日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

了解你的敵人:了解VMware( 五 )

云知道



Part V: 測試你的VMware Honeynet

搭建我們的VMware Honeynet的第五步 , 也是最后一步就是測試我們的配置 , 特別是對數據控制和數據捕獲的測試 。我們要確保我們的Honeynet和期望的情況一樣 。數據控制的測試相對來說比較簡單 。我們要確保honeypot企圖向外發(fā)起的任何連接都被記錄和控制 。通過記錄 , 所有連接嘗試都被記錄在/var/log/messages中 , 警告我們有向外的連接發(fā)起 , honeypot可能已經被入侵 。同時 , 一旦到達了連接限制 , 我們希望確保任何更多的向外的連接都被禁止 。這里有個測試Honeynet的技巧 , 既然我們使用了網橋模式 , 我們需要另一臺電腦 , 讓它充當攻擊者 。如果網橋不能把目的IP轉換成一個有效的MAC地址 , 它將不會轉發(fā)任何數據報 。如果沒有數據報轉發(fā) , 我們將不能測試IPTables 。對于那些沒有多余電腦的人來說(或者那些舍不得花錢購買電腦的人) , 你可以通過啟動UML系統(tǒng)虛擬出第二臺電腦 。UML系統(tǒng)將綁定到tap0虛擬接口 , 同時我們所有的VMware honeypots將綁定到vmnet1虛擬接口 。這樣 , 你的HostOS就會網橋接兩個不同的虛擬網絡 。請不要忘了 , 你還得修改rc.firewall腳本使tap0成為對外的接口 。要想了解關于運行UML的更多信息 , 請參考文章KYE: UML 。UML可作為攻擊者 , 探測VMware honeypots 。鑒于這篇文章的目的 , 我們將要示范的只是測試性的概念 。我們的UML攻擊者的IP地址將是10.10.10.100 。它的確也能夠工作:) 。

我們將測試對外的TCP連接 , 默認配置下每小時只能發(fā)起9次對外的連接嘗試 。為了測試此項 , 我們需要打開兩個終端窗口 。首先 , 我們在HostOS上打開一個終端窗口 , 并且監(jiān)視在/var/log/messages中的IPTable日志 。當我們從GuestOS通過Host網關試圖發(fā)起對外的連接時 , 我們將發(fā)現連接嘗試會被記錄在日志中 。這些信息都是警告 , 表明honeypot可能已經被入侵 , 攻擊者(或者一些自動化的攻擊工具)正在嘗試對外連接 。當第10次對外連接發(fā)起的時候 , TCP連接將被阻止(因為到達了最大連接限制)和記錄 。下面是你在嘗試任何對外連接之前要執(zhí)行的命令 。

host #tail -f /var/log/messages

下一步 , 在我們的GuestOS 即honeypot系統(tǒng)上打開一個終端 。向一個外部IP發(fā)起各種對外的TCP連接 , 在這里是10.10.10.100(我們的UML系統(tǒng)) 。你很可能會反復的嘗試幾次 。

Trying 10.10.10.100...
telnet: connect to address 10.10.10.100: Connection refused

如果你看到連接嘗試被記錄 , 達到連接限制后的連接都被阻止 , 那么你就成功的實現了數據控制 。接下來 , 我們將確保數據捕獲正常工作 , 尤其是確保Snort進程捕獲進出Honeynet的所有數據報和它們全部的負荷 。Snort進程應該監(jiān)視HostOS的內部接口 , 特別是vmnet1 。為了測試 , 我們將嘗試ping外部系統(tǒng) , 在這里也是10.10.10.100 。

guest #ping -c 3 10.10.10.100

Snort進程應該已經捕獲三個ICMP Echo請求數據報和它們全部的負荷 。它應該把活動以tcpdump二進制日志的形式記錄下來了 。我們檢查日志文件來進行確認 , 下面是一個例子 。值得注意的是 , 你不只是在捕獲每一個數據報和報文頭 , 而是捕獲每個數據報全部的負荷 。

host #snort -vdr *snort.log

就是它了 ?,F在 , 你僅僅完成了對數據控制和數據捕獲性能的最基本的測試 。你也可以嘗試進行更高級的測試 , 比如說用另一***立的電腦充當Internet上的一個系統(tǒng) , 然后和honeypot通訊 。但是 , 這超出了我們這篇文章的范圍 。

注意: 這篇文章即將結束 , 我們現在來做一個最后的回顧 , 我們用VMware’s的其他特性來做更進一步的公開分析 。特別是VMware的掛起功能 。掛起功能允許你逐個的掛起GuestOS(或者honeypot)映像 。它將凍結所有正在運行的進程 , 然后把內存映像保存在一個文件中 。這就是說你可以掛起你的honeypot , 關閉你的電腦 , 然后一周后再打開它 , 重新加載honeypot , 就像以前它運行的時候一樣 。它有一些不可想象的應用 。我們把被攻擊電腦的掛起映像保存下來 , 然后把這些映像轉移到其他地方進行分析 。這就允許我們在一個被攻擊的honeypot仍然處于它的運行狀態(tài)的時候對它進行分析 。這里要注意的是 , 在分析掛起映像時 , 你必須保證是在一個孤立網絡中進行的 , 否者 , 被攻擊的honeypot會嘗試連接它在掛起之前和它進行通訊的任何系統(tǒng) 。

推薦閱讀