| 蜜罐技术已经为网络安全做出了巨大贡献,但物理蜜罐部署的复杂、耗时及昂贵,却常常令人对它望而却步。现在有了一个突破性的解决方案——虚拟蜜罐技术。它具有物理蜜罐技术的诸多特性,但却使你可以在单一的系统中运行成百上千个虚拟蜜罐,同时,虚拟蜜罐的搭建比物理蜜罐更加容易,成本更低,更加易于部署和维护。在这本可实践性极强的书中,两位世界上最重要的蜜罐技术先驱——Provos和Ho1z,为大家系统地讲解了虚拟蜜罐技术。哪怕你以前从来都没有部署过一个蜜罐系统,通过《虚拟蜜罐:从僵尸网络追踪到入侵检测》,你也将会一步一个脚印地在自己的计算机环境中,准确掌握如何部署、配置、使用和维护虚拟蜜罐系统。《虚拟蜜罐:从僵尸网络追踪到入侵检测》的学习将通过一个完整的虚拟蜜罐系统——H0oneyd为案例来进行。这个系统由《虚拟蜜罐:从僵尸网络追踪到入侵检测》作者之一Pr0V0s创建,是一个专业领域内好评如潮的虚拟蜜罐系统。同时,作者还为虚拟蜜罐系统准备了多个实际中使用的应用程序,如网络诱饵、蠕虫探测、垃圾邮件阻止、网络模拟。 对比高交互蜜罐(真实的系统及服务)与低交互蜜罐(用来模拟高交互蜜罐)。 安装与配置蜜罐,模拟多操作系统、应用及网络环境。 使用虚拟蜜罐来捕获蠕虫、僵尸以及其他恶意软件。 使用低交互蜜罐和高交互蜜罐中的技术,生成高性能混合型蜜罐。 在客户端部署蜜罐技术来主动发现危险的网络定位。 掌握攻击者如何识别和规避蜜罐。 解析蜜罐系统定位的网络僵尸及捕获的恶意软件。 预测物理蜜罐及虚拟蜜罐的进化趋势。 |
| Niels Provos,谷歌高级工程师,他开发了Honeyd蜜罐系统——一个开源的虚拟蜜罐系统,这个系统获得了Network World颁发的最高发明奖,他还是OpenSSH的创建者之一,他获得了汉堡大学数学博士学位,密歇根大学计算机科学与工程学博士学位。 Thorsten Holz,德国曼海姆大学分布式系统可靠性实验室博士生,他是德国蜜网项目的奠基者之一,也是蜜网研究联盟指导委员会成员。 |
| 译者序 前言 致谢 作者简介 第1章 蜜罐和网络背景 1.1 TCP/IP协议简介 1.2 蜜罐背景 1.2.1 高交互蜜罐 1.2.2 低交互蜜罐 1.2 3物理蜜罐 1.2.4 虚拟蜜罐 1.2.5 法律方面 1.3 商业工具 1.3.1 tcpdump 1.3.2 Wireshark 1.3.3 Nmap 第2章 高交互蜜罐 2.1 优点和缺点 2.2 VMware 2.2.1 不同的VMware版本 2.2.2 VMware虚拟网络 2.2.3 建立一个虚拟高交互蜜罐 2.2.4 创建一个虚拟蜜罐 2.2.5 添加附加监视软件 2.2.6 把虚拟蜜罐连接到互联网 2.2.7 建立一个虚拟高交互蜜网 2.3 用户模式Linux 2.3.1 概述 2.3.2 安装和设置 2.3.3 运行时标志和配置 2.3.4 监视基于UML的蜜罐 2.3.5 把虚拟蜜罐连接到Internet 2.3.6 建立一个虚拟高交互蜜网 2.4 Argos 2.4.1 概述 2.4.2 安装和设置Argos蜜罐 2.5 保护你的蜜罐 2.5.1 蜜墙概述 2.5.2 蜜墙的安装 2.6 小结 第3章 低交互蜜罐 3.1 优点和缺点 3.2 欺骗工具包 3.3 LaBrea 3.3.1 安装和设置 3.3.2 观察 3.4 TinyHoneypot 3.4.1 安装 3.4.2 捕获日志 3.4.3 会话日志 3.4.4 Netfilter日志 3.4.5 观察 3.5 GHH——Google入侵蜜罐 3.5.1 一般安装 3.5.2 设置透明链接 3.5.3 访问日志 3.6 PHP .HoP——一个基于Web的欺骗架构 3.6.1 安装 3.6.2 Hip Hop 3.6.3 Php My Admin 3.7 保护你的低交互蜜罐 3.7.1 chroot“禁闭室 3.7.2 Systrace 3.8 小结 第4章 Itoneyd——基础篇 4.1 概述 4.1.1 特性 4.1.2 安装和设置 4.2 设计概述 4.2.1 仅通过网络交互 4.2.2 多IP地址 4.2.3 欺骗指纹识别工具 4.3 接收网络数据 4.4 运行时标志 4.5 配置 4.5.1 create 4.5.2 set 4.5.3 add 4.5.4 bind 4.5.5 delete 4.5.6 include 4.6 Itoneyd实验 4.6.1 本地Itoneyd实验 4.6.2 把Honeyd整合到生产网络中 4.7 服务 4.8 日志 4.8.1 数据包级日志 4.8.2 服务级日志 4.9 小结 第5章 Honeyd——高级篇 5.1 高级配置 5.1.1 set 5.1.2 tarpit 5.1.3 annotate 5.2 模拟服务 5.2.1 脚本语言 5.2.2 SMTP 5.3 子系统 5.4 内部Python服务 5.5 动态模板 5.6 路由拓扑 5.7 Honeydstats 5.8 Honeyctl 5.9 Honeycomb 5.10 性能 5.11 小结 第6章 用蜜罐收集恶意软件 6.1 恶意软件入门 6.2 Nepenthes——一个收集恶意软件的蜜罐解决方案 6.2.1 Nepenthes体系结构 6.2.2 局限性 6.2.3 安装和设置 6.2.4 配置 6.2.5 命令行标志 6.2.6 分配多个IP地址 6.2.7 灵活的部署 6.2.8 捕获新的漏洞利用程序 6.2.9 实现漏洞模块 6.2.1 0结果 6.2.1 1经验体会 6.3 Honeytrap 6.3.1 概述 6.3.2 安装和配置 6.3.3 运行Honeytrap 6.4 获得恶意软件的其他蜜罐解决方案 6.4.1 Multlpot 6.4.2 Honey BOT 6.4.3 Billy Goat 6.4.4 了解恶意网络流量 6.5 小结, 第7章 混合系统 7.1 黑洞 7.2 Potemkin 7.3 RolePlayer 7.4 研究总结 7.5 构建自己的混合蜜罐系统 7.5.1 NAT和高交互蜜罐 7.5.2Honeyd和高交互蜜罐 7.6 小结 第8章 客户端蜜罐 8.1 深入了解客户端的威胁 8.1.1 详解MS04.040 8.1.2 其他类型客户端攻击 8.1.3 客户端蜜罐 8.2 低交互客户端蜜罐 8.2.1 了解恶意网站 8.2.2.HoneyC 8.3 高交互客户端蜜罐 8.3.1 高交互客户端蜜罐的设计 8.3.2 Honev Client: 8.3.3 Capture-HPC 8.3.4 Honey Monkey 8.4 其他方法 8.4.1 互联网上间谍软件的研究 8.4.2 Spy Bye 8.4.3 Site Advisor 8.4.4 进一步的研究 8.5 小结 第9章 检测蜜罐 9.1 检测低交互蜜罐 9.2 检测高交互蜜罐 9.2.1 检测和禁用Sebek 9.2.2 检测蜜墙 9.2.3 逃避蜜网记录 9.2.4 VMware和其他虚拟机 9.2.5 OEMU 9.2.6 用户模式Linux 9.3 检测Rootkits 9.4 小结 第10章 案例研究 10.1 Blast-o-Mat:使用Nepenthes检测被感染的客户端 10.1.1 动机 10.1.2 Nepenthes作为入侵检测系统的一部分 10.1.3 降低被感染系统的威胁 10.1.4 一个新型木马:Haxdoor 10.1.5 使用Blast-o-Mat的经验 10.1.6 基于Nepenthes的轻量级入侵检测系统 10.1.7 SURFnet IDS 10.2 搜索蠕虫 10.3 对RedHat8.0的攻击 10.3.1 攻击概述 10.3.2 攻击时间表 10.3.3 攻击工具 10.3.4 攻击评价 10.4 对Windows2000的攻击 10.4.1 攻击概述 10.4.2 攻击时间表 10.4.3 攻击工具 10.4.4 攻击评价 10.5 对SUSE9.1的攻击 10.5.1 攻击概述 10.5.2 攻击时间表 10.5.3 攻击工具 10.5.4 攻击评价 10.6 小结 第11章 追踪僵尸网络 11.1 僵尸程序和僵尸网络 11.1.1 僵尸程序举例 11.1.2 僵尸程序形式的间谍软件 11.1.3 僵尸网络控制结构 11.1.4 僵尸网络引起的DDAS攻击 11.2 追踪僵尸网络 11.3 案例研究 11.3.1 Mocbot和MS06.040 11.3.2 其他的观察结果 11.4 防御僵尸程序 11.5 小结 第12章 使用CW Sandbox分析恶意软件 12.1 CW Sandbox概述 12.2 基于行为的恶意软件分析 12.2.1 代码分析 12.2.2 行为分析 12.2.3 API拦截 12.2.4 代码注入 12.3 CW Sandbox——系统描述 12.4 结果 12.4.1 实例分析报告 12.4.2 大规模分析 12.5 小结 参考文献 |
内容加载中,请稍后...
商品评论(0条)