基于CentOS平台利用虚拟蜜罐实现入侵检测

发表时间:2020/11/19   来源:《基层建设》2020年第20期   作者:秦伟森 杨金城
[导读]
        石河子大学信息科学与技术学院  新疆省石河子市  832000
        利用虚拟机工具虚拟出一台IDS虚拟机系统,1台用honeyd实现的虚拟蜜罐系统。IDS节点基于Linux平台及开源Snort项目包,配置实现采用iptables+snort+mySQL+Acid方案的IDS系统。其中,利用iptables防火墙组件配置包过滤规则,利用snort+mySQL实现对snort产生的审计日志自动插入到MYSQL数据库中,利用Snort内置提供的WEB管理界面Acid自动连接MySQL数据库并将库中的日志数据呈现在WEB页面上,利用honeyd部署在Snort中的Arpd组件实现将攻击流量自动转入虚拟蜜罐节点上。虚拟蜜罐节点系统用honeyd模拟出一个假的Windows平台。以诱捕记录攻击者产生的各种流量。Honeyd是GNU GPL许可协议下发布的开源项目,它是一个蜜罐框架,可模拟出各种操作系统平台和相应的网络服务,从而达到诱骗黑客的目的。
        1.1理论背景/基础知识/相关技术概述
        1.2.1.3虚拟蜜罐
        1.honeyd的架构
        honeyd的软件架构由如下几个组件构成:一个配置数据库,一个中央包分发器,协议处理器,一个特征引擎,以及一个可选的路由器组件。
        进来的包首先被中央包分配器处理,它首先检查 IP 包的长度并确认包的校验和。honeyd 框架知道主要的 3 种 Internet 协议:TCP,UDP,ICMP。其他协议的包将被日志记录并丢弃。
        2.蜜罐技术的发展历程
        从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。
        1.2环境说明
        需要1台带有活动网络连接(插有网卡)且安装有VMware虚拟机软件的PC机,PC机本机系统作为网络的客户端,VMware里面的虚拟机操作系统作为服务器端。
        1.3实践任务内容
        第一部分是搭建IDS入侵检测系统。
        第二部分是利用honeyd软件虚拟出一台windows主机。
        第三部分是IDS入侵检测系统与虚拟蜜罐honeyd的联动测试。
        1.4过程/详细步骤说明
        1.4.1配置IDS入侵检测系统步骤
        1)安装Centos系统
        2)安装必备软件,如GCC,G++
        3)安装 libpcap,DAQ,LuaJIT package
        4)安装Snort
        5)现在我们需要编辑一些配置文件,从snort.org下载规则,并使用snort进行测试运行。


        6)安装Pulledpork
        7)配置网络和规则集
        8)作为守护进程运行snort
        9)配置Barnyard2
        10)安装Base(acid新版本)
        11)入侵检测测试
        1.4.2.Honeyd蜜罐配置步骤
        1)安装honeyd,卸载系统自带软件防止冲突
        2)安装python
        3)安装与honeyd相关的软件包依赖包:libevent,libdnet,arpd
        4)修改honey配置文件
        5)honeyd测试
        1.4.3.2安装配置honeyd
        Stept1:安装honeyd,卸载系统自带软件防止冲突
        Stept2:安装python,提供源码编译环境
        Stept3:下载与honeyd相关的软件包依赖包
        Stept4:安装libevent
        Stept5:安装libdnet
        Stept6:安装arpd
        Stept7:下载并安装honeyd
        Stept8:honeyd成功安装后,利用其虚拟出一台windows主机web server,配置文件取名为:honeyd.conf。文件内容如图所示。
        1.4.3.3配置acidbase发送报警邮件功能
        Stept1:首先下载sendmail
        Stept2:对php.ini文件修改
        1.4.3.4 IDS和Honeyd虚拟蜜罐联动测试
        Stept1:在windows10下向虚拟主机发出ping命令
        Stept2:在Linux虚拟机内使用arpd转移未知攻击流量到虚拟windows主机
        Stept3:在Linux虚拟机内使用sonrt记录黑客洪泛过程。
        Stept4:在Linux虚拟机内查看snort日志文件,成功转移并捕捉黑客洪泛记录。
        1.5实训课题/实践任务结论
        1.5.1基于CentOS平台利用honeyd软件配置实现虚拟蜜罐总结
        我利用Honeyd模拟了的一个具有windows的虚拟主机,然后在win10主机去不断的ping这台虚拟主机,结果显示Honeyd成功地模拟了一个根本不存在的主机。
        并且我在不断的ping尝试过程中我使用了IDS入侵检测去检测黑客攻击者的流量,在其后的测试中发现成功捕捉黑客的攻击流量。实验唯一不足之处是barnyard读取snort日志文件时格式出现了问题,base和barnyard2的连接一切正常,但是无法读取日志文件内容。
        1.5.2虚拟蜜罐Honeyd的发展趋势及前景
        1.蜜场(Honey Farm)
        蜜场是蜜罐概念的发展。蜜场的思想是将网络中的可疑数据重定向到蜜场中。在网络中放置检测器。当发现可疑数据流时,利用重定向器将其导向到蜜场中。所有蜜罐集中于蜜场,与外网之间用防火墙隔离。蜜场的优势在于集中性。
        动态蜜网
        2.动态蜜网
        将低交互蜜罐和高交互蜜罐结合起来,需要虚拟蜜网技术的支持,利用被动指纹工具检测网络。依据获得的网络信息对蜜网进行部署和配置。最主要的是其自适应能力,能够自动学习周围的网络环境,配置适当数量的蜜罐,并随网络环境的变化做出调整。
        configure:error:libdnsres not found
        1.6总结与体会
        honeyd 是一款非常优秀的虚拟蜜罐软件,能完成蜜罐的大部分功能,花费的资源相对较少,并能完成对网络拓扑的模拟,对抗指纹探测。honeyd 的使用也很方便,仅需要一个配置文件,就可以完成响应的部署。此外,honeyd 的使用也是相当广泛。在引诱黑客攻击,反蠕虫,遏制垃圾邮件等方面都有广泛的应用。目前对于虚拟蜜罐的研究还处于起步阶段,以后对它的研究会越来越深入。
        参考文献:
        [1]宣晓帅,胡秋雨,宋洋洋,翟继强.Honeyd图形化配置程序的实现[D].计算机与网络.2019-10-12
        [2]张炳彦.基于虚拟蜜罐的入侵检测可视化系统[D].济南大学.2019-06-01
        [3]黄旭鹏.Honeyd在网络防御中的应用实践[D].电脑知识与技术.2018-01-05
投稿 打印文章 转寄朋友 留言编辑 收藏文章
  期刊推荐
1/1
转寄给朋友
朋友的昵称:
朋友的邮件地址:
您的昵称:
您的邮件地址:
邮件主题:
推荐理由:

写信给编辑
标题:
内容:
您的昵称:
您的邮件地址: