日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

了解你的敵人:了解VMware( 三 )

云知道



host #ls -l /root/vmware

total 28

drwxr-xr-x2 rootroot 4096 Oct 10 01:10 linux-6.2

drwxr-xr-x2 rootroot 4096 Jan 14 19:00 linux-7.2

drwxr-xr-x2 rootroot 4096 Jan 14 22:14 linux-7.3

drwxr-xr-x2 rootroot 4096 Jan 25 15:15 openbsd

drwxr-xr-x2 rootroot 4096 Jan 25 15:15 solaris

drwxr-xr-x2 rootroot 4096 Dec 16 08:47 win2000Serv

drwxr-xr-x2 rootroot 4096 Jan 25 15:15 winXPPro

host #

host #cp -a /root/vmware /root/vmware-backup

Part III: 數(shù)據(jù)控制

完成VMware和honeypots配置后的下一步就是數(shù)據(jù)控制了 。數(shù)據(jù)控制的目的就是要獲得攻擊者進(jìn)出Honeynet的一切信息 。特別的 , 我們?cè)试S所有進(jìn)入Honeynet系統(tǒng)的數(shù)據(jù) , 但是限制對(duì)外的連接 。鑒于這篇文章的目的 , 我們將使用IPTables這種Linux自帶的開放源代碼的防火墻來(lái)解決此問(wèn)題 。IPTables是一種靈活性相當(dāng)高的正式的防火墻 , 有連接限制 , 網(wǎng)絡(luò)地址轉(zhuǎn)換 , 日志記錄的功能 , 和許多其他的特性 。我們把IPTables配置成我們HostOS上的過(guò)濾器 , 計(jì)算流出網(wǎng)絡(luò)的數(shù)據(jù)報(bào) 。一旦對(duì)向外的連接到達(dá)了限制的數(shù)量 , 之后所有的連接嘗試都會(huì)被阻止 , 保證被入侵的honeypot不會(huì)對(duì)其他系統(tǒng)造成損害 。配置和實(shí)現(xiàn)這些性能可能會(huì)非常復(fù)雜 。但是 , Honeynet Project編寫了一個(gè)稱作rc.firewall的IPTables腳本 , 它可以幫助你完成所有的工作 。你僅僅需要修改腳本變量使它適應(yīng)你的Honeynet , 然后運(yùn)行腳本 。

你首先要決定的一件事是 , 你想使網(wǎng)關(guān)運(yùn)行在第三層的路由模式 , 還是第二層的網(wǎng)橋模式 。第二層網(wǎng)橋模式(也叫做GenII, 或者2nd generation)是首選的方法 。當(dāng)網(wǎng)關(guān)扮演網(wǎng)橋的角色時(shí) , 就沒有數(shù)據(jù)報(bào)路由和數(shù)據(jù)報(bào)的TTL消耗 , 它成為一個(gè)不可見的過(guò)濾設(shè)備 , 使攻擊者更難發(fā)覺 。但是 , 要想使IPTables工作在網(wǎng)橋模式 , 你的內(nèi)核必須打補(bǔ)丁來(lái)支持它 。默認(rèn)情況下 , 絕大多數(shù)內(nèi)核都不支持IPTables的網(wǎng)橋模式 。Red Hat內(nèi)核2.4.18-3是少數(shù)幾個(gè)默認(rèn)情況下支持這種模式的內(nèi)核之一 。如果你想修改內(nèi)核 , 你可以在http://bridge.sourceforge.net/download.html找到補(bǔ)丁 ??紤]到這篇文章的目的 , 我們將假設(shè)你的內(nèi)核確實(shí)支持IPTables的網(wǎng)橋模式 。如果你的內(nèi)核不支持網(wǎng)橋模式 , 請(qǐng)查閱文章KYE: UML獲取關(guān)于配置rc.firewall來(lái)支持第三層路由的更多信息 。

現(xiàn)在 , 讓我們來(lái)詳細(xì)講述怎樣配置rc.firewall腳本來(lái)實(shí)現(xiàn)GenII的功能 。有兩個(gè)地方需要配置 , 網(wǎng)絡(luò)和控制 。實(shí)際上 , 網(wǎng)絡(luò)在網(wǎng)橋模式中遠(yuǎn)比在路由模式中簡(jiǎn)單 。在網(wǎng)橋模式中 , 沒有路由 , 或者任何網(wǎng)絡(luò)地址轉(zhuǎn)換問(wèn)題 。我們只需簡(jiǎn)單的把HostOS變成網(wǎng)橋 , GuestOS’s就可以直接和其他網(wǎng)絡(luò)通訊了 。針對(duì)連接問(wèn)題 , 我們需要配置允許多少對(duì)外連接 。我們需要配置的選項(xiàng)如下 。首先 , 你需要設(shè)置Guest操作系統(tǒng)的對(duì)外IP地址 。這些是攻擊者要攻擊的IP地址 , 是我們honeypots的有效IP地址 。既然我們有五個(gè)honeypots , 我們需要列出五個(gè)IP地址 。防火墻需要知道它們的范圍 。

PUBLIC_IP="10.10.10.201 10.10.10.202 10.10.10.203 10.10.10.204 10.10.10.205"

其次 , 你要識(shí)別HostOS的內(nèi)部接口的名字 。默認(rèn)情況是eth1 。但是 , 我們將使用虛擬接口vmnet1 , 需要修改這個(gè)變量 。

LAN_IFACE="vmnet1"

最后 , 既然我們要搭建一個(gè)GenII Honeynet , 你必須考慮盡量使用Snort自帶的功能阻止已知的向外的攻擊 。描述Snort-Inline的細(xì)節(jié)已經(jīng)超過(guò)了這篇文章的范疇 , 它將在以后的文章Know Your Enemy: GenII Honeynet 中討論 。你可能會(huì)考慮使用Honeynet Snort-Inline工具包 , 它有靜態(tài)的 , 編譯好了的二進(jìn)制文件 , 有配置文件 , 規(guī)則庫(kù)和文檔 , 你可以在Honeynet Tools section找到Snort-Inline工具包 。如果你確實(shí)想測(cè)試這個(gè)性能 , 你需要啟用QUEUE選項(xiàng) 。注意:如果你啟用了這個(gè)選項(xiàng) , 你必須保證已經(jīng)運(yùn)行了Snort-Inline , 否者所有外出的數(shù)據(jù)報(bào)都會(huì)被丟棄 。如果沒有作到以上要求 , 請(qǐng)不要啟用這個(gè)特性 。

推薦閱讀