日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

了解你的敵人:了解VMware( 四 )

云知道



#QUEUE="yes" # Use experimental QUEUE support
QUEUE="no" # Do not use experimental QUEUE support

這些是你需要考慮的最少的變量 , 可能還會(huì)有其他的變量 , 這將取決于你系統(tǒng)的配置 。你還可以更新其他的選項(xiàng) , 比如說遠(yuǎn)程管理 , 限制防火墻可以發(fā)起的連接 , 給你的honeypots無限制的DNS訪問 。同樣 , 默認(rèn)情況下 , 腳本每小時(shí)限制每個(gè)honeypot對(duì)外的連接如下 , 9 個(gè)TCP連接 , 20個(gè) UDP連接 , 50個(gè) ICMP連接 , 和10個(gè)其他的IP連接 。腳本的具體內(nèi)容超出本篇文章的范疇 。為了更好的了解這些變量 , 我們建議你回顧一下腳本的具體內(nèi)容 , 在實(shí)驗(yàn)環(huán)境中嘗試不同的配置選項(xiàng) 。一旦你完成rc.firewall腳本配置 , 你就可以通過執(zhí)行腳本來實(shí)現(xiàn)你的目標(biāo) 。記住 , 你將使你的HostOS采用網(wǎng)橋模式 。因此 , 你的HostOS必須要有網(wǎng)橋工具 。對(duì)Red Hat系統(tǒng)來說 , 它是"bridge-utils-0.9.3-4" 。

使用網(wǎng)橋模式時(shí)需要注意兩點(diǎn) 。首先 , 在啟用網(wǎng)橋之前 , 你必須啟動(dòng)所有的GuestOS’s 。當(dāng)GuestOS’s啟動(dòng)時(shí) , 他們會(huì)尋找并使用vmnet1接口 。如果vmnet1接口已經(jīng)被設(shè)置成了網(wǎng)橋模式 , 那么GuestOS將找不到接口 , 并且不能進(jìn)行網(wǎng)絡(luò)會(huì)話 。所以 , 在運(yùn)行rc.firewall腳本之前啟動(dòng)所有的honeypots 。第二點(diǎn)是時(shí)間 , 網(wǎng)橋生效需要花費(fèi)大約10-30秒 。你必須在網(wǎng)橋轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)之前 , 給它時(shí)間獲得所有的MAC’s地址 。

host #/.rc.firewall

為了確保腳本運(yùn)行成功 , 我們需要檢查幾樣?xùn)|西 。首先 , 確定啟用了網(wǎng)橋 。你可以通過檢查/var/log/messages文件來進(jìn)行確認(rèn) , 內(nèi)核會(huì)記錄網(wǎng)橋模式 。其次 , 你得擁有一個(gè)稱做”br0”的新接口 , 這就是你的網(wǎng)橋 。第三 , 使用命令”brctl”查看綁定網(wǎng)橋的接口是什么 。第四 , 對(duì)外和對(duì)內(nèi)的接口不再有IP地址 , 因?yàn)樗鼈儸F(xiàn)在使用的是網(wǎng)橋模式 。最后 , 檢查IPTables規(guī)則確保你過濾了某些連接 。

host #tail /var/log/messages

host #ifconfig -a

host #brctl show

host #iptables -L -n

如果以上都成功了 , 那么你的數(shù)據(jù)控制也就完成了 。還有其他許多方法實(shí)現(xiàn)數(shù)據(jù)控制 , 比如說bandwidth throttling 。

Part IV: 數(shù)據(jù)捕獲

完成數(shù)據(jù)控制后的下一步是數(shù)據(jù)捕獲 。數(shù)據(jù)捕獲的目的是在不讓攻擊者發(fā)覺的情況 , 捕獲他們攻擊活動(dòng)的所有信息 。有很多種不同的方法可以實(shí)現(xiàn)數(shù)據(jù)捕獲 , 但是我們主要關(guān)注兩種 。IPTable日志和Snort 。IPTable日志是當(dāng)有數(shù)據(jù)進(jìn)入或者流出時(shí)由防火墻產(chǎn)生的日志 。Snort是一種開放源代碼的IDS產(chǎn)品 , 我們可以用它來捕獲所有的網(wǎng)絡(luò)活動(dòng) , 對(duì)已知的具有攻擊特征的信息發(fā)出警告 。

對(duì)于IPTabels來說 , 日志記錄已經(jīng)通過腳本rc.firewall為我們配置好了 。它被配置來記錄所有新的對(duì)內(nèi)和對(duì)外連接到日志文件/var/log/messages中 。任何進(jìn)來的連接都可能是探測(cè) , 掃描 , 或者攻擊的跡象 。任何對(duì)外的連接都表明honeypot可能已經(jīng)被入侵 。IPTable日志的主要價(jià)值是警告 。而不會(huì)告訴我們關(guān)于入侵者正在做什么的足夠信息 。而對(duì)于Snort來說 , 我們可以配置它來捕獲進(jìn)出Honeynet的每個(gè)數(shù)據(jù)報(bào) 。這里有個(gè)捕獲和記錄入侵者活動(dòng)的Snort配置文件Snort config file 。你可以在這里看到一個(gè)簡(jiǎn)單的Snort啟動(dòng)腳本 , 它可以啟動(dòng)Snort并使用推薦的Snort配置文件 。別忘了更新啟動(dòng)腳本來監(jiān)視HostOS的vmnet1接口 。你可能每天都想運(yùn)行此腳本 , 那么你可以通過cron來運(yùn)行這個(gè)腳本 。

host #./snort-start.sh

既然這是第二代Honeynet , 你可以考慮運(yùn)用更先進(jìn)的數(shù)據(jù)捕獲技術(shù) , 比如說Sebek 。它允許你通過內(nèi)核來捕獲攻擊者的活動(dòng)信息 。當(dāng)然還有其他各種各樣的實(shí)現(xiàn)數(shù)據(jù)捕獲的方法 , 但是它們超出了這篇文章的范疇 。想了解其他方法 , 請(qǐng)參考Honeynet Tools Section 。

推薦閱讀