首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
   查看所有帖子 (sun)


« 1 ... 43 44 45 (46)


从NT的web server日志中提取攻击指纹
新进会员
注册日期:
1970/1/1 8:00
所属群组:
注册会员
帖子: 5
等级: 1; EXP: 34
HP : 0 / 8
MP : 1 / 1279
离线
浏览个大外国著名黑客网站,你就会发现通过检测系统的指纹来寻找黑客入侵的方法以为步骤成为了争论的焦点,当然我也不例外,我比较喜欢这样的方式,因为他可以让你很轻松的找到入侵者的指纹,而且还能更好的学习黑客入侵的方法。

因为本人的实验环境有限,只能在自己家的虚拟机上完成分析日志的工作,真的很希望有这方面爱好的人能够提供一个开放的环境来研究这些底层的东西,如果这些东西再国内发展起来的话,那么中国的安全界的现状一定比现在好的多。

好了废话少说,开始我们这里神奇之旅吧。。

honeynet(密罐系统)介绍:

Honeynet可以说是一个学习工具!它是一个专门设计来让人“攻陷”的网络,一旦被入侵者所攻破,入侵者的一切信息、工具等都将被用来分析学习。其想法与honeypot相似,但两者之间还是有些不同点的:honeypot也是一个用来让人攻击的网络,通常是用来诱骗入侵者的,通常情况下,honeypot会模拟某些常见的漏洞、摸拟其它操作系统或者是在某个系统上做了设置使其成为一台“牢笼”主机。比如The Deception Toolkit(下载), CyberCop Sting, 以及 Mantrap. 是一些脚本的集合,它模拟出了一些常的系统漏洞;CyberCop Sting运行于NT平台,它模拟出多个不同系统的IP堆栈及inetd服务。Mantrap则是将Solaris系统进行了一些设置,建立起了一些“牢笼主机”。毫无疑义,这些都是相当不错的想法,但在现在的环境下,它们有些不适合了,需要更多的改进。

Honeynet与传统意义上的honeypot有两个最大的不同点在于:

一个Honeynet是一个网络系统,而并非某台单一主机,这一网络系统是隐藏在防火墙后面的,所有进出的数据都受到关注、捕获及控制。这些被捕获的数据可以对我们研究分析入侵者们使用的工具、方法及动机。在这个Honeynet中,我们可以使用各种不同的操作系统及设备,如Solaris, Linux, Windows NT, Cisco Switch, 等等。这样建立的网络环境看上去会更加真实可信,同时我们还有不同的系统平台上面运行着不同的服务,比如Linux的DNS server,Windows NT的webserver或者一个Solaris的FTP server,我们可以学习不同的工具以及不同的策略――或许某些入侵者仅仅把目标定于几个特定的系统漏洞上,而我们这种多样化的系统,就可能更多了揭示出他们的一些特性。
在Honeynet中的所有系统都是标准的机器,上面运行的都是真实完整的操作系统及应用程序――就象你在互联网上找到的系统一样。我们没有刻意地模拟某种环境或者故意地使系统不安全。在Honeynet里面找到的存在风险的系统,与在互联网上一些公司组织的毫无二致。你可以简单地把你的操作系统放到Honeynet中,并不会对整个网络造成影响。
它的工作方式是

工作方式
既然我们的目的是对入侵者群体进行研究,我们就必须能够跟踪他们的举动,要建立一个透明的环境,以使我们能够对Honeynet里发生的任何事都有清楚的了解。传统的方法是对网络流量进行监控,这里存在一个最大的问题就是过大的数据量使安全工程师疲于奔命。我们必须从大量的数据中判断哪些是正常的流量,哪些是恶意的活动。一些如入侵检测系统、基于主机的检测及日志分析的工具、技术会在很大程度上带来帮助。但是数据过载、信息被破坏、未知的活动、伪造的日志等等都会对我们的检查分析带来困难。

Honeynet对此采用了最简单的解决方式。我们的目的是研究系统被侵害的一些相关事件,而不是分析网络流量,我们认为,从外界对Honeynet的访问,除去正常访问外,其它可能是一些扫描、探测及攻击的行为,而从系统内部对外界发起的连接,一般情况下,表明了系统被侵害了,入侵者利用它在进行一些活动。这使我们的分析活动相对简单化。


要成功地建立一个Honeynet,我们需要面临两个问题:信息控制及信息捕获。信息控制代表了一种规则,你必须能够确定你的信息包能够发送到什么地方。其目的是,当你Honeynet里的Honeypot主机被入侵后,它不会被用来攻击在Honeynet以外的机器。信息捕获则是要抓到入侵者群体们的所有流量,从他们的击键到他们发送的信息包。只有这样,我样才能进一步分析他们使用的工具、策略及目的。


如果大家对这些东西感兴趣的话我推荐一个地方http://www.xfoucs.org/honeynet

这里是中国唯一的honeynet研究场所,在这里你一定能够学到很多关于honeynet的东西。

目标:

我们这次的目标是一个NT系统被成功入侵以后的指纹的分析,以及提出攻击方法的过程以及数据分析的方法,希望大家能在这里学到很多好的东西.那么这样我写这篇文章的目的也就达到了。

我们这次要分析的文件是http://project.honeynet.org/scans/scan14/ 首先我们要把他给的web log日志文件下载下来,下面我把下载地址公布给大家,http://project.honeynet.org/scans/scan14/snort-0204@0117.log.gz

http://project.honeynet.org/scans/scan14/snort-0204@0117.log.zip

他给出的问题是

Which exploit(s) were used to attack the system?
How were the exploits used to access and control the system?
What was done once access was gained?
How could this attack been prevented?
How much time did you spend on this analysis and writeup?
我给大家简单的翻译一下

1.攻击者用到的是哪个漏洞来攻击系统的?

2.这个漏洞如何访问和控制系统

3.一旦进入系统讲获得怎么样的控制,

4。怎样能防止这样的攻击?

5。你在这个分析和写报告上花费多长时间

好了我们已经拿到了web 的log数据以为问题,我们要做的就是再log中找出这些问题的答案。

正式开始:第一部分。分析数据

记得我第一次分析数据的时候是这样分析的,直接把日志文件接压缩以后就看,当然也能看懂一些东西,自己也试着分析了,过程虽然查不多,得到的答案也很相似,可是我发现我用的时间比别人长了将近3-4倍,可以想象系统被入侵了以后哪有那么多的时间来分析啊,所以一开始做了很多弯路,我写这篇文章的目的就是教给大家一个方法入侵分析数据,如果你想和我一样来分析数据的话我不反对,至少你必须要看懂下面这些东西

〔迷    :}

2005/2/11 10:26
应用扩展 工具箱



« 1 ... 43 44 45 (46)





系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备14013333号-8