第三代Honeynet部署与数据库连接讲解

1、基于 Honeynet 的网络预警的研究与实现 目的：实现对特定攻击和威胁方式的预警 如攻击扫描， SYN FLOOD 方式的拒绝服务攻击， 另外动态展示网络拓扑结构和流量及预警信息第一部分 Win32 下的 Honeynet 环境部署： 使用的部分软硬件：VMwave 5.5ROO-CDROM 1.4windowsXP SP1（ 用于蜜罐机 ） windowsXP SP3（ 用于宿主机 ） Linux Redhat 8100M 单网卡2G 内存Sebek 3.XX-sacn 3.3SecureCRT 5.1.3MySQL GUI Tools 5.0 拓扑图为这个：1-1 虚拟蜜网网关机( H

2、oneywall )搭建与配置：新建虚拟机向导选择一个客尸机操作系编你想要在该虚拟机上安装哪一个操作系统?客户机操作系统C Hicrosoft Windows O酝瑟O Koveil NetWare O Sun Solari s 耳他版卞(V)Red Hat Linux上一步存一步Q)习取消虚拟机名称(V)oneywall浏览位言Q-)F: honeyne t honeyw all上一步辺2步)| | 取消 |下面是与狩猎女神中国项目组文档写得不一样，在 Roo1.4 和 VM5.5 以上版本中，磁盘适配 器注意选择 LSI SCSI 模式，注意需要输入完整路径名：为网关虚拟机添加两块网卡，一

3、块 Host-only 模式，一块桥接模式：因为宿主机只有一块物理网卡，所以需要在一块网卡上绑定两个IP：载入 ROO-CDROM 的 ISO 文件，启动虚拟机后自动引导回车开始自动安装安装完成后，进入系统：默认账号密码是 roo / honey ，然后使用 su - 指令提示权限，默认 密码还是 honey ：设置蜜罐网络(honeypot IP Address)设置蜜罐网段( LAN CIDR Prefix )：设置蜜网网关 :Honeywall configuration - Remote management设置远程管理 IP (Management IP):设置管理网段掩码： ( M

4、anagement netmask)：设置管理网段网关： ( Management gateway)：Sebek 配置：Honeywall configuration - Sebek:1-2 蜜罐机( honeypot)的安装与配置 1，正常步骤安装蜜罐虚拟机2，正常步骤安装系统，如 XP, Linux3，将 XP 的 IP 的设置为 114，将 Linux 的 IP 设置成为 105，在蜜罐机上开放 IIS ，MySQL ，telnet，网络打印机等服务 .另外，宿主机上 VM 自动生成的两个连接，叫什么 Vnet1 和 Vnet8 的，不用设置，

5、本来怎 样就怎样1-3 关于数据的收集1， sebek安装与使用下载地址： /sebek/在蜜罐机 winxp 中安装 sebek 的客户端 Sebek-Win32-3.0.4 利用共享文件夹将安装包拷进蜜罐机，执行 setup.exe 然后运行 Configuration Wizard 配置 sebek 客户端：注意： 需要填写蜜网网关机 Honeywall 的 Sebek 通信口的 mac 地址， 在本实验中为 eth2，在 honeywall 中使用 ifconfig eth2 命令可获得可以使用 ifconfig eth0 xxx

6、.xxx.xxx.xxx 指令给 eth0 和 eth1 口也配上 Ip ，不配也没什么关系注意：下面的 Magic 号可以手动输入，可以自动生成，但是在所有蜜罐机上此号必须相同 建议把目的 IP 地址也写上，这里就是 eth2 口的 ip 地址。1-3 平台测试然后可以用 X-scan 进行攻击测试了，顺便可以测试下 Walleye 和 SSH 登陆管理接口是 否工作正常：需要注意的是： （我就是卡在这个问题这里好久）ROO 引进了一个新的格式处理工具 Hflow, ，将 ebek 捕获到的结果、 IDS 的报警信息、 p0f 的系统识别结果、 NIPS 的输出结果、 Argus 的分析结果

7、统一格式化处理， 然后放入 MySQL 数据库。根据蜜网中国组的回信，得知 Hflow 进程可能会不稳定挂起，导致网络流 数据无法解析进入 mysql 数据库。后果就是在 walleye 上看不到任何流量变化 .解决办法是在登陆 honeywall 后切换到 root 用户，运行 /etc/rc.d/init.d/hflow restart 重启 该服务同样Roo 提供的 sebek 是 3.x 版本，该版本与 2.x 版本并不兼容，因此，在安装蜜罐时， 也必须安装 sebek 3.x 客户端。由于防火墙在记录 sebek 时以 sebek 服务器的地址进行判断， 所以建议在蜜罐的 sebek

8、 客户端文件 sbk_install.sh 设置 sebek 的服务器 IP 地址，虽然没 有该 IP 地址也可以工作。 有时也会出现 sebek 服务器启动出错， 像上面的 hflow 问题一样， 运行 /etc/rc.d/init.d/sebekd restart 重启该服务。开始测试：使用 SecureCRT 登陆到 honeywall 的管理口 登陆正常：使用 X-scan 扫描主机：使用 登陆 WEB 管理界面 Walleye ： 首次登陆后，系统会要求加固密码，必须达到以下要求：超过 8 位，数字，大小写字母，特 殊符号全

9、都要有。 C登陆正常，显示刚才的扫描攻击数据：第二部分 连接 Honeywall 数据库我们的设想是从远端获取蜜网网关截获的数据， 利用 VC 编程实现预警界面， 因此首先 必须连接上网关内的 MySQL 数据库，因为 honeywall 的特殊性，这一步骤的操作与普通的 数据库连接复杂。Roo 起的是 safe-mysqld，只允许 local 访问你可以在 roo 本地登录，并使用 mysql u roo phoney 登录如果需要远程访问 mysql ，则需要重新配置 mysqld 的配置文件，并设置特定用户的远 程位置登录权限并确保在 roo 管理口的开放端口中包含 3306（ IPT

10、abels 防火墙会阻断未许可的端口流量） 我们现在添加一个可以在任何主机上登录并拥有查询删除更新权限的账号 test 密码也 是 test，当然这是有安全隐患的，建议选定一个较为复杂的账号名和密码。修改 sql 配置文件 ,在 honeywall 命令行下执行下面命令 Cd /etc/Vi f将其修改成如下：中添加 3306添加 3306 端口到 honeywall 的允许口：Honeywall configuration - Remote Management - Allowed Inbound Tcp到这里有好多问题，还是连接不上，与 honeyCN 讨论组的成员讨论了几天得出的结果 是

11、好像光在 Honeywall configuration 里添加 3306端口还不够， iptables 防火墙还是会阻止。mysqladmin -u roo -p shutdown 停掉 SQL 进程/etc/rc.d/init.d/mysqld start 启动 sql 进程 使用netstat -na |grep 3306指令查看 3306端口是否开启，例如：至于如何解除 iptables 对 3306口的阻止，使用下面指令/sbin/iptables IINPUT p tcp -dport 3306 j ACCEPT另外根据讨论组成员的建议，还修改了下面的内容之前的 f 内容修正为：m

12、ysqldskip-name-resolve datadir=/var/lib/mysql socket=/var/lib/mysql/mysql.sock set-variable=key_buffer_size=256M set-variable=table_cache=256 set-variable=sort_buffer=128Mmysql.server user=mysql basedir=/var/lib mysqld_safelog-error=/var/log/mysqld.log pid-file=/var/run/mysqld/mysqld.pid对 MySQL 数据库中

13、 db 表进行修改，操作如下：使用 roo 账号登陆 MySQLuse mysql;update user set grant_priv = Y where user = roo and host = localhost;flush privileges;另外需要注意的是，启动 honeywall 后可能需要重启下 mysql 服务才能正常打开 3306 端口测试是否能连接上远端数据库，可以使用MySQL GUI Tools 5.0 测试连接：第三部分 MySQL 数据的分析我们主要对其 Hflow 数据库进行操作，主要分析其中的flow 表 ,和 IDS 表。Flow 表记录流量相关信息，

14、IDS 记录入侵检测系统相关数据。Flow 表的表结构为：sensor_id, flow_id, src_ip, dst_ip, src_port, dst_port, ip_proto, iface_in, marker_flags, src_start_sec, src_start_msec, src_end_sec, src_end_msec, src_packets, src_bytes, src_ip_flags, src_tcp_flags, src_icmp_packets, src_icmp_seen, dst_start_sec, dst_start_msec, dst_en

15、d_sec, dst_end_msec, dst_packets, dst_bytes, dst_ip_flags, dst_tcp_flags, dst_icmp_packets,dst icmp seen, client os id, server os id, is local其中 src_ip, dst_ip 保存的为源目的 IP 地址的十进制表示， 转化为二进制后， 按每 8 位拆分可还原为正常的 ip 号IDS 表的表结构为：ids_id, sensor_id, sig_id, flow_id, sec, usec, priority, sig_rev, sig_gen, clas

16、sification, type, to_be_deletedIDS_SIG 表的表结构为，该表估计用于描述 IDS 防御动作 ids_sig_gen, ids_sig_id, sensor_id, sig_name, reference监控模块图：与文礼的数据接口： 一条基本的预警信息应该包括信息编号，检测单元号，事件号，发生时间，源目的 IP 及端 口号，于是设计以下八元组：Alert ( alert_id, detector_id, event_id, time, source_ip, dest_ip, source_port, dest_port )create database alertinf;Use alertinf;CREATE TABLE Alert( alert_id INT UNSIGNED NOT NULL AUTO_INCREMENT, detector_id INTNOT NULL default 0,event_id INTNOT NULL default 0,source_ip INT(10) UNSIGNED NOT NULL DEFAULT 0, dest_ipINT(10) UNSIGNED NOT NULL DEFAULT 0,source_port INT N