|
 | 作者: TecZm [teczm]
 版主 |
登录 |
| 蜜罐之honeytrap完解 http://www.xaitc.com/viewtopic.php?t=124 要注册的。 |
| 地主 发表时间: 06-09-13 11:39 |
| 回复: TecZm [teczm] 版主 |
登录 |
|
首发于www.xaitc.com 信息安全版 简介 Honeytrap是一个用来观察针对TCP服务攻击的一个网络安全工具。 作为一种低交互的蜜罐,它收集基于网络已知和未知的攻击信息,以提供早期预警信息。 Honeytrap在内核级收集全部信息,并采用插件自动进行攻击分析。 对于传统的蜜罐而言,常常使用模拟服务或模拟漏洞来获得攻击信息,这种方法对于未知攻击而言有效性是需要怀疑的。 当Honeytrap蜜罐守护进程侦测到未绑定的TCP端口请求时,它启动一个进程来处理这个连接,这样它可以处理已知或未知的攻击。这样蜜罐机 器不用保持数量庞大的开放端口以应付可能的攻击;Honeytrap使用"连接监控"技术来处理TCP连接。Honeytrap使用两种不同的连接监控技术: * 默认模式是基于libpcap嗅探抓取本地产生的reject零标志位的RST包,同时动态开放次端口,远端系统将再次尝试并成功连接。这种模式比较 轻便。 *在linux系统上可以采用hook netfilter/iptables的ip_queue接口方式,并创建1个iptables的规则以传送SYN包到Honeytrap。这种监控模式 在包第一次到达时即可获得,但是作为pcap入口并不是那么秘密(teczm:原文"but it is not as stealth as the pcap approach")。 Honeytrap可以使用回应包捕获工具(如netcat)获得原生服务的回应包,将其保存到文件上,以供Honeytrap来模拟真实的服务回应。 Honeytrap的攻击处理模式可以采用"反射模式",它将进入的数据反射回攻击者。对每个进入的连接Honeytrap建一个“反射连接”到远程主机 的请求端口。你可以将它理解为tcp proxy,反射攻击到攻击者。这样服务模拟并不总是需要的。:)如果反射模式不能建立,则Honeytrap自动 使用常规模式(包括"poor man's服务模拟方式")。 Honeytrap也可以使用"proxy模式"来转发进入的包到不同的主机或服务,同时对所有的通信进行记录。端口可以指定以处理"常规模式"或"忽略 模式"。未来Honeytrap可以使TCP端口采用不同的模式。这样某些连接可以被不同的蜜罐或者真实服务处理,而另一些可以反射回攻击者或者在 常规模式下处理。 Honeytrap可用的插件包括: *基本组件存储攻击行为在文件系统以供第三方分析工具分析 *FTP 下载命令分析和客户端协议执行下载,下载文件可以被存储到文件系统 *TFTP下载命令分析和客户端协议执行下载,下载文件可以被存储到文件系统 *攻击弱的VNC服务器的HTTP URL分析。文件可被外在工具(如wget)下载。 *辨认和解码一些based64加密的漏洞利用,以处理未来的自动分析。 Honeytrap版权遵从GPL协议。 详细请见 http://www.xaitc.com/viewtopic.php?t=124 {这里有发帖时间限制  }[此贴被 TecZm(teczm) 在 09月13日11时42分 编辑过] |
| B1层 发表时间: 06-09-13 11:40 |
| 回复: TecZm [teczm] 版主 |
登录 |
|
HONEYTRAP 章节: 维护命令 更新于: 2006年6月17日 命令格式: 代码: honeytrap [ -Dpmv ] [ -i interface ] [ -a ip address ] [ -l listen timeout ] [ -r read timeout ] [ -t loglevel ] [ -L logfile ] [ -P pidfile ] [ -C configfile ] [ expression ] 命令描述: -a ip- address 观察某个IP上的reject连接。通常honeytrap会自动获得接口IP地址,一般不需要此选项 -g group 在初始化后改变动态服务器进程组名或组ID -h 打印命令格式到标准输出,然后退出 -i interface 在这个接口观察reject连接 -l listen-timeout 在指定的秒数后中断动态服务器,默认30秒 -m 运行在反射模式下。反射进来的连接到远程攻击主机。 -p 使接口采用混杂模式。(小写的p) -r read-timeout 在指定的秒数后中断连接操作,默认1秒 -t log-level 日志冗余级别(0-6).默认3, 0 为关闭 -u user 在初始化后以user用户运行 -v 打印版本号到标准输出,然后退出 -C configuration-file 从配置文件读取配置 -D 不作为守护进程运行(运行在前台) -L log-file 记录日志到指定文件 -P pid-file 将主进程ID写到指定pid文件 expression 辨认舍弃的连接,honeytrap使用bpf嗅探发送到远程主机的TCP reset 包。可以使用expression参数限制bpf嗅探对象。 举例: 从/etc/honeytrap.conf读取配置,作为nobody/nogroup用户/组在eth0运行,记录日志到/var/log/honeytrap.log。设置日志冗余级别为LOG_NOISY ( 5 )并且在运行在前台( -D ): 代码: honeytrap -C /etc/honeytrap.conf -i eth0 -u nobody -g nogroup -L /var/log/honeytrap.log -t 5 -D |
| B2层 发表时间: 06-09-13 11:42 |
| 回复: TecZm [teczm] 版主 |
登录 |
|
举例: 一台FreeBSD5.x主机,系统服务仅运行了Opensshd,运行honeytrap后显示 引用: honeytrap v0.6.3 - Initializing. Servers will run as user nobody (65534). Servers will run as group nogroup (65533). Loading plugin htm_vncDownload v0.2. Loading plugin htm_tftpDownload v0.1. Loading plugin htm_ftpDownload v0.2. Loading plugin htm_b64Decode v0.2. Loading plugin htm_aSaveFile v0.1. Loading default response for port 80/tcp. Loading default response for port 5900/tcp. Loading default response for port 4899/tcp. Loading default response for port 445/tcp. Loading default response for port 4444/tcp. Loading default response for port 3306/tcp. Loading default response for port 25/tcp. Loading default response for port 21/tcp. Loading default response for port 1433/tcp. Loading default response for port 139/tcp. Loading default response for port 135/tcp. BPF string is '(tcp[13] & 0x04 != 0) and (tcp[4:2] == 0) and (src host (192.168.55.1))'. Logging to /var/log/honeytrap.log. Initialization complete. honeytrap v0.6.3 Copyright (C) 2005-2006 Tillmann Werner <tillmann.werner@gmx.de> [2006-09-11 15:42:53] ---- Trapping attacks on rl0. ---- 使用X-scan3.3-cn版扫描,结果显示如下图:  honeytrap将 攻击日志写到 /var/log/honeytrap.log 详细攻击脚本 /var/spool/honeytrap/attacks 引用: ...... -rw-r--r-- 1 nobody nogroup 51 Sep 11 16:02 from_port_80_9503-2006-09-11 -rw-r--r-- 1 nobody nogroup 109 Sep 11 16:03 from_port_80_9504-2006-09-11 -rw-r--r-- 1 nobody nogroup 109 Sep 11 16:03 from_port_80_9505-2006-09-11 -rw-r--r-- 1 nobody nogroup 18 Sep 11 16:03 from_port_80_9506-2006-09-11 -rw-r--r-- 1 nobody nogroup 51 Sep 11 16:10 from_port_80_9581-2006-09-11 -rw-r--r-- 1 nobody nogroup 109 Sep 11 16:10 from_port_80_9582-2006-09-11 -rw-r--r-- 1 nobody nogroup 109 Sep 11 16:10 from_port_80_9583-2006-09-11 -rw-r--r-- 1 nobody nogroup 18 Sep 11 16:10 from_port_80_9584-2006-09-11 -rw-r--r-- 1 nobody nogroup 17 Sep 11 16:10 from_port_80_9593-2006-09-11 -rw-r--r-- 1 nobody nogroup 186 Sep 11 16:11 from_port_80_9594-2006-09-11 ...... 可使用cat查看攻击代码 例: 代码: cat from_port_25_10238-2006-09-11 显示: 引用: HELO XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX |
| B3层 发表时间: 06-09-13 11:44 |
| 回复: TecZm [teczm] 版主 |
登录 |
|
上面这个例子是工作在normal模式下的,如果工作在proxy模式下的话,可以转发攻击包到指定主机,当然也包括外部主机;若工作在反射模式下,可以反射攻击包到攻击者,那样就有趣的很了哈哈。 |
| B4层 发表时间: 06-09-13 11:45 |
 | 回复: radom [f_h]  论坛用户 |
登录 |
|
注:此为TECZM调戏你们的。 |
| B5层 发表时间: 06-09-13 17:34 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: UNIX系统 标题: 调戏漏扫,人人有责!