本书是Honeynet Project两年制研究的集体成果,出自世界一流的网络专家团体之手。本书共有三大部分:第一部分阐述Honeynet的规划、创建和维护,及其所涉及到的风险问题;第二部分演示利用Honeynet的方法,以及如何从中学习,尤其是数据分析;第三部分包括几个破坏性honeypot的具体实例。本书深入浅同步骤翔实,无需太多的专业理论知识即可阅读。
本书适合网络安全方面的人员学习和研究之用。
前言
序
第1章 战场
第1部分 HONEYNET
第2章 何谓Honeynet
HONEYPOT
HONEYNET
小结
第3章 Honeynet的动作方式
数据控制
数据捕获
社会工程
风险
小结
第4章 创建一个Honeynet
整体结构
数据控制
数据捕获
Honeynet并回击进攻
小结
第2部分 分析
第5章 数据分析
防火墙日志
IDS分析
系统日志
小结
第6章 分析一个被攻破的系统
攻击
探测
EXPLOIT
获取访问权
返回
分析回顾
小结
第7章 高级数据分析
被动指纹
FORENSIC
小结
第8章 forensic挑战
映像
The CORONER'S TOOLKIT
MAC时间
已删除的INODE
数据恢复
小结
第3部分 敌方
第9章 敌方
威胁
战术
工具
动机
变化趋势
小结
第10章 蠕虫战
设置
第一条蠕虫
第二条蠕虫
第三天
小结
第11章 用他们的语言
攻击
阅读IRC聊天会话
分析IRC聊天会话
小结
第12章 Honeynet的未来
未来的发展
小结
附录A Snort的配置
SNORT的启动脚本
SNORT的配置文件,Snort.conf
附录B Swatch的配置文件
附录C Named NXT HOWTO
附录D NetBIOS扫描
附录E bj.c的源代码
附录F TCP被动指纹数据库
附录G ICMP被动指纺数据库
附录H honeynet Project的成员
HONEYPOT及HONEYNET PROJECT
在战争中信息就是力量。对敌方了解得越深入,击败他的可能性就越大。在应对那些恶意黑客、网络入侵者及电脑世界里其他的blackhat们的反击战中,正义方手里所掌握的信息实在是少得可怜。大部分安全专家,甚至那些安全产品的设计者们,都忽视了敌方的工具、战略和动机。在这一点上,显然敌方是占优势的。
之所以发起成立Honeynet Project,是希望能够藉此而燃起一些星星之火。这支研究队伍首先构建了一个完整的计算机网络,并用传感器对其进行了全副武装。然后他们就将其投入了Internet,给它冠以一个比较恰当的、具有一定诱惑力的名字,同时也如法炮制了其所含的内容,并记录了其上所发生的活动。 (实际的IP地址并未公布,并且该IP值也在定期地进行变更。)对黑客们的活动按照发生时的情形进行了记录:他们是怎样试着攻入系统的,他们是何时成功的,当他们成功之后又做了些什么。
结果非常有趣。Internet上一台随机性的计算机一天会被扫描上许多次。生存期,或者说某人成功入侵前的持续时间,对于Red Hat 6.2服务器的默认安装来说要少于72小时。而对于常见的家庭用户设置,在Windows 98下再提供文件共享,在4天之内就会有5次被黑掉。平均每天系统被NetBIOS进行扫描的次数是17次。服务器被黑掉的最短时间记录为15分钟,从其连入网络后开始算起。
所有这些均说明了:每天都有惊人数目的人士试图闯入你的计算机网络,并且他们成功的概率也是相当惊人的。这是一场敌对性很强的战争,那些不采取积极防御措施的网络管理员很有可能就会被置于一种任人摆布的境地之中。
Honeynet Proiect绝不仅仅是一个用来套人的计算机网络;它更是一个正在进行中的、对入侵黑客的操作方法学进行研究的项目。该工程目前已运行了若干个honeynet。大冢是否也想在自己的网络上尝试一下呢?目前已有几家公司在出售Honeynet Project的两业化版本,这些版本被进一步简化了。之所以称之为“honeypot”,是因为把它们设计成安装在某家组织的网络中充当诱饵。从理论上讲,黑客们会找到这些honeypot并在其上浪费时间,而实际的网络并不会因此而受到影响。
这似乎有点像是一个网络报警器。如果你在自己的网络中监测24x7警报,或者如果有一个受管理的安全监测服务,那么honeypot就能够在黑客发出攻击时予以响应,从而也就节省了宝贵的时间。当然,那些比较老练的攻击者也有可能会避过honeypot。不过在现实世界中,大多数的黑客都只是业余爱好者而已。这里的关键之处在于进行实时的监控,并在该项工作尚未较多实施的一周后查看一下日志文件。
为此,没有将其作为一个商品出售。Honeynet和honeypot还需要加以呵护,它们不是那种可以进行自定义的产品。商业化的honeypot仅会模仿一个操作系统或者计算机网络,很难对它们进行正确的安装,并且相对于Honeynet Projiect的其他产品而言,要检测到它们的存在则要容易得多。同时它供给用户的安全保障也是增量式的。如果你确实对了解黑客及其工作方式感兴趣的话,不管怎样还是要买一个honeypot并要花些时间用好它。不过,如果你仅仅是对保护自己的网络感兴趣的话,那么最好还是将大部分时间用在其他事情上吧。
从另一方面来说,Honeynet Project也纯粹是一项研究。而我本人就是一个主要的爱好者。它们所产生的东西都是无价的,也并没有什么其他的途径可以获取得到。如果有一架飞机在空中失事了,每个人都会知晓。因为有一项非常公开化的调查,任何一家航班的制造商都可以访问National Traffic Safety Board并阅读几百页关于所有近期飞机失事情况的报告。并且所有的航空公司都可以利用该信息来制造更好的飞机。但是,当网络被黑掉时,几乎大部分情况下都是一个谜。更为常见的是,牺牲者往往还不知道自己已经被黑了。即使知道了, 由于来自市场方面的巨大压力,也不会将事实公布于众。而且即使公布了,几乎也不会给出那些细节性的情况,如黑客事件是怎样发生的及其后果如何等等。
而这些真实信息的缺乏,使得设计出优秀的安全产品变得更加困难。本书的主旨之一也正是希望能够改变这种境况。书中讲述了Honeynet的运作方式以及怎样去分析它所产生的数据,同时该书也综合了到目前为止它所学到的内容:“blackhat社团” (即,恶意黑客)的工具、战略及动机。
本书适合于任何对计算机安全感兴趣的读者。素材丰富,而且真实可靠。
第二书店&China-pub战略联盟提供专业服务
第二书店联系方式 010-64348411 webmaster@dearbook.com