攻击者对企业网络的攻击
渗透
往往以获取服务器的控制权
窃取企业敏感数据为目的
服务器一旦部署完成就处于内外攻击之中
安全实践证明
打造百分之百安全的服务器只能是梦想
因此
与其疲于防范
不如改变防御策略主动出击
搭建蜜罐服务器是个不错的方案
通过它分析获取攻击时间
攻击方式
甚至分析攻击者的心理习惯等
既保护了真正的服务器
同时为我们抓捕攻击者提供了依据
下面笔者搭建测试环境进行蜜罐服务器的部署及其攻防演示
模拟环境
虚拟机A(蜜罐服务器)
系统windows server
IP:
虚拟机B(攻击主机)
系统Windows XP SP
IP:
一WEB服务器蜜罐攻防
工具Trap Server
这是一款WEB服务器蜜罐软件它可以模拟很多不同的服务器例如Apache HTTP ServerIIS等Trap Server蜜罐运行时就会开放一个伪装的WEB服务器虚拟服务器将对这个服务器的访问情况进行监视并把所有对该服务器的访问记录下来包括IP地址访问文件等通过这些对黑客的入侵行为进行简单的分析
部署与设置
下载Trap Server安装并运行在服务器类别菜单下有三个选项分别是启动IIS服务启动Apache服务器和启动EasyPHP服务器软件可以模拟上述三种服务器(图)
Trap Server模拟的IISApache和EasyPHP都是WEB服务器所以默认监听的都是端口主页路径默认的是安装Trap Server目录下面的WEB文件夹可以自己另外设置别的目录但主页的路径不能修改可以把自己做的主页放到文件夹里面这样这款蜜罐就可以做为WEB服务器用了软件默认监听的端口也可以修改比如系统安装了IIS占用了那么完全可以选择一个没有被占用的端口比如之类的
实时监视
选择要模拟的服务器类型后在主界面点击开始监听按钮即可启动蜜罐服务我们在虚拟机B的浏览器中输入在虚拟机A中就可以监视到虚拟机B的操作(图)
假如有攻击者通过浏览器输入自己服务器的IP访问用Trap Server模拟的WEB服务在Trap Server主界面里就会自动监听并显示攻击者的访问操作记录例如分离一些重复信息后看到如下的记录(图)
<> <::> Listening for HTTP connections on :
User logged in
<> <::> Command GET /receibed form :
Serving file C:\Program Files\虚拟服务器软件\Web\iis\( bytes / bytes sent to :)
User logged out
第一行表示Trap Server开始侦听服务器的端口接下来是有一个账户登录服务器发送了一个命令行为是GET后面是该账户的IP地址和使用的端口再下面一行就是登录者获取的文件是IIS下面的发送个字节给这个地址的GET请求完成之后用户退出
其实有黑客攻击经验的用户都知道此记录代表的意思他表示有攻击者用Telnet连接了我们的蜜罐服务器并进行了版本探测很多朋友都系统用手工的方法去探测服务器版本最常用的就是直接用Telnet去连接服务器的端口然后输入get 通过返回的信息就知道服务器的版本了(图)
记录与跟蹤
在实际应用方面Trap Server正是当下非常流行的SQL注入的天敌能详细地记录各种手工的和利用工具实现的方法并完整地再现当时的入侵过程
另外在遭受攻击时如果不知道攻击者的真实IP地址可以点击跟蹤按钮软件会跟蹤IP经过的路由揪出攻击者的IP地址(图)
二部署全方位的蜜罐服务器
工具Defnet HoneyPot
这是一款着名的蜜罐虚拟系统它会虚拟一台有缺陷的服务器等着恶意攻击者上钩利用该软件虚拟出来的系统和真正的系统看起来没有什么两样但它是为恶意攻击者布置的陷阱通过它可以看到攻击者都执行了那些命令进行了哪些操作使用了哪些恶意攻击工具通过陷阱的记录可以了解攻击者的习惯掌握足够的攻击证据甚至反击攻击者
蜜罐服务器部署
运行Defnet HoneyPot在程序主界面右侧点击HoneyPot按钮弹出设置对话框在设置对话框中可以虚拟WebFTPSMTPFingerPOP和Telnet等常规网站提供的服务(图)
例如要虚拟一个FTP Server服务则可选中相应服务FTP Server复选框并且可以给恶意攻击者Full Access权限并可设置好Directory项用于指定伪装的文件目录项(图)
在Finger Server的Aclvanced高级设置项中可以设置多个用户admin用户是伪装成管理员用户的其提示信息是administrator即管理员组用户并且可以允许个恶意攻击者同时连接该用户(图)
在Telnet Server的高级设置项中还可以伪装驱动器盘符(Drive)卷标(Volume)序列号(serial no)以及目录创建时间和目录名剩余磁盘空间(Free space in bytes)MAC地址网卡类型等(图)
开启监视
蜜罐搭建成功后点击HoneyPot主程序界面的Monitore按钮开始监视恶意攻击者了当有人攻击我们的系统时会进入我们设置的蜜罐在HoneyPot左面窗口中的内容就可以清楚地看到恶意攻击者都在做什么进行了哪些操作了
例如我们在虚拟机B中对虚拟机A(蜜罐服务器)进行telnet连接蜜罐中显示信息如下(图)
(::) The IP () tried invasion by telnet (CONNECTION )
(::) The IP () tried invasion by telnet (USER administrator)
(::) The IP () tried invasion by telnet (PASSWORD )
(::) The IP () tried invasion by telnet (USER admin)
(::) The IP () tried invasion by telnet (PASSWORD )
(::) The IP () tried invasion by telnet (USER root)
(::) The IP () tried invasion by telnet (PASSWORD )
The invasor disconnected from the telnet server
(::) The IP () tried invasion by telnet (CONNECTION )
(::) The IP () tried invasion by telnet (USER root)
(::) The IP () tried invasion by telnet (PASSWORD root)
(::) The IP () tried invasion by telnet (dir)
(::) The IP () tried invasion by telnet (cd files)
(::) The IP () tried invasion by telnet (net user)
(::) The IP () tried invasion by telnet (net user)
(::) The IP () tried invasion by telnet (net user asp$ test /add)
(::) The IP () tried invasion by telnet (net u)
(::) The IP () tried invasion by telnet (net localgroup administrators asp$ /add)
(::) The IP () tried invasion by telnet (exit)
信息分析从信息中我们可以看到攻击者Telnet到服务器分别用administratoradminroot空密码进行探视均告失败然后再次连接用root用户和root密码进入系统接下来用dir命令查看了目录创建了一个用户名为asp$密码为test的管理员密码攻击者的所作所为一目了然我们获得了这些信息后可以尝试用此用户和密码远程连接攻击者的服务器因为很多恶意攻击者在入侵后创建的用户就是自己的服务器使用的用户和密码这也是社会工程学的利用吧
蜜罐提醒
如果我们不能在服务器前跟蹤攻击者的攻击动作时当想了解攻击者都做了些什么时可以使用HoneyPot提供的提醒功能在软件主界面点击Options按钮在打开设置窗口中设置自己的Email信箱其自动将攻击者的动作记录下来发送到设置的邮箱中选中Send logs by email在输入框中填写自己的邮箱地址邮件发送服务器地址发送者邮箱地址再选中Authenticaton required填写邮箱的登录名和密码自己就可以随时掌握攻击者的入侵情况了
另外还可以选中Save outomatic logs on in the directory将入侵日志保存到指定的目录中方便日后分析(图)
总结上面是笔者在模拟环境中进行的演示真实网络环境中的部署与此类似通过演示大家可以看到蜜罐服务器不仅误导了攻击者让他们无功而返同时获取了必要的入侵信息为我们对真正的服务器进行安全设置提供了依据也是下一步的反攻的前提
