1、实验类型布里渊散射
●验证性实验
2、实验目的
●通过安装配置Honeyd,深入了解Honeyd的安全配置方法和主要功能
3、背景知识
3.1 蜜罐(Honeypot)
蜜罐是一种安全资源,其价值就在于被探测、被攻击或被攻陷。因此带有欺骗、诱捕性质的网络、主机、服务均可看成一个蜜罐。除了欺骗攻击者,蜜罐一般不支持其他正常的业务,因此任何访问蜜罐的行为都是可疑的,这是蜜罐工作的基础。
3.2 虚拟蜜罐(Honeyd)
Honeyd是一款针对Unix系统设计的、开源、低交互程度的蜜罐,用于对可疑活动检测、捕获和预警。H oneyd能在网络层次上模拟大量虚拟蜜罐,可用于模拟多个IP地址的情况。当攻击者企图访问时,Honeyd就会接收到这次连接请求,以目标系统的身份对攻击者进行回复。 Honeyd一般作为后台进程来运行,其产生的蜜罐由后台进程模拟,所以运行Honeyd 的主机能有效地控制系统的安全。Honeyd可同时模拟不同的操作系统,能让一台主机在一个模拟的局域网环境中配置多个地址;支持任意的TCP/IP网络服务,还可以模拟IP协议栈,使外界的主机可以对虚拟的蜜罐主机进行ping命令操作和路由跟踪等网络操作,虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟,也可以为真实主机的服务提供代理。此外,Honeyd提供了对应的指纹匹配机制,是可以以假乱真、欺骗攻击者的指纹识别工具。
Honeyd软件依赖于以下几个库及arpd工具:怀柔一中
⏹Libevent:是一个非同步事件通知的函数库。通过使用libevent,开发人员可以设
定某些事件发生时所执行的函数,可以代替以往程序所使用的循环检查;
⏹Libdnet:是一个提供了跨平台的网络相关API的函数库,包括arp 缓存,路由表
查询,IP 包及物理帧的传输等;
⏹Libpcap:是一个数据包捕获(Packet Sniffing)的函数库,大多数网络软件都以它
为基础;
⏹Arpd工具:arpd运行在与honeyd相同的系统上,是honeyd众多协作工具中最重
要的一个。Arpd工作时监视局域网内的流量,并通过查看honeyd系统的ARP表
判断其它系统的活动与否。当一次企图对局域网内系统的连接发生时,Arpd通过
查ARP表得知目的IP地址不存在后,就会尝试对受害者的IP地址进行ARP广
播,如果honeyd得到了响应,说明目标系统确实存在,于是把目标系统的IP地址
与MAC地址的对应写入honeyd的ARP表,并对这次连接尝试不动作,因为这可
能是合法流量。如果Arpd没有从目标接收到Arp响应,那么它就认为目标系统并
不存在,假设这是一次攻击行为,于是就尝试充当受害者的IP 地址并对攻击者作出回应。由此可见,arpd 将对指定的IP 地址范围内未使用的IP 用honeyd 主机的MAC 地址做出arp 应答。这样对指定的IP 地址范围内未使用的IP 的连接访问都被重定向至honeyd 主机。因此这样的设计在局域网中特别能最大化的诱骗蠕虫病毒的攻击,转移攻击流,为下一步检测和捕获蠕虫病毒奠定了基础。
4、实验内容
(1)准备实验环境
⏹ 物理环境组成:宿主机(Linux )和测试机(Win7)
⏹ 可选:
◆ 宿主机(Linux )使用虚拟机,测试机(Win7)使用个人电脑
◆ 宿主机(Linux )和测试机(Win7)都使用虚拟机
◆ 网络连接选择无线连接,连接实验室的SSID :snERt.h3C (密码cisco.swust )
⏹ 二者的IP 地址设置位于同一网段
测试机宿主机IP 地址自行设定IP 地址自行设定
IP 地址自行设定
蜜罐虚拟机
⏹ 在宿主机环境中构建蜜罐虚拟机,实验过程中将验证测试机对蜜罐虚拟机的访问 ⏹ 测试机安装Windows 7操作系统(可其他版本)和IE 浏览器
(2)准备安装Honeyd 的相关依赖
⏹ libnet-1.
⏹ libevent-1.4.
⏹ libcap-1.7.
⏹ arpd-0. ⏹ Honeyd-1.
(注意:首先安装libnet 、libevent 、libpcap 然后安装arpd ,最后安装Honeyd )
(3)安装Honeyd
安装过程及遇到的问题处理方法请参考“7、附件”
(4)配置参数
Honeyd 安装完成后,将在/usr/local/share/Honeyd 目录下存放其配置、指纹、脚本等数
据文件。该目录下的文件config.sample,需将其重命名为f,并按照要求进行配
第2行的“create template”表示建立一个模板命名为template。
第3行的“set template personality “Microsoft Windows XP Professional SP1””表示将蜜罐虚拟出来的主机操作系统设置为Windows XP。
第4行设置一个系统重启的时间。
第5行设定最大文件描述符的值。
第6-8行表示模拟关闭所有的TCP、UDP端口,并不允许ICMP通信。
第9行的“add template tcp port 80 “sh honeyd-1.5c/scripts/web.sh””表示打开蜜罐80端口,利用web.sh虚拟出Web服务(此处需要给出web.s件所在的绝对路径)。
第10行的“add template tcp port 22 “sh honeyd-1.5c/scripts/test.sh” $ipsrc $dport””表示虚拟SSH服务。
第11-14行表示开放135、139、445端口,并阻止3389端口(阻止而不是关闭某个端口,会让蜜罐显得更真实)。
第16行的“bind自己设置的一个空闲IP地址template”表示用蜜罐虚拟出利用该模板的主机,其IP地址为“自己设置的一个空闲IP地址”。
经过以上步骤,表明成功安装配置了Honeyd,接下来就可以开始进行模拟。
(5)开启监控过程
⏹启动Arpd
命令:arpd IP(启动Arpd侦听工具,在接收虚拟IP的MAC地址并用于查询时,将使用宿主机的MAC地址做出ARP应答)
⏹启动Honeyd
命令:/usr/local/bin/Honeyd –d –f /usr/local/share/f –p
李富春/usr/local/share/honeyd/nmap.prints –x /usr/local/share/f -a
/usr/local/share/honeyd/nmap.assoc --disable-webserver ‘自己设置的一个空闲IP地
址’
⏹验证Honeyd主机的连通性
在测试机中执行ping命令,测试Honeyd主机是否可达。
命令:ping自己设置的一个空闲IP地址
此时Honeyd将响应ICMP消息,查看命令行产生的回应消息,并记录到实验报告
册中。(虚拟产生的蜜罐生成速度较慢,需要稍等一段时间再进行探查)
⏹测试Web访问
测试机中利用IE浏览器访问Honeyd模拟的Web服务。在IE浏览器中输入Honeyd
主机的IP地址。
◆查看得到的Web访问结果,并记录到实验报告册中。(下图是Web访问结果
示例)
◆查看命令行中Honeyd记录的此次Web访问的过程、连接标志和模拟脚本路径
等信息,并记录到实验报告册中。乙酸乙酯的性质
◆查看模拟脚本的详细内容
模拟脚本文件的位置“/ honeyd-1.5c/scripts/web.sh”。
5、实验思考
●如何利用Honeyd实现跨网段的模拟?参考学习网络配置实例。
6、实验报告要求
1、实验设计部分给出:
(1)实验内容;
(2)实验环境;
(3)实验工具。
2、实验过程部分给出:
(1)详细记录实验全过程(比如:安装软件、运行程序、系统设置、探测步骤等);
(2)实验结果均截图展示。
3、谈论与分析部分给出:
(1)回答实验思考题(可选);
(2)对实验过程中遇到的其他问题加以讨论和分析。
4、实验者自评部分给出:
结合实验过程谈一谈实验收获,主要叙述对实验知识点的理解。
5、实验报告提交时间:
实验结束后一周以内(提交打印稿)。
7、附件
blog.csdn/accepthjp/article/details/46399715
blog.csdn/figo1986/article/details/7356978
瑞昌市一中
wwwblogs/yjbjingcha/p/6791631.html
wenku.baidu/view/4dd29c0ca66e58fafab069dc5022aaea998f416d.htm h
/questions/linux-software-2/honeyd-error-while-lo loadi-shared-libraries-libdnet-1-cannot-open-shared-object-fi-885653/
blog.csdn/zhangxuechao_/article/details/80261502
bbs.chinaunix/forum.php?mod=viewthread&tid=3643087
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议