第三代Honeynet部署与数据库连接

1、基于Honeynet的网络预警的研究与实现目的：实现对特定攻击和威胁方式的预警 如攻击扫描，SYN FLOOD方式的拒绝服务攻击，另外动态展示网络拓扑结构和流量及预警信息第一部分 Win32下的Honeynet环境部署：使用的部分软硬件：VMwave 5.5ROO-CDROM 1.4windowsXP SP1(用于蜜罐机)windowsXP SP3(用于宿主机)Linux Redhat 8100M单网卡2G内存Sebek 3.XX-sacn 3.3SecureCRT 5.1.3MySQL GUI Tools 5.0拓扑图为这个：1-1虚拟蜜网网关机（Honeywall）搭建与配置：下面是与狩猎

2、女神中国项目组文档写得不一样，在Roo1.4和VM5.5以上版本中，磁盘适配器注意选择LSI SCSI模式，注意需要输入完整路径名：为网关虚拟机添加两块网卡，一块Host-only模式，一块桥接模式：因为宿主机只有一块物理网卡，所以需要在一块网卡上绑定两个IP：载入ROO-CDROM的ISO文件，启动虚拟机后自动引导回车开始自动安装.安装完成后，进入系统：默认账号密码是roo / honey ，然后使用su - 指令提示权限，默认密码还是honey ：设置蜜罐网络(honeypot IP Address)设置蜜罐网段（LAN CIDR Prefix ）：设置蜜网网关:Honeywall con

3、figuration - Remote management 设置远程管理IP (Management IP):设置管理网段掩码：（Management netmask）：设置管理网段网关：（Management gateway）：Sebek配置：Honeywall configuration - Sebek:1-2蜜罐机（honeypot）的安装与配置.：1，正常步骤安装蜜罐虚拟机2，正常步骤安装系统，如XP, Linux3，将XP的IP的设置为114，将Linux的IP设置成为105，在蜜罐机上开放IIS，MySQL，telnet，网络打印机等服

4、务.另外，宿主机上VM自动生成的两个连接，叫什么Vnet1和 Vnet8的，不用设置，本来怎样就怎样1-3关于数据的收集1，sebek安装与使用下载地址：/sebek/在蜜罐机winxp中安装sebek的客户端Sebek-Win32-3.0.4利用共享文件夹将安装包拷进蜜罐机，执行setup.exe然后运行Configuration Wizard配置sebek客户端：注意：需要填写蜜网网关机Honeywall的Sebek通信口的mac地址，在本实验中为eth2，在honeywall中使用ifconfig eth2命令可获得可以使用ifco

5、nfig eth0 xxx.xxx.xxx.xxx指令给eth0和eth1口也配上Ip ，不配也没什么关系注意：下面的Magic号可以手动输入，可以自动生成，但是在所有蜜罐机上此号必须相同,建议把目的IP地址也写上，这里就是eth2口的ip地址。1-3平台测试 然后可以用X-scan进行攻击测试了，顺便可以测试下Walleye和SSH登陆管理接口是否工作正常：需要注意的是：（我就是卡在这个问题这里好久） ROO引进了一个新的格式处理工具Hflow,，将ebek 捕获到的结果、IDS 的报警信息、p0f 的系统识别结果、NIPS 的输出结果、Argus 的分析结果统一格式化处理，然后放入MySQ

6、L数据库。根据蜜网中国组的回信，得知Hflow进程可能会不稳定挂起，导致网络流数据无法解析进入mysql数据库。后果就是在walleye上看不到任何流量变化.解决办法是在登陆honeywall后切换到root用户，运行/etc/rc.d/init.d/hflow restart 重启该服务同样Roo 提供的sebek 是3.x 版本，该版本与2.x 版本并不兼容，因此，在安装蜜罐时，也必须安装sebek 3.x 客户端。由于防火墙在记录sebek 时以sebek 服务器的地址进行判断，所以建议在蜜罐的 sebek 客户端文件 sbk_install.sh 设置sebek 的服务器IP 地址，虽

7、然没有该IP 地址也可以工作。有时也会出现 sebek服务器启动出错，像上面的 hflow问题一样，运行 /etc/rc.d/init.d/sebekd restart 重启该服务。 开始测试：使用SecureCRT登陆到honeywall的管理口登陆正常：使用X-scan扫描主机：使用登陆WEB管理界面Walleye：首次登陆后，系统会要求加固密码，必须达到以下要求：超过8位，数字，大小写字母，特殊符号全都要有。C登陆正常，显示刚才的扫描攻击数据：第二部分 连接Honeywall数据库我们的设想是从远端获取蜜网网关截获的数据，利用VC

8、编程实现预警界面，因此首先必须连接上网关内的MySQL数据库，因为honeywall的特殊性，这一步骤的操作与普通的数据库连接复杂。Roo起的是safe-mysqld，只允许local访问 你可以在roo本地登录，并使用mysql u roo phoney登录如果需要远程访问mysql，则需要重新配置mysqld的配置文件，并设置特定用户的远程位置登录权限并确保在roo管理口的开放端口中包含3306（IPTabels防火墙会阻断未许可的端口流量）我们现在添加一个可以在任何主机上登录并拥有查询删除更新权限的账号test密码也是test，当然这是有安全隐患的，建议选定一个较为复杂的账号名和密码。修

9、改sql配置文件,在honeywall命令行下执行下面命令Cd /etc/ Vi f-将其修改成如下：添加3306端口到honeywall的允许口：Honeywall configuration -> Remote Management -> Allowed Inbound Tcp 中添加3306到这里有好多问题，还是连接不上，与honeyCN讨论组的成员讨论了几天得出的结果是好像光在Honeywall configuration里添加3306端口还不够，iptables防火墙还是会阻止。mysqladmin -u roo -p shutdown 停掉SQL进程/etc/rc.d/

10、init.d/mysqldstart 启动sql进程使用netstat -na |grep 3306指令查看3306端口是否开启，例如：至于如何解除iptables对3306口的阻止，使用下面指令/sbin/iptables IINPUT p tcp -dport 3306 j ACCEPT另外根据讨论组成员的建议，还修改了下面的内容之前的f内容修正为：mysqldskip-name-resolvedatadir=/var/lib/mysqlsocket=/var/lib/mysql/mysql.sockset-variable=key_buffer_size=256Mset-variable

11、=table_cache=256set-variable=sort_buffer=128Mmysql.serveruser=mysqlbasedir=/var/libmysqld_safelog-error=/var/log/mysqld.logpid-file=/var/run/mysqld/mysqld.pid对MySQL数据库中db表进行修改，操作如下：使用roo账号登陆MySQLuse mysql;update user set grant_priv = 'Y' where user = 'roo' and host = 'localhost&#

12、39;flush privileges;另外需要注意的是，启动honeywall后可能需要重启下mysql服务才能正常打开3306端口测试是否能连接上远端数据库，可以使用MySQL GUI Tools 5.0测试连接：第三部分 MySQL数据的分析我们主要对其Hflow数据库进行操作，主要分析其中的flow表,和IDS表。Flow表记录流量相关信息，IDS记录入侵检测系统相关数据。Flow表的表结构为：sensor_id, flow_id, src_ip, dst_ip, src_port, dst_port, ip_proto, iface_in, marker_flags, src_sta

13、rt_sec, src_start_msec, src_end_sec, src_end_msec, src_packets, src_bytes, src_ip_flags, src_tcp_flags, src_icmp_packets, src_icmp_seen, dst_start_sec, dst_start_msec, dst_end_sec, dst_end_msec, dst_packets, dst_bytes, dst_ip_flags, dst_tcp_flags, dst_icmp_packets, dst_icmp_seen, client_os_id, serve

14、r_os_id, is_local其中src_ip, dst_ip保存的为源目的IP地址的十进制表示，转化为二进制后，按每8位拆分可还原为正常的ip号IDS表的表结构为：ids_id, sensor_id, sig_id, flow_id, sec, usec, priority, sig_rev, sig_gen, classification, type, to_be_deletedIDS_SIG表的表结构为，该表估计用于描述IDS防御动作ids_sig_gen, ids_sig_id, sensor_id, sig_name, reference-监控模块图：与文礼的数据接口：一条基本的

15、预警信息应该包括信息编号，检测单元号，事件号，发生时间，源目的IP及端口号，于是设计以下八元组：Alert（alert_id, detector_id, event_id, time, source_ip, dest_ip, source_port, dest_port）create database alertinf;Use alertinf;CREATE TABLE Alert(alert_id INT UNSIGNED NOT NULL AUTO_INCREMENT,detector_id INT NOT NULL default '0',event_id INT NOT NULL default '0',source_ip INT(10) UNSIGNED NOT NULL DEFAULT '0',dest_ip INT(10) UNSIGNED NOT NULL DEFAULT '0',source_port INT NOT NULL default '0',dest_port I