Module 9：诱捕系统实习

Module9：誘捕系統實習學習目的利用誘捕系統，找出網路中潛在的威脅本模組共有四個小節包括(1)誘捕系統簡介

(2)誘捕系統工具介紹

(3)誘捕系統的實務

(4)誘捕系統的專案實作

9-2Module9：誘捕系統實習Module9-1：誘捕系統簡介(*)

Module9-2：誘捕系統工具介紹(*)Module9-3：誘捕系統的實務(**)

Module9-4：誘捕系統的專案實作(*)9-3*初級(basic)：基礎性教材內容**中級(moderate)：教師依據學生的吸收情況，選擇性介紹本節的內容***高級(advanced)：適用於深入研究的內容Module9-1：誘捕系統簡介(*)9-4誘捕系統(Honeypot)的介紹誘捕系統(Honeypot)：受到嚴密監控的網路誘騙系統，具有以下特點迷惑敵人，誘使駭客攻擊Honeypot而無暇去攻擊一些系統中比較重要的機器對新攻擊發出預警引誘駭客攻擊可使用入侵偵測系統與防火牆等結合使用，以提升安全性9-5誘捕系統(Honeypot)的重要性引誘攻擊者入侵組織資訊系統的陷阱作為對系統弱點預警的監視工具減低資訊科技系統及網路遭攻擊的風險蒐集入侵方法並加以分析，為系統的潛在漏洞提供寶貴資訊9-6誘捕系統(Honeypot)的重要性(續)傳統的IDS

針對已知的入侵手法對外來的attacker作出警告Honeypot

學習駭客入侵的工具，以找出作業系統的弱點

增加對惡意程式的蒐證9-7誘捕系統(Honeypot)的功能誘捕系統模擬成有缺陷的系統，等待攻擊者來攻擊，藉以蒐集攻擊的手法與方式Honeypot解決IDS或防火牆記錄等資訊過量問題為一個模擬或真實的網路系統隱藏在防火牆後面，所有進出的資料皆受到監視使用不同的作業系統及設備，如Solaris、Linux、WindowsNT及Cisco

Switch9-8誘捕系統(Honeypot)的功能(續)不同的系統平台上面運行著不同的服務例：Linux的DNSserver、WindowsNT的webserver或Solaris的FTPServer入侵者會將目標定於幾個特定的系統漏洞上不同的服務有不同的攻擊手法分析記錄使我們了解服務的弱點9-9誘捕系統(Honeypot)的分類低互動性誘捕系統(Low-InteractionHoneypot)提供有限的服務，藉由模擬服務與作業系統來運作風險也較小，因攻擊者絕不會進到一個真實的作業系統高互動性誘捕系統(High-InteractionHoneypot)

以真實的作業系統與真實的應用程式來運作，而非模擬風險相對較高，因攻擊者可能攻陷一個真實的作業系統，並威脅真實的網路9-10低互動性誘捕系統(Low-InteractionHoneypot)模擬現有作業系統上的服務監控沒有使用的IP位址空間記錄攻擊主要優勢較容易部署與維護風險亦較小，因攻擊者絕不會進到一個真實的作業系統例：Honeyd、Nepenthes及Honeytrap9-11高互動性誘捕系統(High-InteractionHoneypot)以真實的作業系統來構建，提供真實的系統和服務給駭客攻擊不預設一個攻擊者會有什麼樣的行為，而提供可以追蹤所有活動的環境缺點：更多的風險-駭客可能透過真實系統攻擊和滲透網路中的其他機器部署較為複雜，技術層面較高例：Honeywall-ROO、HIHAT及Honeybow9-12Low-Interactionv.s.High-InteractionHoneypot9-13Module9-2：誘捕系統工具介紹(*)9-14誘捕系統(Honeypot)工具比較商業軟體優：效果佳缺：成本高例：SymantecDecoyServer與KFSensor免費軟體優：成本低缺：缺少某些商業軟體所提供的效果例：Honeyd與Nepenthes9-15誘捕系統(Honeypot)工具比較例子代表入侵偵測型惡意程式誘捕型商業SymantecDecoyServerKFSensorOpen-SourceHoneyDNepenthes9-16誘捕系統(Honeypot)工具

-SymantecDecoyServer由賽門鐵克公司所發展商用之誘捕系統會警示由內/外部所發出之未經授權的入侵意圖可自動地偵測與回應新型態的攻擊在與對手互動時產生模擬的流量過程可重播9-17誘捕系統(Honeypot)工具

-KFSensor可針對Windows作業系統所提供的各項服務以及弱點進行模擬可模擬Windows的網路，如NetBIOS、SMB、CIFS可偵測到針對Windows檔案分享的攻擊模擬常見的通訊協定如：FTP、SMB、POP3、HTTP、Telnet、SMTP與SOCKS等以蒐集攻擊者的資訊資料來源：/kfsensor/9-18誘捕系統(Honeypot)工具-Honeyd輕型Open-source的虛擬Honeypot模擬多個作業系統和網路服務諸多外掛模組，用於模擬常見的服務模擬微軟IIS網頁伺服器的Scripts模擬SMTP模擬HTTP模擬Telnet支援IP協定架構模擬任意拓撲架構的虛擬網路與網路通道9-19誘捕系統(Honeypot)工具-Honeyd(續)處理目的IP位址屬於虛擬Honeypot之一的網路封包的方法對指向Honeyd主機的虛擬IP位址創建特定路由使用ARP-Proxy使用網路通道9-20使用ARP-Proxy封包的Destination=HoneypotWindowsNT4.09-21使用ARP-Proxy(續)路由器查詢它的路由表由找到3的轉送位址9-22使用ARP-Proxy(續)沒有配置專用的路由9-23使用ARP-Proxy(續)路由器透過ARP請求確定3的MAC位址9-24使用ARP-Proxy(續)路由器把發送HoneypotWindowsNT4.0的封包轉到Honeyd主機的MAC位址

9-25Honeyd原理說明9-26在port80等待連線Honeyd原理說明(續)有人連進來，由subsystem接受連線9-27Honeyd原理說明(續)由internalservice決定如何回應9-28Honeyd配置透過配置模板(Template)來配置虛擬的Honeypot配置語言是一種Context-free文法(上下文順序無關)，可以設定虛擬網路、作業系統及服務9-29配置模板###DefaultTemplatecreatedefault#Setdefaultbehaviorsetdefaultpersonality"MicrosoftWindowsXPHomeEdition"setdefaultdefaulttcpactionopensetdefaultdefaultudpactionopensetdefaultdefaulticmpactionopenadddefaulttcpport80"perl/opt/honeyd/scripts/windows/iis/iisemu18.pl"adddefaulttcpport23"perl/opt/honeyd/scripts/windows/cmdexe.pl"adddefaulttcpport139openadddefaulttcpport137openadddefaultudpport137openadddefaultudpport135open創建一作業系統模板

9-30配置模板(續)###DefaultTemplatecreatedefault#Setdefaultbehaviorsetdefaultpersonality"MicrosoftWindowsXPHomeEdition"setdefaultdefaulttcpactionopensetdefaultdefaultudpactionopensetdefaultdefaulticmpactionopenadddefaulttcpport80"perl/opt/honeyd/scripts/windows/iis/iisemu18.pl"adddefaulttcpport23"perl/opt/honeyd/scripts/windows/cmdexe.pl"adddefaulttcpport139openadddefaulttcpport137openadddefaultudpport137openadddefaultudpport135open設定該模板的Nmap指紋

9-31配置模板(續)###DefaultTemplatecreatedefault#Setdefaultbehaviorsetdefaultpersonality"MicrosoftWindowsXPHomeEdition"setdefaultdefaulttcpactionopensetdefaultdefaultudpactionopensetdefaultdefaulticmpactionopenadddefaulttcpport80"perl/opt/honeyd/scripts/windows/iis/iisemu18.pl"adddefaulttcpport23"perl/opt/honeyd/scripts/windows/cmdexe.pl"adddefaulttcpport139openadddefaulttcpport137openadddefaultudpport137openadddefaultudpport135open設定預設的TCP和UDP和ICMP動作

9-32配置模板(續)###DefaultTemplatecreatedefault#Setdefaultbehaviorsetdefaultpersonality"MicrosoftWindowsXPHomeEdition"setdefaultdefaulttcpactionopensetdefaultdefaultudpactionopensetdefaultdefaulticmpactionopenadddefaulttcpport80"perl/opt/honeyd/scripts/windows/iis/iisemu18.pl"adddefaulttcpport23"perl/opt/honeyd/scripts/windows/cmdexe.pl"adddefaulttcpport139openadddefaulttcpport137openadddefaultudpport137openadddefaultudpport135open設定系統監聽埠號，並且呼叫腳本iisemul8.pl

和cmdexe.pl9-33配置模板(續)###DefaultTemplatecreatedefault#Setdefaultbehaviorsetdefaultpersonality"MicrosoftWindowsXPHomeEdition"setdefaultdefaulttcpactionopensetdefaultdefaultudpactionopensetdefaultdefaulticmpactionopenadddefaulttcpport80"perl/opt/honeyd/scripts/windows/iis/iisemu18.pl"adddefaulttcpport23"perl/opt/honeyd/scripts/windows/cmdexe.pl"adddefaulttcpport139openadddefaulttcpport137openadddefaultudpport137openadddefaultudpport135open打開TCP139與137Port打開UDP137與135Port9-34誘捕系統(Honeypot)工具-NepenthesNepenthes為惡意程式誘捕系統，藉由模擬系統弱點，誘使惡意程式對誘捕系統進行攻擊，進而捕捉到惡意程式，是屬於Low-InteractionHoneypot9-35誘捕系統(Honeypot)工具-Nepenthes(續)VulnerabilityModules：模擬網路服務的弱點

9-36誘捕系統(Honeypot)工具-Nepenthes(續)ShellcodeparsingModules：分析與反解ExploitPayload，找出Mal-URL9-37誘捕系統(Honeypot)工具-Nepenthes(續)FetchModules：利用HTTP、FTP、TFTP…從遠端抓取惡意程式Binary

9-38誘捕系統(Honeypot)工具-Nepenthes(續)SubmissionModules：將抓下來的惡意程式存到Disk，或其他伺服器

9-39誘捕系統(Honeypot)工具-Nepenthes(續)於Linux環境下執行，透過模組模擬不同的系統弱點，並可將蒐集的惡意程式儲存在分散式的資料庫中Developer：PaulBaecher,MarkusKoetterNepenthes網址：http://nepenthes.carnivore.itNepenthes…9-40誘捕系統(Honeypot)工具-Nepenthes(續)Nepenthes可以模擬的弱點9-41Namevuln-asn1vuln-optixvuln-baglevuln-pnpvuln-damewarevuln-sasserftpdvuln-dcomvuln-mymqvuln-veritasvuln-upnpvuln-mssqlvuln-winsvuln-ftpdvuln-msdtcvuln-mydoomvuln-sub7vuln-netddevuln-netbiosnamevuln-iisvuln-kuang2vuln-lsass漏洞掃描工具-X-Scan掃瞄內容包括：遠端系統服務類型、操作系統類型及版本，各種弱點漏洞、後門、應用服務漏洞原創作者：XFOCUSTeamX-Scan網址：/programs/200507/189-42結論Honeyd可以應用在網路安全的許多領域例︰病毒探測、反蠕蟲、阻止垃圾郵件及轉移攻擊目標等Honeypot系統都是正在發展中的技術，還需要不斷地擴充和完善功能，提升迷惑性和自身的安全性誘捕系統為安全研究使用較多，部署於企業內部需考量其風險及安全性，並配合適當的監控及分析技術，否則仍不適用於一般的企業作為安全機制的一環9-43Module9-3：誘捕系統的實務(**)9-44說明架設實作(一)，請使用HoneyD軟體配置Honeypot誘捕系統。依實驗拓樸，請使用HoneyD主機做安裝及測試架設實作(二)，請使用Nepenthes軟體配置Nepenthes誘捕系統，並利用X-Scan做掃描。依實驗拓樸，請使用Nepenthes主機做Nepenthes軟體安裝及測試，attacker主機做7z軟體及X-Scan軟體安裝及測試9-45架設實作(一)Honeypot架設實作實習9-46實作環境介紹9-47routerOS：FC6-STDIP1：IP2：attackerOS：WINXP-SP2IP：HoneyDOS：FC6-yum-STDIP：安裝軟體：HoneydIP1IP2實驗拓樸onTestbed@TWISC

-建立完成的實驗拓樸9-48誘捕系統(Honeypot)工具-Honeyd版本honeyd-1.5c支援作業平台Linux及OpenBSD

其他需求工具libpcap、libdnet、libevent、libedit、termcap、pcre、及arpd下載位址/uploads/honeyd-1.5c.tar.gz9-49誘捕系統(Honeypot)工具-HoneydLibpcap:是Linux系統中用以擷取封包的工具之ㄧLibdnet:提供了修改封包IP的功能Libevent:透過libevent使我們可以設定當某些事件發生時就會執行的某些函示，也就是我們可以透過libevent來呼叫特定的script來模擬某些作業系統的網路特徵Libedit:提供讀取封包的功能Termcap:提供傳送控制訊息的功能Pcre:處理PCRE-PerlCompatibleRegularExpressions正規表示式的一個函式庫Arpd:如果駭客的ARPrequests是指向一個虛擬IP，arpd會回應駭客使駭客以為這個虛擬IP指向honeyd9-50其他需求工具-libdnet版本libdnet-1.11支援作業平台Fedora3/4/5/6

下載位址.tw/images/stories/Honeypot_tools/honeyd_files/1_libdnet-1.11.tar.gz9-51其他需求工具-libevent版本libevent-1.4.8支援作業平台Linux、BSD、MacOSX及Solaris下載位址.tw/images/stories/Honeypot_tools/honeyd_files/2_libevent-1.4.8-stable.tar.gz9-52其他需求工具-libpcap版本libpcap-1.0.0支援作業平台Fedora5/6、StartCom5及Arklinux下載位址.tw/images/stories/Honeypot_tools/honeyd_files/3_libpcap-1.0.0.tar.gz9-53其他需求工具-arpd版本arpd-0.2支援作業平台Linux

下載位址.tw/images/stories/Honeypot_tools/honeyd_files/4_arpd.zip9-54其他需求工具-termcap版本termcap-1.3.1支援作業平台Linux及BSD下載位址.tw/images/stories/Honeypot_tools/honeyd_files/5_termcap-1.3.1.tar.gz9-55其他需求工具-libedit版本libedit-0.3支援作業平台Linux及BSD下載位址.tw/images/stories/Honeypot_tools/honeyd_files/6_libedit-0.3.tar.gz9-56其他需求工具-pcre版本pcre-7.8支援作業平台Fedora6下載位址.tw/images/stories/Honeypot_tools/honeyd_files/7_pcre-7.8.tar.gz9-57rrdtool版本rrdtool-1.0.50-3.el5.rf.i386.rpm支援作業平台Fedora6下載位址/linux/dag/redhat/el5/en/i386/dag/RPMS/rrdtool-1.0.50-3.el5.rf.i386.rpm9-58Honeyd執行以下指令：#sudosu#yum-yinstallkernel-headers,kernel,kernel-devel#yum-yinstallgcc,glibc,glic-develgcc-c++,flex,bison,byacc,zlib-devel9-59將權限切換至root#mkdir/honeyd/#cd/honeyd/#cp/share/isc/Module09/1_libdnet-1.11.tar.gz.#tarzxvf1_libdnet-1.11.tar.gz#cdlibdnet-1.11#./configure-prefix=/usr#make#makeinstall#cd..Honeyd(續)9-60建立honeyd這個目錄

並用cd指令切換到honeyd這個目錄之下

複製1_libdnet-1.11.tar.gz並解壓縮後進入libdnet-1.11目錄利用./configure、make及makeinstall安裝1_libdnet-1.11安裝最後回到/honeyd/那層目錄Honeyd(續)#cp/share/isc/Module09/2_libevent-1.4.8-stable.tar.gz.#tarzxvf2_libevent-1.4.8-stable.tar.gz#cdlibevent-1.4.8-stable/#./configure-prefix=/usr#make#makeinstall#cd..利用./configure、make及makeinstall安裝2_libevent-1.4.8複製2_libevent-1.4.8-stable.tar.gz並解壓縮後進入libevent-1.4.8-stable/目錄9-61#cp/share/isc/Module09/3_libpcap-1.0.0.tar.gz.#tarzxvf3_libpcap-1.0.0.tar.gz#cdlibpcap-1.0.0#./configure--prefix=/usr#make#makeinstall#cd..Honeyd(續)9-62複製3_libpcap-1.0.0.tar.gz並解壓縮利用./configure、make及makeinstall安裝3_libpcap-1.0.0切到libpcap-1.0.0之下

Honeyd(續)#cp/share/isc/Module09/4_arpd.zip.#unzip-darpd/4_arpd.zip#cdarpd/#ls#chmoda+x*#ls#./configure--prefix=/usr#make#makeinstall#cd..9-63複製4_arpd.zip並解壓縮切到arpd/之下

利用./configure、make及makeinstall安裝4_arpd增加執行權限Honeyd(續)#cp/share/isc/Module09/5_termcap-1.3.1.tar.gz.#tarzxvf5_termcap-1.3.1.tar.gz#cdtermcap-1.3.1-src/src#./configure--prefix=/usr#make#makeinstall#cd../..9-64複製5_termcap-1.3.1.tar.gz並解壓縮切到termcap-1.3.1-src/src之下

利用./configure、make及makeinstall安裝5_termcap-1.3.1Honeyd(續)#cp/share/isc/Module09/6_libedit-0.3.tar.gz.#tarzxvf6_libedit-0.3.tar.gz#cdlibedit#./configure--prefix=/usr#make#makeinstall#cd..複製6_libedit-0.3.tar.gz並解壓縮移至libedit-0.3利用./configure、make及makeinstall安裝6_libedit-0.3Honeyd(續)#cp/share/isc/Module09/7_pcre-7.8.tar.gz.#tarzxvf7_pcre-7.8.tar.gz#cdpcre-7.8#./configure--prefix=/usr#make#makeinstall#cd..複製7_pcre-7.8.tar.gz並解壓縮移至pcre-7.8利用./configure、make及makeinstall安裝pcre-7.89-66Honeyd(續)#cp/share/isc/Module09/rrdtool-1.0.50-3.el5.rf.i386.rpm.#rpm-ivhrrdtool-1.0.50-3.el5.rf.i386.rpm用於產生Time-Series圖檔，如果此套件沒有安裝，honeyd很容易產生錯誤，停止執行。9-67Honeyd(續)#cp/share/isc/Module09/honeyd-1.5c.tar.gz.#tarzxvfhoneyd-1.5c.tar.gz#cdhoneyd-1.5c#./configure--prefix=/usr#make#makeinstall#cd..9-68複製9_honeyd-1.5c.tar.gz並解壓縮利用./configure--prefix=/usr、make及makeinstall安裝honeyd-1.5cHoneyd(續)#mkdir-p/opt/honeyd/bin/#mkdir-p/opt/honeyd/etc/#mkdir-p/opt/honeyd/log/#cp/usr/sbin/arpd/opt/honeyd/bin/#cp/usr/bin/honeyd/opt/honeyd/bin/9-69在/opt/honeyd/之下建立bin、etc及log這3個資料夾Honeyd(續)#cp/share/isc/Module09/honeyd_kit.zip.#unzip-dhoneyd_kit/honeyd_kit.zip安裝模擬honeyd的windows服務之scripts檔案#cp/share/isc/Module09/smtp/opt/honeyd/bin/#cp/share/isc/Module09/proxy/opt/honeyd/bin/#cp/usr/share//honeyd/nmap.assoc/opt/honeyd/etc/把smtp及proxy這幾個檔案與nmap.assoc複製到/opt裡相對應的位置9-70Honeyd(續)#cp/usr/share/honeyd/nmap.prints/opt/honeyd/etc/#cp/usr/share/honeyd/pf.os/opt/honeyd/etc/#cp/usr/share/honeyd/xprobe2.conf/opt/honeyd/etc/#cp/share/isc/Module09/honeyd.conf/opt/honeyd/etc/#cp-rf/honeyd/honeyd_kit/scripts//opt/honeyd/#cp-rf/honeyd/honeyd_kit/start-honeyd.sh/opt/honeyd/把nmap.prints、xprobe2.conf、pf.os、

honeyd.conf、start-honeyd.sh及scripts資料夾複製到/opt裡相對應的位置9-71Honeyd(續)#cd/opt/honeyd/bin/#./arpd-ieth4#touch/opt/honeyd/log/honeyd.log#touch/opt/honeyd/log/service.log#chown-Rnobody.nobody/opt/honeyd/log#ls-l/opt/honeyd/log/*依honeyd.conf的設定執行honeyd並把訊息紀錄到honeyd.log並用less指令查看紀錄9-72在eth4上監聽封包、更改紀錄的存取時間及存取權限及用ls–l看log/下有哪些檔案Honeyd(續)#cd/opt/honeyd/#vistart-honeyd.sh1.將「set–x」此行前面加上#做註解

2.將eth1改為eth4#chmoda+xstart-honeyd.sh#shstart-honeyd.sh#psaux|grephoneyd加註解改9-73結果9-74Honeyd正在背景程序執行中編輯程式碼#vi/opt/honeyd/etc/honeyd.conf游標移至要刪除的第一行，按dG

(游標以下全刪)保留紅色方框區塊，其他部份全刪除9-75編輯程式碼(續)修改後之完整程式碼新增：「binddefault」，做為ARPSpoofing所假冒的IP位址9-76編輯程式碼(續)9-77#vi/opt/honeyd/scripts/windows/cmdexe.pl將紅色框內的「-T」刪除#chmoda+x/opt/honeyd/scripts/windows/cmdexe.pl#mkdir/var/cmdexe#touch/var/cmdexe/logfile#chown-Rnobody.nobody/var/cmdexe9-78編輯程式碼(續)攻擊測試於attacker主機使用CommandPrompt進行telnet9-79Telnet一台不存在的機器，以cmdexe.pl作回應，偽裝成WindowsXP的機器回應

TroubleShooting如操作過程有疑慮，請查看log並依指示除錯#cdlog9-80Honeyd的log存放於/ops/honeyd/log/，並包含四個log之連線記錄架設實作(二)Nepenthes架設實作實習9-81實驗環境介紹attackerOS：WINXP-SP2IP：routerOS：FC6-STDIP1：IP2：NepenthesOS：FC6-yum-STDIP：安裝軟體：nepenthes9-82IP2IP1實驗拓樸onTestbed@TWISC

-建立完成的實驗拓樸9-83誘捕系統(Honeypot)工具-Nepenthes版本nepenthes-0.2.2支援作業平台gentoo、debian、FreeBSD及OpenBSD下載位址/nepenthes/nepenthes-0.2.2.tar.gz?use_mirror=nchc9-84漏洞掃描工具-X-Scan版本X-Scan-3.3支援作業平台Windows下載位址/programs/200507/X-Scan-v3.3-en.rar其他需求7z-4.659-85其他需求工具-7z版本7z-4.65支援作業平台Windows下載位址/project/sevenzip/7-Zip/4.65/7z465.exe?use_mirror=nchc9-86#sudosu#yum-yupdate#yum-yinstallsubversionautomakelibtoolflexbisongccgcc-c++curlcurl-develpcrepcre-develadnsadns-develfilelibpcaplibpcap-develiptables-devel#cd/root#cp/share/isc/Module09/nepenthes-0.2.2.tar.gz.#tarvxzfnepenthes-0.2.2.tar.gz#cdnepenthes-0.2.2/Nepenthes將作業系統update並安裝subversion、automake…等套件移到/root之下、下載nepenthes-0.2.2.tar.gz並解壓縮9-87Nepenthes(續)#autoreconf-v-i--force#./configure--prefix=/opt/nepenthes#make#makeinstall#/opt/nepenthes/bin/nepenthes-c/opt/nepenthes/etc/nepenthes/nepenthes.conf-r/opt/nepenthes-D利用./configure、make及makeinstall安裝nepenthes執行nepenthes9-889-89Nepenthes執行成功安裝X-Scan於attacker主機下載7z及X-Scan軟體安裝7z軟體，以執行X-Scan軟體之解壓縮解壓縮X-Scan軟體進資料夾並點擊xscan_gui.exe執行9-90選擇要掃瞄之