層面較高
bull 例 Honeywall-ROO HIHAT及 Honeybow
9-13
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端bull Server Honeypot
ndash 傳統的 Honeypot 類型屬於 server Honeypot 主要目標是讓駭客找到並進行攻擊ndash 是被動式的等待攻擊行為發生因為是被動式的若沒有攻擊則無法見到誘捕效果
bull Client Honeypotndash 以主動方式對目標網站進行偵測ndash 分析是否有可疑行為快速判斷並提供警告的訊息ndash 包含請求回應攻擊三個程序
9-14
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 的分類 - 真實與虛擬真實 Honeypot 虛擬 Honeypot
成本 昂貴 廉價風險 低 高優勢 1 仿真 FTP 伺服器並監視所有的 TCP和 UDP 埠並記錄所有埠的活動情況
2 會對駭客的行為作出回應3沒有真正的作業系統不怕被控制
1 有真實的作業系統因此對於駭客的操作回應與其他主機一樣故駭客難以察覺2 入侵檢測能力佳
劣勢 1只能欺騙等級較差的駭客2 記錄的資訊種類有限3 可記錄已知的攻擊種類卻無法偵測到新型的攻擊
1 可能被厲害的駭客破解並進攻正常網路危及正常網路的運作
資料來源 行政院 國家資通安全會報 - 技術服務中心 - 資安論壇 httpforumicstorgtw
9-10
網路安全
誘捕系統 (Honeypot) 的分類bull 低互動性誘捕系統 (Low-Interaction Honeypot)
ndash 提供有限的服務藉由模擬服務與作業系統來運作ndash 風險也較小因攻擊者絕不會進到一個真實的作業系統
bull 高互動性誘捕系統 (High-Interaction Honeypot) ndash 以真實的作業系統與真實的應用程式來運作而非模擬ndash 風險相對較高因攻擊者可能攻陷一個真實的作業系統 並威脅真實的網路
9-11
網路安全
低互動性誘捕系統 (Low-Interaction Honeypot)bull 模擬現有作業系統上的服務bull 監控沒有使用的 IP 位址空間bull 記錄攻擊 bull 主要優勢
ndash 較容易部署與維護ndash 風險亦較小因攻擊者絕不會進到一個真實的作業系統 ndash 例 Honeyd Nepenthes及 Honeytrap
9-12
網路安全
高互動性誘捕系統 (High-Interaction Honeypot)bull 以真實的作業系統來構建提供真實的系統和服務給駭客攻擊bull 不預設一個攻擊者會有什麼樣的行為而提供可以追蹤所有活動的環境bull 缺點
ndash 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器ndash 部署較為複雜技術層面較高
bull 例 Honeywall-ROO HIHAT及 Honeybow
9-13
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端bull Server Honeypot
ndash 傳統的 Honeypot 類型屬於 server Honeypot 主要目標是讓駭客找到並進行攻擊ndash 是被動式的等待攻擊行為發生因為是被動式的若沒有攻擊則無法見到誘捕效果
bull Client Honeypotndash 以主動方式對目標網站進行偵測ndash 分析是否有可疑行為快速判斷並提供警告的訊息ndash 包含請求回應攻擊三個程序
9-14
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 的分類bull 低互動性誘捕系統 (Low-Interaction Honeypot)
ndash 提供有限的服務藉由模擬服務與作業系統來運作ndash 風險也較小因攻擊者絕不會進到一個真實的作業系統
bull 高互動性誘捕系統 (High-Interaction Honeypot) ndash 以真實的作業系統與真實的應用程式來運作而非模擬ndash 風險相對較高因攻擊者可能攻陷一個真實的作業系統 並威脅真實的網路
9-11
網路安全
低互動性誘捕系統 (Low-Interaction Honeypot)bull 模擬現有作業系統上的服務bull 監控沒有使用的 IP 位址空間bull 記錄攻擊 bull 主要優勢
ndash 較容易部署與維護ndash 風險亦較小因攻擊者絕不會進到一個真實的作業系統 ndash 例 Honeyd Nepenthes及 Honeytrap
9-12
網路安全
高互動性誘捕系統 (High-Interaction Honeypot)bull 以真實的作業系統來構建提供真實的系統和服務給駭客攻擊bull 不預設一個攻擊者會有什麼樣的行為而提供可以追蹤所有活動的環境bull 缺點
ndash 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器ndash 部署較為複雜技術層面較高
bull 例 Honeywall-ROO HIHAT及 Honeybow
9-13
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端bull Server Honeypot
ndash 傳統的 Honeypot 類型屬於 server Honeypot 主要目標是讓駭客找到並進行攻擊ndash 是被動式的等待攻擊行為發生因為是被動式的若沒有攻擊則無法見到誘捕效果
bull Client Honeypotndash 以主動方式對目標網站進行偵測ndash 分析是否有可疑行為快速判斷並提供警告的訊息ndash 包含請求回應攻擊三個程序
9-14
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
低互動性誘捕系統 (Low-Interaction Honeypot)bull 模擬現有作業系統上的服務bull 監控沒有使用的 IP 位址空間bull 記錄攻擊 bull 主要優勢
ndash 較容易部署與維護ndash 風險亦較小因攻擊者絕不會進到一個真實的作業系統 ndash 例 Honeyd Nepenthes及 Honeytrap
9-12
網路安全
高互動性誘捕系統 (High-Interaction Honeypot)bull 以真實的作業系統來構建提供真實的系統和服務給駭客攻擊bull 不預設一個攻擊者會有什麼樣的行為而提供可以追蹤所有活動的環境bull 缺點
ndash 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器ndash 部署較為複雜技術層面較高
bull 例 Honeywall-ROO HIHAT及 Honeybow
9-13
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端bull Server Honeypot
ndash 傳統的 Honeypot 類型屬於 server Honeypot 主要目標是讓駭客找到並進行攻擊ndash 是被動式的等待攻擊行為發生因為是被動式的若沒有攻擊則無法見到誘捕效果
bull Client Honeypotndash 以主動方式對目標網站進行偵測ndash 分析是否有可疑行為快速判斷並提供警告的訊息ndash 包含請求回應攻擊三個程序
9-14
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
高互動性誘捕系統 (High-Interaction Honeypot)bull 以真實的作業系統來構建提供真實的系統和服務給駭客攻擊bull 不預設一個攻擊者會有什麼樣的行為而提供可以追蹤所有活動的環境bull 缺點
ndash 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器ndash 部署較為複雜技術層面較高
bull 例 Honeywall-ROO HIHAT及 Honeybow
9-13
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端bull Server Honeypot
ndash 傳統的 Honeypot 類型屬於 server Honeypot 主要目標是讓駭客找到並進行攻擊ndash 是被動式的等待攻擊行為發生因為是被動式的若沒有攻擊則無法見到誘捕效果
bull Client Honeypotndash 以主動方式對目標網站進行偵測ndash 分析是否有可疑行為快速判斷並提供警告的訊息ndash 包含請求回應攻擊三個程序
9-14
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端bull Server Honeypot
ndash 傳統的 Honeypot 類型屬於 server Honeypot 主要目標是讓駭客找到並進行攻擊ndash 是被動式的等待攻擊行為發生因為是被動式的若沒有攻擊則無法見到誘捕效果
bull Client Honeypotndash 以主動方式對目標網站進行偵測ndash 分析是否有可疑行為快速判斷並提供警告的訊息ndash 包含請求回應攻擊三個程序
9-14
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 的分類 - 攻擊端
9-15
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Module 9-2誘捕系統工具介紹 ()
9-16
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具比較bull 商業軟體
ndash 優效果佳ndash 缺成本高 ndash 例 Symantec Decoy Server與 KFSensor
bull 免費軟體ndash 優成本低ndash 缺缺少某些商業軟體所提供的效果ndash 例 Honeyd與 Nepenthes
9-17
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具比較
例子代表 入侵偵測型 惡意程式誘捕型商業 Symantec Decoy
Server KFSensor
Open-Source HoneyD Nepenthes
9-18
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 由賽門鐵克公司所發展商用之誘捕系統bull 會警示由內 外部所發出之未經授權的入侵意圖bull 可自動地偵測與回應新型態的攻擊bull 過程可重播bull 改善在使用者間建立模擬的電子郵件流量的能力以強化誘捕的環境bull 改善回應機制包括以頻率為基礎的政策以及以攻擊活動為根據的關機系統bull 提供早期的威脅偵測以及重要資訊以維持營運的網路基礎架構
9-19
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Symantec Decoy Serverbull 可在一台主機電腦上建立四個誘捕系統單個誘捕系統可以獨立運作也可以與其他誘捕系統協同運作bull 會建立一個核心封套( Kernel Wrapper)用來控制誘捕系統與主機核心之間的互動bull 會使用現有作業系統來建立一個可信賴的作業環境
9-20
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - KFSensorbull 可針對 Windows 作業系統所提供的各項服務以及弱點進行模擬
ndash 可模擬 Windows 的網路如NetBIOS SMB CIFS
ndash 可偵測到針對 Windows 檔案分享的攻擊ndash 模擬常見的通訊協定如 FTP SMB POP3 HTTP Telnet SMTP 與 SOCKS 等以蒐集攻擊者的資訊
9-21
資料來源 httpwwwkeyfocusnetkfsensor
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 輕型 Open-source 的虛擬 Honeypotbull 模擬多個作業系統和網路服務bull 諸多外掛模組用於模擬常見的服務
ndash 模擬微軟 IIS 網頁伺服器的 Scriptsndash 模擬 SMTPndash 模擬 HTTPndash 模擬 Telnet
bull 支援 IP協定架構bull 模擬任意拓撲架構的虛擬網路與網路通道
9-22
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 處理目的 IP位址屬於虛擬 Honeypot之一的網路封包的方法ndash 對指向 Honeyd主機的虛擬 IP位址創建特定路由ndash 使用 ARP-Proxyndash 使用網路通道
9-23
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd (續 )
bull 利用 Blackholing或 ARP Spoofing 偵測 是否有 IP 被要求連線模擬成一個擁有此 IP跟服務的系統進行交談並記錄下來交談完畢後 Honeyd 會將此 IP 及對應的服務給卸載下來運作是很有效率的
bull Honeyd是使用 NMAP的 OS Fingerprint 資料庫所以可以模擬超過 490種的作業系統發佈版本所以當駭客使用 NMAP來對 Honeyd做 OS的fingerprint Honeyd就可以輕易的騙過駭客
9-24
資料來源 httpwwwringlinecomtwepaperForum980801htm(瑞麟科技 )
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
使用 ARP - Proxy
封包的 Destination=Honeypot Windows NT 40
9-25
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
使用 ARP - Proxy (續 )
路由器查詢它的路由表由找到 100013 的轉送位址
9-26
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
使用 ARP - Proxy (續 )
沒有配置專用的路由
9-27
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
使用 ARP - Proxy (續 )
路由器透過 ARP請求確定 100013 的MAC位址
9-28
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
使用 ARP - Proxy (續 )
路由器把發送Honeypot Windows NT 40 的封包轉到
Honeyd主機的MAC位址
9-29
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd原理說明
9-30
在 port 80 等待連線
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd原理說明 (續 )
有人連進來由subsystem接受連線
9-31
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd原理說明 (續 )
由 internal service 決定如何回應
9-32
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd配置bull 透過配置模板 (Template) 來配置虛擬的 Honeypotbull 配置語言是一種 Context-free文法 ( 上下文順序無關 ) 可以設定虛擬網路作業系統及服務
9-33
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
配置模板bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
創建一作業系統模板
9-34
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定該模板的 Nmap 指紋
9-35
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定預設的 TCP和 UDP和 ICMP 動作
9-36
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
設定系統監聽埠號並且呼叫腳本iisemul8pl 和 cmdexepl
9-37
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
配置模板 (續 )
bull Default Template bull create default bull Set default behavior bull set default personality Microsoft Windows XP Home Edition bull set default default tcp action open bull set default default udp action open bull set default default icmp action open bull add default tcp port 80 perl opthoneydscriptswindowsiisiisemu18pl bull add default tcp port 23 perl opthoneydscriptswindowscmdexepl bull add default tcp port 139 open bull add default tcp port 137 open bull add default udp port 137 open bull add default udp port 135 open
打開 TCP 139與 137 Port打開 UDP 137與 135
Port
9-38
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull Nepenthes 為惡意程式誘捕系統藉由模擬系統弱點誘使惡意程式對誘捕系統進行攻擊進而捕捉到惡意程式是屬於 Low-Interaction Honeypot
9-39
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Vulnerability Modules 模擬網路服務的弱點
9-40
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Shellcode parsing Modules 分析與反解 Exploit Payload 找出 Mal-URL
9-41
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Fetch Modules 利用 HTTP FTPTFTPhellip 從遠端抓取惡意程式
Binary
9-42
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
Submission Modules 將抓下來的惡意程式存到 Disk 或其他伺服器 9-43
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes (續 )
bull 於 Linux環境下執行透過模組模擬不同的系統弱點並可將蒐集的惡意程式儲存在分散式的資料庫中bull Developer Paul Baecher Markus Koetterbull Nepenthes 網址
ndash httpnepenthescarnivoreitndash httpnepenthesmwcollectorg Nepenthes
hellip
9-44
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 ndash Nepenthes (續 )
bull Nepenthes 可以模擬的弱點
9-45
Name
vuln-asn1 vuln-optix vuln-bagle
vuln-pnp vuln-dameware vuln-sasserftpd
vuln-dcom vuln-mymq vuln-veritas
vuln-upnp vuln-mssql vuln-wins
vuln-ftpd vuln-msdtc vuln-mydoom
vuln-sub7 vuln-netdde vuln-netbiosname
vuln-iis vuln-kuang2 vuln-lsass
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
漏洞掃描工具 - X-Scan
bull 掃瞄內容包括遠端系統服務類型操作系統類型及版本各種弱點漏洞後門應用服務漏洞bull 原創作者 XFOCUS Teambull X-Scan 網址 httpwwwxfocusorgprograms
20050718
9-46
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 一種中互動式的開源 SSH honeypotbull 用來紀錄暴力攻擊的模式並可以提供攻擊者操作的 shell bull 主要是在 Kojoney 的基礎上進一步提供更真實的
shell互動環境bull 安全的偽裝一個建全的文件系統允許攻擊者能夠自行操作增添或是刪除文件的動作bull 以 UML(user model linux) 相容格式紀錄 shell log檔提供輔助工具幫助還原攻擊過程
9-47
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Kippo (續 )
9-48
導入 Kippo Shell
攻擊者透過 SSH 進行連線 將連線導入 kippo shell中
透過 Kippo Shell 擬真的互動環境引誘攻擊者進行動作透過 UML相容格式記錄下攻擊者的動作記錄
LOG
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
結論bull Honeyd 可以應用在網路安全的許多領域
ndash 例病毒探測反蠕蟲阻止垃圾郵件及轉移攻擊目標等bull Honeypot 系統都是正在發展中的技術還需要不斷地擴充和完善功能提升迷惑性和自身的安全性bull 誘捕系統為安全研究使用較多部署於企業內部需考量其風險及安全性並配合適當的監控及分析技術否則仍不適用於一般的企業作為安全機制的一環
9-49
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Module 9-3誘捕系統的實務 ()
9-50
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
說明bull 架設實作 (一 ) Honeypot架設實作實習
ndash 使 用 HoneyD 主機 利 用 HoneyD 軟體配置Honeypot 誘捕系統
bull 架設實作 (二 ) Nepenthes架設實作實習ndash 使用 Nepenthes 主機利用 Nepenthes 軟體配置
Nepenthes 誘捕系統
9-51
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
說明bull 架設實作 (三 ) X-Scan架設實作實習
ndash 使用 attacker主機利用 7z軟體將 X-Scan軟體解壓縮並做掃描bull 架設實作 (四 ) Kippo架設實作實習
ndash 使用 Kippo主機利用 Kippo軟體配置 Kippo 誘捕系統ndash 使用 attacker主機利用 putty軟體測試能否登入
Kippo 誘捕系統
9-52
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
架設實作 (一 )
Honeypot架設實作實習
9-53
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
實作環境介紹
9-54
routerOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10122
HoneyDOS FC6-yum-STDIP 10112安裝軟體 Honeyd
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-55
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Honeyd
bull 版本ndash honeyd-15c
bull 支援作業平台ndash Linux及 OpenBSD
bull 其他需求工具ndash libpcap libdnet libevent libedit termcap pcre 及 arpd
bull 下載位址ndash httpwwwhoneydorguploadshoneyd-15ctargz
9-56
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
其他需求工具 - libdnet
bull 版本ndash libdnet-111
bull 支援作業平台ndash Fedora 3456
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files1_libdnet-111targz
9-57
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
其他需求工具 - libevent
bull 版本ndash libevent-148
bull 支援作業平台ndash Linux BSD Mac OS X 及 Solaris
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files2_libevent-148-stabletargz
9-58
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
其他需求工具 - libpcap
bull 版本ndash libpcap-100
bull 支援作業平台ndash Fedora 56 StartCom 5 及 Arklinux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files3_libpcap-100targz
9-59
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
其他需求工具 - arpd
bull 版本ndash arpd-02
bull 支援作業平台ndash Linux
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files4_arpdzip
9-60
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
其他需求工具 - termcap
bull 版本ndash termcap-131
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files5_termcap-131targz
9-61
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
其他需求工具 - libedit
bull 版本ndash libedit-03
bull 支援作業平台ndash Linux及 BSD
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files6_libedit-03targz
9-62
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
其他需求工具 - pcre
bull 版本ndash pcre-78
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash httpwwwhoneynetorgtwimagesstories
Honeypot_toolshoneyd_files7_pcre-78targz
9-63
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
其他需求工具 - rrdtool
bull 版本ndash rrdtool-1050-3el5rfi386rpm
bull 支援作業平台ndash Fedora 6
bull 下載位址ndash ftpfrrpmfindnetlinuxdagredhatel5eni386dag
RPMSrrdtool-1050-3el5rfi386rpm
9-64
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd
執行以下指令bull sudo su -bull yum -y install kernel-headers kernel kernel-develbull yum -y install gcc glibc glic-devel gcc-c++ flex
bison byacc zlib-devel
9-65
將權限切換至 root
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd (續 )
bull mkdir honeydbull cd honeyd bull cp shareiscModule091_libdnet-111targz bull tar zxvf 1_libdnet-111targzbull cd libdnet-111bull configure -prefix=usrbull makebull make installbull cd
9-66
建立 honeyd 這個目錄 並用 cd指令切換到 honeyd 這個目錄之下 複製 1_libdnet-111targz 並解壓縮後進入 libdnet-111 目錄
利用 configure make 及make install 安裝 1_libdnet-111
安裝最後回到 honeyd那層目錄
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd (續 )
bull cp shareiscModule092_libevent-148-stabletargz
bull tar zxvf 2_libevent-148-stabletargzbull cd libevent-148-stablebull configure -prefix=usrbull makebull make installbull cd 利用 configure make 及 make
install 安裝 2_libevent-148
複製 2_libevent-148-stabletargz 並解壓縮後進入 libevent-148-stable 目錄
9-67
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd (續 )
bull cp shareiscModule093_libpcap-100targz bull tar zxvf 3_libpcap-100targzbull cd libpcap-100bull configure --prefix=usrbull makebull make installbull cd
9-68
複製 3_libpcap-100targz 並解壓縮
利 用 configure make 及make install 安 裝 3_libpcap-100
切到 libpcap-100之下
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd (續 )
bull cp shareiscModule094_arpdzip bull unzip -d arpd 4_arpdzipbull cd arpdbull lsbull chmod a+x bull lsbull configure --prefix=usrbull makebull make installbull cd
9-69
複製 4_arpdzip 並解壓縮
切到 arpd之下
利用 configure make及 make install 安 裝4_arpd
增加執行權限
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd (續 )
bull cp shareiscModule095_termcap-131targz bull tar zxvf 5_termcap-131targz bull cd termcap-131-srcsrcbull configure --prefix=usrbull makebull make installbull cd
9-70
複製 5_termcap-131targz並解壓縮
切 到 termcap-131-srcsrc 之下
利用 configure make及make install 安裝5_termcap-131
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd (續 )
bull cp shareiscModule096_libedit-03targz bull tar zxvf 6_libedit-03targzbull cd libeditbull configure --prefix=usrbull makebull make installbull cd
複製 6_libedit-03targz 並解壓縮
移至 libedit-03
利 用 configure make及 make install 安裝6_libedit-03
9-71
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd (續 )
bull cp shareiscModule097_pcre-78targz bull tar zxvf 7_pcre-78targzbull cd pcre-78bull configure --prefix=usrbull makebull make installbull cd
複製 7_pcre-78targz 並解壓縮
移 至 pcre-78
利用 configure make及make install 安裝 pcre-78
9-72
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd (續 )
bull cp shareiscModule09rrdtool-1050-3el5rfi386rpm
bull rpm -ivh rrdtool-1050-3el5rfi386rpm bull 用於產生 Time-Series 圖檔如果此套件沒有安裝 honeyd很容易產生錯誤停止執行
9-73
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd-15ctargz bull tar zxvf honeyd-15ctargzbull cd honeyd-15cbull configure --prefix=usrbull makebull make install bull cd
9-74
複製 9_honeyd-15ctargz 並解壓縮
利用 configure --prefix=usr make 及 make install 安 裝honeyd-15c
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd (續 )
bull mkdir -p opthoneydbinbull mkdir -p opthoneydetcbull mkdir -p opthoneydlogbull cp usrsbinarpd opthoneydbinbull cp usrbinhoneyd opthoneydbin
9-75
在 opthoneyd之下建立 bin etc及 log這 3 個資料夾
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd (續 )
bull cp shareiscModule09honeyd_kitzip bull unzip -d honeyd_kit honeyd_kitzipbull 安裝模擬 honeyd的 windows 服務之 scripts檔案bull cp shareiscModule09smtp opthoneydbinbull cp shareiscModule09proxy opthoneydbinbull cp usrsharehoneydnmapassoc opthoneydetc
把 smtp 及 proxy 這 幾 個 檔 案 與nmapassoc複製到 opt裡相對應的位置
9-76
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd (續 )
bull cp usrsharehoneydnmapprints opthoneydetcbull cp usrsharehoneydpfos opthoneydetcbull cp usrsharehoneydxprobe2conf opthoneydetcbull cp shareiscModule09honeydconf
opthoneydetcbull cp -rf honeydhoneyd_kitscripts opthoneydbull cp -rf honeydhoneyd_kitstart-honeydsh
opthoneyd
9-77
把 nmapprints xprobe2conf pfos honeydconf start-honeydsh及 scripts 資料夾複製到 opt裡相對應的位置
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd (續 )
bull cd opthoneydbinbull arpd -i eth4 bull touch opthoneydloghoneydlogbull touch opthoneydlogservicelogbull chown -R nobodynobody opthoneydlogbull ls -l opthoneydlog
9-78
依 honeydconf 的 設 定 執 行honeyd 並 把 訊 息 紀 錄 到honeydlog 並用 less 指令查看紀錄
在 eth4 上監聽封包更改紀錄的存取時間及存取權限及用 ls ndashl看 log 下有哪些檔案
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Honeyd (續 )
bull cd opthoneydbull vi start-honeydsh
ndash 將「 set -x」此行前面加上 做註解ndash 將 eth1改為 eth4
9-79
加註解 改
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
結果bull chmod a+x start-honeydshbull sh start-honeydsh
bull ps aux | grep honeyd
9-80
Honeyd正在背景程序執行中
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
編輯程式碼bull vi opthoneydetchoneydconfbull 游標移至要刪除的第一行按 dG (游標以下全刪 )
保留紅色方框區塊其他部份全刪除
9-81
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
編輯程式碼 (續 )
bull 修改後之完整程式碼
新增「 bind 10117 default」做為 ARP Spoofing 所假冒的 IP位址
9-82
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
編輯程式碼 (續 )
9-83
bull vi opthoneydscriptswindowscmdexepl
將紅色框內的「 -T」刪除
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
bull chmod a+x opthoneydscriptswindowscmdexeplbull mkdir varcmdexebull touch varcmdexelogfilebull chown -R nobodynobody varcmdexe
9-84
編輯程式碼 (續 )
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
攻擊測試bull 於 attacker主機使用 Command Prompt 進行 telnet
9-85
Telnet 一台不存在的機器以 cmdexepl作回應偽裝成 Windows XP 的機器回應
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Trouble Shooting
bull 如操作過程有疑慮請查看 log 並依指示除錯bull cd logbull lsbull
9-86
Honeyd 的 log 存 放於 opthoneydlog 並包含四個 log
10117之連線記錄
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
架設實作 (二 )
Nepenthes架設實作實習
9-87
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
實驗環境介紹
attackerOSWINXP-SP2IP 10122
routerOS FC6-STD IP1 10123IP2 10113
NepenthesOS FC6-yum-STDIP 10112安裝軟體 nepenthes
9-88
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-89
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Nepenthes
bull 版本ndash nepenthes-022
bull 支援作業平台ndash gentoo debian FreeBSD及 OpenBSD
bull 下載位址ndash httpdownloadssourceforgenetnepenthesnepenthes-
022targzuse_mirror=nchc
9-90
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
漏洞掃描工具 - X-Scan
bull 版本ndash X-Scan -33
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwxfocusorgprograms200507X-Scan-
v33-enrarbull 其他需求
ndash 7z-465
9-91
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
其他需求工具 - 7z
bull 版本ndash 7z-465
bull 支援作業平台ndash Windows
bull 下載位址ndash httpdownloadssourceforgenetprojectsevenzip7-
Zip4657z465exeuse_mirror=nchc
9-92
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Nepenthes
bull sudo su - bull yum -y updatebull yum -y install subversion automake libtool flex bison
gcc gcc-c++ curl curl-devel pcre pcre-devel adns adns-devel file libpcap libpcap-devel iptables-devel
bull cd rootbull cp shareiscModule09nepenthes-022targz bull tar vxzf nepenthes-022targzbull cd nepenthes-022
9-93
將 作 業 系 統 update 並 安 裝subversion automake hellip 等套件
移 到 root 之 下 下 載nepenthes-022targz 並 解壓縮
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Nepenthes
bull autoreconf -v -i --forcebull configure --prefix=optnepenthesbull makebull make installbull optnepenthesbinnepenthes -c
optnepenthesetcnepenthesnepenthesconf -r optnepenthes -D
利用 configure make及make install 安裝 nepenthes
執行 nepenthes
9-94
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全 9-95
Nepenthes執行成功
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
架設實作 (三 )
X-Scan架設實作實習
9-96
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
安裝 X-Scan
bull 於 attacker主機下載 7z及 X-Scan軟體bull 安裝 7z軟體以執行 X-Scan軟體之解壓縮bull 解壓縮 X-Scan軟體
ndash 進資料夾並點擊 xscan_guiexe執行
9-97
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
bull 選擇要掃瞄之 IPndash 點擊 Configndash 點擊 Scan parameterndash 輸入 IPndash 選 OK
bull 點擊執行bull 等待掃瞄結束
使用 X-Scan 進行掃瞄
9-98
10112
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
X-Scan掃描結果
9-99
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
架設實作 (四 )
Kippo架設實作實習
9-100
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
實作環境介紹
9-101
RouterOS FC6-STD IP1 10113IP2 10123
attackerOSWINXP-SP2IP 10112安裝軟體 putty
KippoOS Ubuntu804-STDIP 10122安裝軟體 Kippo
IP2IP1
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
實驗拓樸 on TestbedTWISC - 建立完成的實驗拓樸
9-102
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
誘捕系統 (Honeypot) 工具 - Kippo
bull 版本ndash Kippo-05
bull 支援作業平台ndash Debain GNULinux50 CentOS 與 Ubuntu
bull 其他需求工具ndash Python26 Twisted ZopeInterface Pycrypto Pyasn1及 Putty
bull 下載位址ndash httpkippogooglecodecomfileskippo-05targz
9-103
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
其他需求工具 - Python26
bull 版本ndash Python-267
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwpythonorgftppython267Python-
267tgz
9-104
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
其他需求工具 - Twisted
bull 版本ndash Twisted-102
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httptwistedmatrixcomReleasesTwisted102
Twisted-1020tarbz2
9-105
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
其他需求工具 - ZopeInterface
bull 版本ndash ZopeInterface-330
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpwwwzopeorgProductsZopeInterface330
zopeinterface-330targz
9-106
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
其他需求工具 - Pycrypto
bull 版本ndash Pycrypto-201
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httppypipythonorgpackagessourceppycrypto
pycrypto-201targz
9-107
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
其他需求工具 - Pyasn1
bull 版本ndash Pyasn1-0012a
bull 支援作業平台ndash GNULinux
bull 下載位址ndash httpsourceforgenetprojectspyasn1fileslatest
download
9-108
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Kippo
9-109
執行以下指令bull gt sudo su -bull apt-get update bull apt-get install build-essential
bull Do you want to continue [Yn] ybull mkdir kippobull cd kippo
Ubuntu 可以透過 apt-get 指令尋找符合自己 package 我們要建置 compile環境所以需要 build-essential 這個套件
建立 kippo 這個目錄 用 cd指令切換到 kippo目錄
將使用者切換至 root
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Kippo (續 )
bull wget httpwwwpythonorgftppython267Python-267tgz
bull gunzip Python-267tgzbull tar -xf Python-267tar
9-110
用 wget指令下載檔案
用 gunzip與 tar指令解開壓縮檔
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Kippo (續 )
bull cd Python-267bull configure --prefix=usrlocalpython267 --with-
zlibbull makebull make installbull ln -s usrlocalpython267binpython
usrbinpython26
9-111
透過 configure make與 make install 進行安裝 --prefix是指定位置
透過 ln 建立 python26 的連結
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Kippo (續 )
bull cd bull wget
httptwistedmatrixcomReleasesTwisted102Twisted-1020tarbz2
bull tar -xvf Twisted-1020tarbz2bull cd Twisted-1020bull python26 setuppy buildbull python26 setuppy installbull ln -s usrlocalpython267bintwistd usrbintwistd
9-112
用 wget指令下載檔案
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯透過 ln 建立 twised 的連結
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Kippo (續 )
bull cd bull wget
httpwwwzopeorgProductsZopeInterface330zopeinterface-330targz
bull tar -xvf zopeinterface-330targzbull cd zopeinterface-330bull python26 setuppy buildbull python26 setuppy install
9-113
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Kippo (續 )
bull cd bull wget
httppypipythonorgpackagessourceppycryptopycrypto-201targz
bull tar -xvf pycrypto-201targzbull cd pycrypto-201bull python26 setuppy buildbull python26 setuppy install
9-114
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Kippo (續 )
bull cd bull wget
httpsourceforgenetprojectspyasn1fileslatestdownload
bull tar -xvf pyasn1-013targzbull cd pyasn1-013bull python26 setuppy buildbull python26 setuppy install
9-115
用 tar 解壓縮檔案後用 cd切換目錄用 python26編譯
用 wget指令下載檔案
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Kippo (續 )
bull adduser kippo
9-116
adduser指令新增使用者 kippo
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
bull su -l kippobull $ wget httpkippogooglecodecomfileskippo-
05targzbull $ tar -xvf kippo-05targzbull $ cd kippo-05bull $ startsh
9-117
用 su -l 切換成 kippo 使用者Wget 取得檔案
用 tar 解壓縮檔 cd切換目錄startsh 運行 kippo
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
測試bull 於 attacker主機bull 使用 putty
ndash httptheearthli~sgtathamputtylatestx86puttyexe
bull 輸入 kippo端的 IPndash 10112
bull Kippo 預設的 port為 2222ndash 將之改成 port 2222
bull 按下 open 進行連線9-118
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
測試 (續 )
9-119
bull 如果要求登入代表 kippo己經成功運行bull 登入的使用者預設為 root 密碼 123456
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
測試 (續 )
9-120
bull 於 Kippo主機bull $ vim logkippolog
kippolog 會記錄攻擊者曾經嘗試的密碼指令以及攻擊者的 IP位址
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
測試 (續 )
bull $ ls logttybull $ utilsplaylogpy logtty20120425-031646-
6945log
bull $ utilsplaylogpy logtty 20120425-031646-6945log 1
9-121
查詢 logtty底下的 log 記錄格式為日期 -編號 -編號 log如 20120425-031646-6945log
重複輸入命令最後加上編號即會開始重放記錄
一筆 log裡可能會有複數記錄如果沒有輸入記錄編號預設會提醒記錄編號
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
結論bull 學習如何架設一個簡單的誘捕系統bull 了解誘捕系統在探測時可使用哪些工具bull 知道駭客在入侵時可能使用的手法bull 站在攻擊者的角度使我們更加了解目前的
windows 系統或其他作業系統擁有的重大缺陷幫助我們強化組織內部系統的安全性
9-122
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
習題
9-123
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
習題1 請列出 Honeypot 的分類 並說明各類的優缺點2 請列出兩種 Honeypot 的軟體 並說明每個軟體有哪幾個部份3 安裝 Kippo 的功能是甚麼
9-124
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
Module 9-4誘捕系統的專案實作 ()
9-125
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
專案目的bull 利用實際操作的方式讓同學了解弱點掃描工具在
Honeypot 所產生的訊息內容以及 Honeypot 所能模擬的系統弱點
9-126
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
專案描述bull A公司最近經過資訊安全公司 Symentec的介紹發現有 honeypot這種系統可以模擬系統弱點並幫忙偵測系統弱點但是老闆並不清楚
honeypot 的紀錄能夠提供什麼資訊也不清楚能模擬什麼弱點扮演最佳員工的同學們在老闆的要求下要透過對 honeypot紀錄的分析來獲得一些有關攻擊的資訊以及證明給老闆 honeypot 能夠成功模擬系統弱點bull 利用前面所介紹的 2 個架設實作分別完成下列要求①環境裡的 Attacker主機是Windows XP sp2 作業系統而該主機必須先裝上 X-Scan 的網站工具套件② X-Scan 在網路上搜尋並解壓縮後即可使用③ Router主機的作業系統則是 Fedora Core 6 在 HoneyD主機上架設 ho
neyd 在 Nepenthes主機上架設 nepenthes④利用 honeyd主機模仿一個網域中不存在的主機回應 Telnet連線⑤接著使用 X-Scan對 attacker主機與 Router主機進行弱點掃描再藉由 X-Scan 所產生的 log檔 來觀察 Nepenthes 所模擬的系統服務
9-127
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
環境配置圖
routerOS FC6-STD IP1 10113IP2 10123
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
HoneyDOS FC6-yum-STD IP 10112安裝軟體 Honeyd
IP1IP2
9-128
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
環境配置圖 (續 )
AttackerOSWINXP-SP2IP 10122安裝軟體 X-Scan
NepenthesOS FC6-yum-STD IP 10112安裝軟體 nepenthes
IP1IP2
routerOS FC6-STD IP1 10113IP2 10123
9-129
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
網路安全
參考資料bull Taiwan Honeypot Project httpwwwhoneynetorgtwbull 香港特別行政區政府 (民 97年 2月 ) 誘捕系統 (honeypot) 的保安民 98年 7月 12日取自 httpwwwinfosecgovhktc_chitechnicalfileshoneypotspdf
bull 台灣電腦網路危機處理曁協調中心 (91年 1月 ) 虛擬攻防系統 --Honeypot 台灣電腦網路危機處理技術專欄取自 httpwwwcertorgtwdocumentcolumnshowphpkey=42
bull 談真實和虛擬兩種 honeypot 技術的比較 (94年 3月 16日 ) CCID IT技術 (98年 6月 21日 ) 取自 httpwwwjkforumnetredirectphptid=810797ampgoto=lastpost
bull 翟繼強葉飛喬 (民 97) 虛擬蜜罐 Honeyd 的分析和研究民 98年7月 12日取自httpwwwstudanetnetwork08043010052753html
9-130
