1 / 130

Module 9 : 誘捕系統實習

Module 9 : 誘捕系統實習. 學習目的. 利用誘捕系統,找出網路中潛在的威脅 本模組共有四個小節包括 (1) 誘捕系統簡介 (2) 誘捕系統工具介紹 (3) 誘捕系統的實務 (4) 誘捕系統的專案 實作 共需三個鐘點. Module 9 : 誘捕系統實習. Module 9-1 :誘捕系統簡介 (*) Module 9-2 :誘捕系統工具介紹 (*) Module 9-3 :誘捕系統的實務 (**) Module 9-4 :誘捕系統的專案實作 (*). * 初級 (basic) :基礎性教材內容

susan
Download Presentation

Module 9 : 誘捕系統實習

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Module 9:誘捕系統實習

  2. 學習目的 • 利用誘捕系統,找出網路中潛在的威脅 • 本模組共有四個小節包括 (1)誘捕系統簡介 (2)誘捕系統工具介紹 (3)誘捕系統的實務 (4)誘捕系統的專案實作 共需三個鐘點

  3. Module 9:誘捕系統實習 • Module 9-1:誘捕系統簡介(*) • Module 9-2:誘捕系統工具介紹(*) • Module 9-3:誘捕系統的實務(**) • Module 9-4:誘捕系統的專案實作(*) * 初級(basic):基礎性教材內容 **中級(moderate):教師依據學生的吸收情況,選擇性介紹本節的內容 ***高級(advanced):適用於深入研究的內容

  4. Module 9-1:誘捕系統簡介(*)

  5. 誘捕系統(Honeypot)的介紹 • 誘捕系統(Honeypot):受到嚴密監控的網路誘騙系統,具有以下特點 • 迷惑敵人,誘使駭客攻擊Honeypot而無暇去攻擊一些系統中比較重要的機器 • 對新攻擊發出預警 • 引誘駭客攻擊 • 對攻擊的行為和過程進行深入的分析研究 • 使用入侵偵測系統與防火牆等結合使用,以提升系統安全性

  6. 誘捕系統(Honeypot)的重要性 • 建構網路防護系統,對未經授權或非法的存取動作進行偵測,進而引誘攻擊者入侵組織資訊系統的陷阱 • 作為對系統弱點預警及先進的監視工具 • 減低資訊科技系統及網路遭攻擊的風險 • 蒐集入侵方法並加以分析,為系統的潛在漏洞提供寶貴資訊 • 程序為 偵測 誘捕 反制

  7. 誘捕系統(Honeypot)的重要性 (續) • IDS 跟Honeypot: • 傳統的入侵偵側系統(IDS) • 它記錄了網路上的流量且尋找攻擊和入侵的線索。並針對已知的入侵手法對外來的attacker作出警告(alert) • Honeypot • 了解入侵者的攻擊方式,並從Honeynet 所收集來的資訊分析、監視未來可能被攻擊的趨勢 • 學習駭客入侵的工具,這些資訊也可被用教作教育訓練。並藉以找出作業系統的弱點

  8. 誘捕系統(Honeypot)的功能 • 誘捕系統模擬成有缺陷的系統,等待攻擊者來攻擊,藉以蒐集攻擊的手法與方式 • Honeypot解決IDS或防火牆記錄等資訊過量問題 • 為一個模擬或真實的網路系統 • 隱藏在防火牆後面,所有進出的資料皆受到監視 • 使用不同的作業系統及設備,如Solaris、Linux、Windows NT及Cisco Switch

  9. 誘捕系統(Honeypot)的功能 (續) • 不同的系統平台上面運行著不同的服務 • 例:Linux的DNS server、Windows NT的webserver或Solaris的FTP Server • 入侵者會將目標定於幾個特定的系統漏洞上 • 不同的服務有不同的攻擊手法 • 分析記錄使我們了解服務的弱點

  10. 誘捕系統(Honeypot)的分類-真實與虛擬

  11. 誘捕系統(Honeypot)的分類 • 低互動性誘捕系統(Low-Interaction Honeypot) • 提供有限的服務,藉由模擬服務與作業系統來運作 • 風險也較小,因攻擊者絕不會進到一個真實的作業系統 • 高互動性誘捕系統(High-Interaction Honeypot) • 以真實的作業系統與真實的應用程式來運作,而非模擬 • 風險相對較高,因攻擊者可能攻陷一個真實的作業系統 ,並威脅真實的網路

  12. 低互動性誘捕系統(Low-Interaction Honeypot) • 模擬現有作業系統上的服務 • 監控沒有使用的 IP 位址空間 • 記錄攻擊 • 主要優勢 • 較容易部署與維護 • 風險亦較小,因攻擊者絕不會進到一個真實的作業系統 • 例:Honeyd、Nepenthes及Honeytrap

  13. 高互動性誘捕系統(High-Interaction Honeypot) • 以真實的作業系統來構建,提供真實的系統和服務給駭客攻擊 • 不預設一個攻擊者會有什麼樣的行為,而提供可以追蹤所有活動的環境 • 缺點: • 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器 • 部署較為複雜,技術層面較高 • 例:Honeywall-ROO、HIHAT及Honeybow

  14. 誘捕系統(Honeypot)的分類-攻擊端 • Server Honeypot • 傳統的Honeypot類型屬於server Honeypot,主要目標是讓駭客找到並進行攻擊 • 是被動式的等待攻擊行為發生,因為是被動式的,若沒有攻擊則無法見到誘捕效果 • Client Honeypot • 以主動方式對目標網站進行偵測 • 分析是否有可疑行為,快速判斷並提供警告的訊息 • 包含請求、回應、攻擊三個程序

  15. 誘捕系統(Honeypot)的分類-攻擊端

  16. Module 9-2:誘捕系統工具介紹(*)

  17. 誘捕系統(Honeypot)工具比較 • 商業軟體 • 優:效果佳 • 缺:成本高 • 例:Symantec Decoy Server與KFSensor • 免費軟體 • 優:成本低 • 缺:缺少某些商業軟體所提供的效果 • 例:Honeyd與Nepenthes

  18. 誘捕系統(Honeypot)工具比較 9-18

  19. 誘捕系統(Honeypot)工具- Symantec Decoy Server • 由賽門鐵克公司所發展商用之誘捕系統 • 會警示由內/外部所發出之未經授權的入侵意圖 • 可自動地偵測與回應新型態的攻擊 • 過程可重播 • 改善在使用者間建立模擬的電子郵件流量的能力,以強化誘捕的環境 • 改善回應機制,包括以頻率為基礎的政策,以及以攻擊活動為根據的關機系統 • 提供早期的威脅偵測以及重要資訊,以維持營運的網路基礎架構

  20. 誘捕系統(Honeypot)工具- Symantec Decoy Server • 可在一台主機電腦上建立四個誘捕系統,單個誘捕系統可以獨立運作,也可以與其他誘捕系統協同運作 • 會建立一個核心封套(Kernel Wrapper),用來控制誘捕系統與主機核心之間的互動 • 會使用現有作業系統來建立一個可信賴的作業環境

  21. 誘捕系統(Honeypot)工具- KFSensor • 可針對Windows作業系統所提供的各項服務以及弱點進行模擬 • 可模擬Windows的網路,如NetBIOS、SMB、CIFS • 可偵測到針對Windows檔案分享的攻擊 • 模擬常見的通訊協定如:FTP、SMB、POP3、HTTP、Telnet、SMTP與SOCKS等以蒐集攻擊者的資訊 資料來源:http://www.keyfocus.net/kfsensor/

  22. 誘捕系統(Honeypot)工具 - Honeyd • 輕型Open-source的虛擬Honeypot • 模擬多個作業系統和網路服務 • 諸多外掛模組,用於模擬常見的服務 • 模擬微軟 IIS 網頁伺服器的Scripts • 模擬SMTP • 模擬HTTP • 模擬Telnet • 支援IP協定架構 • 模擬任意拓撲架構的虛擬網路與網路通道

  23. 誘捕系統(Honeypot)工具 - Honeyd (續) • 處理目的IP位址屬於虛擬Honeypot之一的網路封包的方法 • 對指向Honeyd主機的虛擬IP位址創建特定路由 • 使用ARP-Proxy • 使用網路通道

  24. 誘捕系統(Honeypot)工具 - Honeyd (續) • 利用Blackholing或ARP Spoofing偵測是否有IP被要求連線,模擬成一個擁有此IP跟服務的系統進行交談並記錄下來,交談完畢後Honeyd會將此IP及對應的服務給卸載下來。運作是很有效率的。 • Honeyd是使用NMAP的OS Fingerprint資料庫,所以可以模擬超過490種的作業系統發佈版本,所以當駭客使用NMAP來對Honeyd做OS的fingerprint,Honeyd就可以輕易的騙過駭客 資料來源:http://www.ringline.com.tw/epaper/Forum980801.htm(瑞麟科技)

  25. 使用ARP - Proxy 封包的Destination=Honeypot Windows NT 4.0 9-25

  26. 使用ARP - Proxy (續) 路由器查詢它的路由表由找到10.0.0.13的轉送位址 9-26

  27. 使用ARP - Proxy (續) 沒有配置專用的路由 9-27

  28. 使用ARP - Proxy (續) 路由器透過ARP請求確定10.0.0.13 的MAC位址 9-28

  29. 使用ARP - Proxy (續) 路由器把發送Honeypot Windows NT 4.0的封包轉到Honeyd主機的MAC位址 9-29

  30. Honeyd原理說明 在port 80等待連線

  31. Honeyd原理說明 (續) 有人連進來,由subsystem接受連線 9-31

  32. Honeyd原理說明 (續) 由internal service決定如何回應 9-32

  33. Honeyd配置 • 透過配置模板(Template)來配置虛擬的Honeypot • 配置語言是一種Context-free文法(上下文順序無關),可以設定虛擬網路、作業系統及服務

  34. 配置模板 創建一作業系統模板 • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 9-34

  35. 配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 設定該模板的Nmap 指紋 9-35

  36. 配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 設定預設的TCP和UDP和ICMP 動作 9-36

  37. 配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 設定系統監聽埠號,並且呼叫腳本iisemul8.pl和cmdexe.pl 9-37

  38. 配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 打開TCP 139與137 Port 打開UDP 137與135 Port 9-38

  39. 誘捕系統(Honeypot)工具 - Nepenthes • Nepenthes為惡意程式誘捕系統,藉由模擬系統弱點,誘使惡意程式對誘捕系統進行攻擊,進而捕捉到惡意程式,是屬於Low-Interaction Honeypot

  40. 誘捕系統(Honeypot)工具 - Nepenthes (續) Vulnerability Modules:模擬網路服務的弱點

  41. 誘捕系統(Honeypot)工具 - Nepenthes (續) Shellcode parsing Modules:分析與反解Exploit Payload,找出Mal-URL

  42. 誘捕系統(Honeypot)工具 - Nepenthes (續) Fetch Modules:利用HTTP、FTP、TFTP…從遠端抓取惡意程式Binary

  43. 誘捕系統(Honeypot)工具 - Nepenthes (續) Submission Modules:將抓下來的惡意程式存到Disk,或其他伺服器

  44. Nepenthes … 誘捕系統(Honeypot)工具 - Nepenthes (續) • 於Linux環境下執行,透過模組模擬不同的系統弱點,並可將蒐集的惡意程式儲存在分散式的資料庫中 • Developer:Paul Baecher, Markus Koetter • Nepenthes網址: • http://nepenthes.carnivore.it • http://nepenthes.mwcollect.org

  45. 誘捕系統(Honeypot)工具 – Nepenthes (續) • Nepenthes可以模擬的弱點

  46. 漏洞掃描工具 - X-Scan • 掃瞄內容包括:遠端系統服務類型、操作系統類型及版本,各種弱點漏洞、後門、應用服務漏洞 • 原創作者:XFOCUS Team • X-Scan網址:http://www.xfocus.org/programs/200507/18 9-46

  47. 誘捕系統(Honeypot)工具 - Kippo • 一種中互動式的開源SSH honeypot • 用來紀錄暴力攻擊的模式,並可以提供攻擊者操作的shell • 主要是在Kojoney的基礎上進一步提供更真實的shell互動環境 • 安全的偽裝一個建全的文件系統,允許攻擊者能夠自行操作增添或是刪除文件的動作 • 以UML(user model linux)相容格式紀錄shell log檔,提供輔助工具幫助還原攻擊過程

  48. 誘捕系統(Honeypot)工具 - Kippo (續) 攻擊者透過SSH進行連線 將連線導入kippo shell中 導入 Kippo Shell 記錄 透過Kippo Shell擬真的互動環境,引誘攻擊者進行動作,透過UML相容格式記錄下攻擊者的動作 LOG

  49. 結論 • Honeyd可以應用在網路安全的許多領域 • 例︰病毒探測、反蠕蟲、阻止垃圾郵件及轉移攻擊目標等 • Honeypot系統都是正在發展中的技術,還需要不斷地擴充和完善功能,提升迷惑性和自身的安全性 • 誘捕系統為安全研究使用較多,部署於企業內部需考量其風險及安全性,並配合適當的監控及分析技術,否則仍不適用於一般的企業作為安全機制的一環

  50. Module 9-3:誘捕系統的實務(**)

More Related