入侵者侵入蜜罐服务器后系统能够根据其指令进行正确的显示,迷惑并诱使入侵者继续入侵行为。根据捕获的数据包和记录的日志数据获得入侵者的行动记录,通过这些记录来分析入侵者所使用的工具、策略以及攻击目的。
(7)远程日志模块
将蜜罐、IDS、防火墙、异常检测等模块产生的日志信息传输到日志服务器上。对于IDS、防火墙产生的日志信息,可以利用MySQL进行远程日志记录,对于honeyd产生的日志由于存储在本地计算机上,因此要进行honeyd的日志远程转储,要保证日志信息在网络传输中的安全性。
4 蜜罐服务器的部署
理论上来看,蜜罐服务器部署得越多,应用服务器被扫描与攻击的风险则越小,但同时系统成本将大幅度提高,管理难度也加大。因此可以根据网络规模和访问量的大小来部署蜜罐服务器:若网络规模和访问量较大,可以直接部署多个蜜罐服务器;若网络规模和访问量较小,可以通过虚拟系统来完成蜜罐服务器的部[3]署。
例如采用虚拟机系统,则首先在WindowsServer2003平台上安装当前较流行的VMware虚拟机系统,其中虚拟机上可以设置两个虚拟网卡,分别连接系统工作网、虚拟服务器网,然后根据需要虚拟多个服务器并安装相应的操作系统及应用软件。具体步骤如下:
1)安装虚拟机软件。
2)构建虚拟网络系统,可以是Windows或Linux。为保证虚拟系统的性能,应尽量为其分配较高的内存和硬盘空间。
3)在虚拟系统上安装蜜罐软件,根据系统的不同可以是TrapServer或Honeywall,然后配置IP信息、管理信息等。
4)重复3)安装虚拟服务器组,并配置相应的应用系统。
5)在虚拟服务器组上安装并配置数据捕获软件sniffer或sebek。
5 系统测试
1)对蜜罐服务器的版本探测ListeningforHTTPconnectionson0.0.0.0:80.UserloggedinCommandGET/receibedform200.169.5.100:2025ServingfileC:\Hp\Web\iis\index.htm(4628bytes/4628bytessentto192.168.1.6:1943)Userloggedout入侵者用Telnet连接蜜罐服务器,并进行了版本探测。输入getindex.htm,即可看到系统版本。
2)入侵自动报警
使用脚本语言建立报警机制Wsh.run\\\\\\”netuserjgya11aa/add\\\\\\”,0Wsh.run\\\\\\“netsend192.165.85.211Intrusion\\\\\\”,0[ExtshellfolderViews]Default={5984FFE0-28D4-11CF-AE66-08002B2E1262}{5984FFE0-28D4-11CF-AE66-08002B2E1262}={5984FFE0-28D4-11CF-AE66-08002B2E1262}//Folder.httpersistMoniker=file:[.shellClassInfo]ConfirmFlileOp=0当有入侵者访问蜜罐时系统立刻就会自动生成一个用户名为jgya,密码是11aa,并发送“Intrusion”的信息。