虛擬蜜罐：從殭屍網路追蹤到入侵檢測

蜜罐技術已經為網路安全做出了巨大貢獻，但物理蜜罐部署的複雜、耗時及昂貴，卻常常令人對它望而卻步。現在有了一個突破性的解決方案——虛擬蜜罐技術。它具有物理蜜罐技術的諸多特性，但卻使你可以在單一的系統中運行成百上千個虛擬蜜罐，同時，虛擬蜜罐的搭建比物理蜜罐更加容易，成本更低，更加易於部署和維護。在這本可實踐性極強的書中，兩位世界上最重要的蜜罐技術先驅——Provos和Ho1z，為大家系統地講解了虛擬蜜罐技術。哪怕你以前從來都沒有部署過一個蜜罐系統，通過《虛擬蜜罐：從殭屍網路追蹤到入侵檢測》，你也將會一步一個腳印地在自己的計算機環境中，準確掌握如何部署、配置、使用和維護虛擬蜜罐系統。《虛擬蜜罐：從殭屍網路追蹤到入侵檢測》的學習將通過一個完整的虛擬蜜罐系統——H0oneyd為案例來進行。這個系統由《虛擬蜜罐：從殭屍網路追蹤到入侵檢測》作者之一Pr0V0s創建，是一個專業領域內好評如潮的虛擬蜜罐系統。同時，作者還為虛擬蜜罐系統準備了多個實際中使用的應用程式，如網路誘餌、蠕蟲探測、垃圾郵件阻止、網路模擬。
對比高互動蜜罐（真實的系統及服務）與低互動蜜罐（用來模擬高互動蜜罐）。
安裝與配置蜜罐，模擬多作業系統、套用及網路環境。
使用虛擬蜜罐來捕獲蠕蟲、殭屍以及其他惡意軟體。
使用低互動蜜罐和高互動蜜罐中的技術，生成高性能混合型蜜罐。
在客戶端部署蜜罐技術來主動發現危險的網路定位。
掌握攻擊者如何識別和規避蜜罐。
解析蜜罐系統定位的網路殭屍及捕獲的惡意軟體。
預測物理蜜罐及虛擬蜜罐的進化趨勢。

《虛擬蜜罐:從殭屍網路追蹤到入侵檢測》全面而詳細地介紹蜜罐技術的概念、分類及套用，及低互動蜜罐、高互動蜜罐、混合蜜罐以及客戶端蜜罐的實現機理與部署套用方式；結合具體的工具，尤其是開源工具，闡述各類蜜罐的建立、配置和套用；介紹蜜罐在惡意軟體捕獲、殭屍網路追蹤中的套用；通過案例分析，結合實際討論蜜罐的作用與套用效果。

此外，《虛擬蜜罐:從殭屍網路追蹤到入侵檢測》還介紹了攻擊者識別蜜罐的方法。上述內容有利於我們了解惡意軟體、殭屍網路的工作機理和過程，有助於理解蜜罐技術在網路防禦中的作用，把握與敵手對抗過程中使用蜜罐的優勢與不足，為我們構建堅實的主動網路防禦系統提供非常有益的指南。

不論是對網路安全研究者來講，還是對於網路安全管理者來講；不論是對網路安全感興趣準備涉足這一領域的初學者，還是對長期從事網路安全管理工作的資深工程師，《虛擬蜜罐:從殭屍網路追蹤到入侵檢測》確實是一部難得的寶典。

Niels Provos，谷歌高級工程師，他開發了Honeyd蜜罐系統——一個開源的虛擬蜜罐系統，這個系統獲得了Network World頒發的最高發明獎，他還是OpenSSH的創建者之一，他獲得了漢堡大學數學博士學位，密西根大學計算機科學與工程學博士學位。

Thorsten Holz，德國曼海姆大學分散式系統可靠性實驗室博士生，他是德國蜜網項目的奠基者之一，也是蜜網研究聯盟指導委員會成員。

譯者序

前言

致謝

作者簡介

第1章 蜜罐和網路背景

1.1 TCP/IP協定簡介

1.2 蜜罐背景

1.2.1 高互動蜜罐

1.2.2 低互動蜜罐

1.2 3物理蜜罐

1.2.4 虛擬蜜罐

1.2.5 法律方面

1.3 商業工具

1.3.1 tcpdump

1.3.2 Wireshark

1.3.3 Nmap

第2章 高互動蜜罐

2.1 優點和缺點

2.2 VMware

2.2.1 不同的VMware版本

2.2.2 VMware虛擬網路

2.2.3 建立一個虛擬高互動蜜罐

2.2.4 創建一個虛擬蜜罐

2.2.5 添加附加監視軟體

2.2.6 把虛擬蜜罐連線到網際網路

2.2.7 建立一個虛擬高互動蜜網

2.3 用戶模式Linux

2.3.1 概述

2.3.2 安裝和設定

2.3.3 運行時標誌和配置

2.3.4 監視基於UML的蜜罐

2.3.5 把虛擬蜜罐連線到Internet

2.3.6 建立一個虛擬高互動蜜網

2.4 Argos

2.4.1 概述

2.4.2 安裝和設定Argos蜜罐

2.5 保護你的蜜罐

2.5.1 蜜牆概述

2.5.2 蜜牆的安裝

2.6 小結

第3章 低互動蜜罐

3.1 優點和缺點

3.2 欺騙工具包

3.3 LaBrea

3.3.1 安裝和設定

3.3.2 觀察

3.4 TinyHoneypot

3.4.1 安裝

3.4.2 捕獲日誌

3.4.3 會話日誌

3.4.4 Netfilter日誌

3.4.5 觀察

3.5 GHH——Google入侵蜜罐

3.5.1 一般安裝

3.5.2 設定透明連結

3.5.3 訪問日誌

3.6 PHP .HoP——一個基於Web的欺騙架構

3.6.1 安裝

3.6.2 Hip Hop

3.6.3 Php My Admin

3.7 保護你的低互動蜜罐

3.7.1 chroot“禁閉室

3.7.2 Systrace

3.8 小結

第4章 Itoneyd——基礎篇

4.1 概述

4.1.1 特性

4.1.2 安裝和設定

4.2 設計概述

4.2.1 僅通過網路互動

4.2.2 多IP位址

4.2.3 欺騙指紋識別工具

4.3 接收網路數據

4.4 運行時標誌

4.5 配置

4.5.1 create

4.5.2 set

4.5.3 add

4.5.4 bind

4.5.5 delete

4.5.6 include

4.6 Itoneyd實驗

4.6.1 本地Itoneyd實驗

4.6.2 把Honeyd整合到生產網路中

4.7 服務

4.8 日誌

4.8.1 數據包級日誌

4.8.2 服務級日誌

4.9 小結

第5章 Honeyd——高級篇

5.1 高級配置

5.1.1 set

5.1.2 tarpit

5.1.3 annotate

5.2 模擬服務

5.2.1 腳本語言

5.2.2 SMTP

5.3 子系統

5.4 內部Python服務

5.5 動態模板

5.6 路由拓撲

5.7 Honeydstats

5.8 Honeyctl

5.9 Honeycomb

5.10 性能

5.11 小結

第6章 用蜜罐收集惡意軟體

6.1 惡意軟體入門

6.2 Nepenthes——一個收集惡意軟體的蜜罐解決方案

6.2.1 Nepenthes體系結構

6.2.2 局限性

6.2.3 安裝和設定

6.2.4 配置

6.2.5 命令行標誌

6.2.6 分配多個IP位址

6.2.7 靈活的部署

6.2.8 捕獲新的漏洞利用程式

6.2.9 實現漏洞模組

6.2.1 0結果

6.2.1 1經驗體會

6.3 Honeytrap

6.3.1 概述

6.3.2 安裝和配置

6.3.3 運行Honeytrap

6.4 獲得惡意軟體的其他蜜罐解決方案

6.4.1 Multlpot

6.4.2 Honey BOT

6.4.3 Billy Goat

6.4.4 了解惡意網路流量

6.5 小結，

第7章 混合系統

7.1 黑洞

7.2 Potemkin

7.3 RolePlayer

7.4 研究總結

7.5 構建自己的混合蜜罐系統

7.5.1 NAT和高互動蜜罐

7.5.2Honeyd和高互動蜜罐

7.6 小結

第8章 客戶端蜜罐

8.1 深入了解客戶端的威脅

8.1.1 詳解MS04.040

8.1.2 其他類型客戶端攻擊

8.1.3 客戶端蜜罐

8.2 低互動客戶端蜜罐

8.2.1 了解惡意網站

8.2.2.HoneyC

8.3 高互動客戶端蜜罐

8.3.1 高互動客戶端蜜罐的設計

8.3.2 Honev Client：

8.3.3 Capture-HPC

8.3.4 Honey Monkey

8.4 其他方法

8.4.1 網際網路上間諜軟體的研究

8.4.2 Spy Bye

8.4.3 Site Advisor

8.4.4 進一步的研究

8.5 小結

第9章 檢測蜜罐

9.1 檢測低互動蜜罐

9.2 檢測高互動蜜罐

9.2.1 檢測和禁用Sebek

9.2.2 檢測蜜牆

9.2.3 逃避蜜網記錄

9.2.4 VMware和其他虛擬機

9.2.5 OEMU

9.2.6 用戶模式Linux

9.3 檢測Rootkits

9.4 小結

第10章 案例研究

10.1 Blast-o-Mat：使用Nepenthes檢測被感染的客戶端

10.1.1 動機

10.1.2 Nepenthes作為入侵檢測系統的一部分

10.1.3 降低被感染系統的威脅

10.1.4 一個新型木馬：Haxdoor

10.1.5 使用Blast-o-Mat的經驗

10.1.6 基於Nepenthes的輕量級入侵檢測系統

10.1.7 SURFnet IDS

10.2 搜尋蠕蟲

10.3 對RedHat8.0的攻擊

10.3.1 攻擊概述

10.3.2 攻擊時間表

10.3.3 攻擊工具

10.3.4 攻擊評價

10.4 對Windows2000的攻擊

10.4.1 攻擊概述

10.4.2 攻擊時間表

10.4.3 攻擊工具

10.4.4 攻擊評價

10.5 對SUSE9.1的攻擊

10.5.1 攻擊概述

10.5.2 攻擊時間表

10.5.3 攻擊工具

10.5.4 攻擊評價

10.6 小結

第11章 追蹤殭屍網路

11.1 殭屍程式和殭屍網路

11.1.1 殭屍程式舉例

11.1.2 殭屍程式形式的間諜軟體

11.1.3 殭屍網路控制結構

11.1.4 殭屍網路引起的DDAS攻擊

11.2 追蹤殭屍網路

11.3 案例研究

11.3.1 Mocbot和MS06.040

11.3.2 其他的觀察結果

11.4 防禦殭屍程式

11.5 小結

第12章 使用CW Sandbox分析惡意軟體

12.1 CW Sandbox概述

12.2 基於行為的惡意軟體分析

12.2.1 代碼分析

12.2.2 行為分析

12.2.3 API攔截

12.2.4 代碼注入

12.3 CW Sandbox——系統描述

12.4 結果

12.4.1 實例分析報告

12.4.2 大規模分析

12.5 小結

參考文獻