石河子大学信息科学与技术学院 新疆省石河子市 832000
利用虚拟机工具虚拟出一台IDS虚拟机系统,1台用honeyd实现的虚拟蜜罐系统。IDS节点基于Linux平台及开源Snort项目包,配置实现采用iptables+snort+mySQL+Acid方案的IDS系统。其中,利用iptables防火墙组件配置包过滤规则,利用snort+mySQL实现对snort产生的审计日志自动插入到MYSQL数据库中,利用Snort内置提供的WEB管理界面Acid自动连接MySQL数据库并将库中的日志数据呈现在WEB页面上,利用honeyd部署在Snort中的Arpd组件实现将攻击流量自动转入虚拟蜜罐节点上。虚拟蜜罐节点系统用honeyd模拟出一个假的Windows平台。以诱捕记录攻击者产生的各种流量。Honeyd是GNU GPL许可协议下发布的开源项目,它是一个蜜罐框架,可模拟出各种操作系统平台和相应的网络服务,从而达到诱骗黑客的目的。
1.1理论背景/基础知识/相关技术概述
1.2.1.3虚拟蜜罐
1.honeyd的架构
honeyd的软件架构由如下几个组件构成:一个配置数据库,一个中央包分发器,协议处理器,一个特征引擎,以及一个可选的路由器组件。
进来的包首先被中央包分配器处理,它首先检查 IP 包的长度并确认包的校验和。honeyd 框架知道主要的 3 种 Internet 协议:TCP,UDP,ICMP。其他协议的包将被日志记录并丢弃。
2.蜜罐技术的发展历程
从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。
1.2环境说明
需要1台带有活动网络连接(插有网卡)且安装有VMware虚拟机软件的PC机,PC机本机系统作为网络的客户端,VMware里面的虚拟机操作系统作为服务器端。
1.3实践任务内容
第一部分是搭建IDS入侵检测系统。
第二部分是利用honeyd软件虚拟出一台windows主机。
第三部分是IDS入侵检测系统与虚拟蜜罐honeyd的联动测试。
1.4过程/详细步骤说明
1.4.1配置IDS入侵检测系统步骤
1)安装Centos系统
2)安装必备软件,如GCC,G++
3)安装 libpcap,DAQ,LuaJIT package
4)安装Snort
5)现在我们需要编辑一些配置文件,从snort.org下载规则,并使用snort进行测试运行。
6)安装Pulledpork
7)配置网络和规则集
8)作为守护进程运行snort
9)配置Barnyard2
10)安装Base(acid新版本)
11)入侵检测测试
1.4.2.Honeyd蜜罐配置步骤
1)安装honeyd,卸载系统自带软件防止冲突
2)安装python
3)安装与honeyd相关的软件包依赖包:libevent,libdnet,arpd
4)修改honey配置文件
5)honeyd测试
1.4.3.2安装配置honeyd
Stept1:安装honeyd,卸载系统自带软件防止冲突
Stept2:安装python,提供源码编译环境
Stept3:下载与honeyd相关的软件包依赖包
Stept4:安装libevent
Stept5:安装libdnet
Stept6:安装arpd
Stept7:下载并安装honeyd
Stept8:honeyd成功安装后,利用其虚拟出一台windows主机web server,配置文件取名为:honeyd.conf。文件内容如图所示。
1.4.3.3配置acidbase发送报警邮件功能
Stept1:首先下载sendmail
Stept2:对php.ini文件修改
1.4.3.4 IDS和Honeyd虚拟蜜罐联动测试
Stept1:在windows10下向虚拟主机发出ping命令
Stept2:在Linux虚拟机内使用arpd转移未知攻击流量到虚拟windows主机
Stept3:在Linux虚拟机内使用sonrt记录黑客洪泛过程。
Stept4:在Linux虚拟机内查看snort日志文件,成功转移并捕捉黑客洪泛记录。
1.5实训课题/实践任务结论
1.5.1基于CentOS平台利用honeyd软件配置实现虚拟蜜罐总结
我利用Honeyd模拟了的一个具有windows的虚拟主机,然后在win10主机去不断的ping这台虚拟主机,结果显示Honeyd成功地模拟了一个根本不存在的主机。
并且我在不断的ping尝试过程中我使用了IDS入侵检测去检测黑客攻击者的流量,在其后的测试中发现成功捕捉黑客的攻击流量。实验唯一不足之处是barnyard读取snort日志文件时格式出现了问题,base和barnyard2的连接一切正常,但是无法读取日志文件内容。
1.5.2虚拟蜜罐Honeyd的发展趋势及前景
1.蜜场(Honey Farm)
蜜场是蜜罐概念的发展。蜜场的思想是将网络中的可疑数据重定向到蜜场中。在网络中放置检测器。当发现可疑数据流时,利用重定向器将其导向到蜜场中。所有蜜罐集中于蜜场,与外网之间用防火墙隔离。蜜场的优势在于集中性。
动态蜜网
2.动态蜜网
将低交互蜜罐和高交互蜜罐结合起来,需要虚拟蜜网技术的支持,利用被动指纹工具检测网络。依据获得的网络信息对蜜网进行部署和配置。最主要的是其自适应能力,能够自动学习周围的网络环境,配置适当数量的蜜罐,并随网络环境的变化做出调整。
configure:error:libdnsres not found
1.6总结与体会
honeyd 是一款非常优秀的虚拟蜜罐软件,能完成蜜罐的大部分功能,花费的资源相对较少,并能完成对网络拓扑的模拟,对抗指纹探测。honeyd 的使用也很方便,仅需要一个配置文件,就可以完成响应的部署。此外,honeyd 的使用也是相当广泛。在引诱黑客攻击,反蠕虫,遏制垃圾邮件等方面都有广泛的应用。目前对于虚拟蜜罐的研究还处于起步阶段,以后对它的研究会越来越深入。
参考文献:
[1]宣晓帅,胡秋雨,宋洋洋,翟继强.Honeyd图形化配置程序的实现[D].计算机与网络.2019-10-12
[2]张炳彦.基于虚拟蜜罐的入侵检测可视化系统[D].济南大学.2019-06-01
[3]黄旭鹏.Honeyd在网络防御中的应用实践[D].电脑知识与技术.2018-01-05