L003007006-蜜罐实验-利用蜜罐捕捉攻击实验

1、课程编写内容蜜罐实验-利用蜜罐捕捉攻击实验了解系统蜜罐的基本原理虚拟PC)WindowsXP操作系统Defnet蜜罐工具蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。所有流入/流出蜜罐的网络流量都可能预示陷。蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。蜜罐可以按照其部署目的区分为产蜜罐两类，研究型蜜罐专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，研究人员可以对黑客析，捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法，甚至能够监听到黑客之间的交心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作。而产品型一个组织的网络提供安全保护，包括检

2、测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的产品型蜜罐较容易部署，而且不需要管理员投入大量的工作。蜜罐也可以按照其交互度的等级划分为低蜜罐，高交互蜜罐提供完全真实的操作系统和网络服务，没有任何的模拟，从黑客角度上看，高交互久的“活靶子”，因此在高交互蜜罐中，我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活;然地加大了部署和维护的复杂度及风险的扩大。交互度反应了黑客在蜜罐上进行攻击活动的自由度。低模拟操作系统和网络服务，较容易部署且风险较小，但黑客在低交互蜜罐中能够进行的攻击活动较为有互蜜罐能够收集的信息也比较有限。产品型蜜罐一般属于低交互蜜罐。蜜罐还可以按照其实现方法区分蜜罐

3、。物理蜜罐是真实的网络上存在的主机，运行着真实的操作系统，提供真实的服务，拥有自己的则是由一台机器模拟的，这台机器会响应发送到虚拟蜜罐的网络数据流，提供模拟的网络服务等。Defnet是一款著名的“蜜罐”虚拟系统，它会虚拟一台有“缺陷”的服务器，等着恶意攻击者上钩。利用该统和真正的系统看起来没有什么区别，但它是为恶意攻击者布置的陷阱。通过它可以看到攻击者都执彳了哪些操作，使用了哪些恶意攻击工具。通过陷阱的记录，可以了解攻击者的习惯，掌握足够的攻击者。远程telnet连接服务器利用Defnet设置蜜罐并进行监视1、学生单击“开打控制台”按钮打开xpOl，输入密码123456，进入VPC1虚拟机。L

4、0(f3007ft06xp01J打幵控制台2、在D:toolsBUPT3108B中找到defnet.exe程序运行DefnetHoneyPot,在DefnetHoneyPot的程序主“HoneyPot按钮，弹出设置对话框，在设置对话框中，可以虚拟Web、FTP、SMTP、Finger、POP3和提供的服务，如下图所示。*BUPT3108B._QlXA6J文件闻编辑(E)查看加收赫曲工具帮助00后退”Q由工搜索臣文件夹3IP地址)D:t0ol5BUFT31O8BVE转到/IdetnetIDefnetHonej.otIDetnetSysterns立件和立件夹任务n创建1亍新文件夹曰将这平文件夹发布

5、到nWeb韵共享此文件夹其它逍置toolz我的文档共享文档我的电脑网上邻居DEFNETHoneypo12004Demohttp:7/www.defnetcom.brr-.McnitcringSteppedTindovs安全兽报McnitcreStopG翥蟹护陵火s止T部您坦保持阴止毗程序吗？名称（N）：Den皀tHoneypot发行者CP）：BefnetSystems其它位置tools我的文裆共享文档我的电脑网上邻居详细信息0已胡岂保持阻止(K)II解聆:阴止(U)|稍后询问如瞬觀翻蜒驕蠢懿果您开始二耀缶BUPT3108B丙DEFNETHoneypot学Windows安全晋报ESrivis1苗述：DefnetHoneypot公司：DefnetSystems文件版本：创建曰期：2013-4-2313:06大小：543KB我的电胞MBUPT3108B共貳橫的冃TrapF:le：SAATPPortisetup.ewe文件編辑查看（V收藏曲工具帮助（KJ地址DEFNETHonejjpqt2004Demo-http:.brBarr.er32od.exehicrosoftWindowsXP版本版权所有1985-2001MicrosoftCorp.I