內容簡介
虛擬蜜罐:從殭屍網路追蹤到入侵檢測
《虛擬蜜罐:從殭屍網路追蹤到入侵檢測》全面而詳細地介紹蜜罐技術的概念、分類及套用,及低互動蜜罐、高互動蜜罐、混合蜜罐以及客戶端蜜罐的實現機理與部署套用方式;結合具體的工具,尤其是開源工具,闡述各類蜜罐的建立、配置和套用;介紹蜜罐在惡意軟體捕獲、殭屍網路追蹤中的套用;通過案例分析,結合實際討論蜜罐的作用與套用效果。此外,《虛擬蜜罐:從殭屍網路追蹤到入侵檢測》還介紹了攻擊者識別蜜罐的方法。上述內容有利於我們了解惡意軟體、殭屍網路的工作機理和過程,有助於理解蜜罐技術在網路防禦中的作用,把握與敵手對抗過程中使用蜜罐的優勢與不足,為我們構建堅實的主動網路防禦系統提供非常有益的指南。
不論是對網路安全研究者來講,還是對於網路安全管理者來講;不論是對網路安全感興趣準備涉足這一領域的初學者,還是對長期從事網路安全管理工作的資深工程師,《虛擬蜜罐:從殭屍網路追蹤到入侵檢測》確實是一部難得的寶典。
作者簡介
Niels Provos,谷歌高級工程師,他開發了Honeyd蜜罐系統——一個開源的虛擬蜜罐系統,這個系統獲得了Network World頒發的最高發明獎,他還是OpenSSH的創建者之一,他獲得了漢堡大學數學博士學位,密西根大學計算機科學與工程學博士學位。
Thorsten Holz,德國曼海姆大學分散式系統可靠性實驗室博士生,他是德國蜜網項目的奠基者之一,也是蜜網研究聯盟指導委員會成員。
圖書目錄
譯者序
前言
致謝
作者簡介
第1章 蜜罐和網路背景
1.1 TCP/IP協定簡介
1.2 蜜罐背景
1.2.1 高互動蜜罐
1.2.2 低互動蜜罐
1.2 3物理蜜罐
1.2.4 虛擬蜜罐
1.2.5 法律方面
1.3 商業工具
1.3.1 tcpdump
1.3.2 Wireshark
1.3.3 Nmap
第2章 高互動蜜罐
2.1 優點和缺點
2.2 VMware
2.2.1 不同的VMware版本
2.2.2 VMware虛擬網路
2.2.3 建立一個虛擬高互動蜜罐
2.2.4 創建一個虛擬蜜罐
2.2.5 添加附加監視軟體
2.2.6 把虛擬蜜罐連線到網際網路
2.2.7 建立一個虛擬高互動蜜網
2.3 用戶模式Linux
2.3.1 概述
2.3.2 安裝和設定
2.3.3 運行時標誌和配置
2.3.4 監視基於UML的蜜罐
2.3.5 把虛擬蜜罐連線到Internet
2.3.6 建立一個虛擬高互動蜜網
2.4 Argos
2.4.1 概述
2.4.2 安裝和設定Argos蜜罐
2.5 保護你的蜜罐
2.5.1 蜜牆概述
2.5.2 蜜牆的安裝
2.6 小結
第3章 低互動蜜罐
3.1 優點和缺點
3.2 欺騙工具包
3.3 LaBrea
3.3.1 安裝和設定
3.3.2 觀察
3.4 TinyHoneypot
3.4.1 安裝
3.4.2 捕獲日誌
3.4.3 會話日誌
3.4.4netfilter日誌
3.4.5 觀察
3.5 GHH——Google入侵蜜罐
3.5.1 一般安裝
3.5.2 設定透明連結
3.5.3 訪問日誌
3.6 PHP .HoP——一個基於Web的欺騙架構
3.6.1 安裝
3.6.2 Hip Hop
3.6.3 Php My Admin
3.7 保護你的低互動蜜罐
3.7.1chroot“禁閉室
3.7.2 Systrace
3.8 小結
第4章 Itoneyd——基礎篇
4.1 概述
4.1.1 特性
4.1.2 安裝和設定
4.2 設計概述
4.2.1 僅通過網路互動
4.2.2 多IP位址
4.2.3 欺騙指紋識別工具
4.3 接收網路數據
4.4 運行時標誌
4.5 配置
4.5.1 create
4.5.2 set
4.5.3 add
4.5.4 bind
4.5.5 delete
4.5.6 include
4.6 Itoneyd實驗
4.6.1 本地Itoneyd實驗
4.6.2 把Honeyd整合到生產網路中
4.7 服務
4.8 日誌
4.8.1 數據包級日誌
4.8.2 服務級日誌
4.9 小結
第5章 Honeyd——高級篇
5.1 高級配置
5.1.1 set
5.1.2 tarpit
5.1.3 annotate
5.2 模擬服務
5.2.1 腳本語言
5.2.2 SMTP
5.3 子系統
5.4 內部Python服務
5.5 動態模板
5.6 路由拓撲
5.7 Honeydstats
5.8 Honeyctl
5.9 Honeycomb
5.10 性能
5.11 小結
第6章 用蜜罐收集惡意軟體
6.1 惡意軟體入門
6.2 Nepenthes——一個收集惡意軟體的蜜罐解決方案
6.2.1 Nepenthes體系結構
6.2.2 局限性
6.2.3 安裝和設定
6.2.4 配置
6.2.5 命令行標誌
6.2.6 分配多個IP位址
6.2.7 靈活的部署
6.2.8 捕獲新的漏洞利用程式
6.2.9 實現漏洞模組
6.2.1 0結果
6.2.1 1經驗體會
6.3 Honeytrap
6.3.1 概述
6.3.2 安裝和配置
6.3.3 運行Honeytrap
6.4 獲得惡意軟體的其他蜜罐解決方案
6.4.1 Multlpot
6.4.2 Honey BOT
6.4.3 Billy Goat
6.4.4 了解惡意網路流量
6.5 小結,
第7章 混合系統
7.1 黑洞
7.2 Potemkin
7.3 RolePlayer
7.4 研究總結
7.5 構建自己的混合蜜罐系統
7.5.1 NAT和高互動蜜罐
7.5.2Honeyd和高互動蜜罐
7.6 小結
第8章 客戶端蜜罐
8.1 深入了解客戶端的威脅
8.1.1 詳解MS04.040
8.1.2 其他類型客戶端攻擊
8.1.3 客戶端蜜罐
8.2 低交互客戶端蜜罐
8.2.1 了解惡意網站
8.2.2.HoneyC
8.3 高互動客戶端蜜罐
8.3.1 高互動客戶端蜜罐的設計
8.3.2 Honev Client:
8.3.3 Capture-HPC
8.3.4 Honey Monkey
8.4 其他方法
8.4.1 網際網路上間諜軟體的研究
8.4.2 Spy Bye
8.4.3 Site Advisor
8.4.4 進一步的研究
8.5 小結
第9章 檢測蜜罐
9.1 檢測低互動蜜罐
9.2 檢測高互動蜜罐
9.2.1 檢測和禁用Sebek
9.2.2 檢測蜜牆
9.2.3 逃避蜜網記錄
9.2.4 VMware和其他虛擬機
9.2.5 OEMU
9.2.6 用戶模式Linux
9.3 檢測Rootkits
9.4 小結
第10章 案例研究
10.1 Blast-o-Mat:使用Nepenthes檢測被感染的客戶端
10.1.1 動機
10.1.2 Nepenthes作為入侵檢測系統的一部分
10.1.3 降低被感染系統的威脅
10.1.4 一個新型木馬:Haxdoor
10.1.5 使用Blast-o-Mat的經驗
10.1.6 基於Nepenthes的輕量級入侵檢測系統
10.1.7 SURFnet IDS
10.2 搜尋蠕蟲
10.3 對RedHat8.0的攻擊
10.3.1 攻擊概述
10.3.2 攻擊時間表
10.3.3 攻擊工具
10.3.4 攻擊評價
10.4 對Windows2000的攻擊
10.4.1 攻擊概述
10.4.2 攻擊時間表
10.4.3 攻擊工具
10.4.4 攻擊評價
10.5 對SUSE9.1的攻擊
10.5.1 攻擊概述
10.5.2 攻擊時間表
10.5.3 攻擊工具
10.5.4 攻擊評價
10.6 小結
第11章 追蹤殭屍網路
11.1 殭屍程式和殭屍網路
11.1.1 殭屍程式舉例
11.1.2 殭屍程式形式的間諜軟體
11.1.3 殭屍網路控制結構
11.1.4 殭屍網路引起的DDAS攻擊
11.2 追蹤殭屍網路
11.3 案例研究
11.3.1 Mocbot和MS06.040
11.3.2 其他的觀察結果
11.4 防禦殭屍程式
11.5 小結
第12章 使用CW Sandbox分析惡意軟體
12.1 CW Sandbox概述
12.2 基於行為的惡意軟體分析
12.2.1 代碼分析
12.2.2 行為分析
12.2.3 API攔截
12.2.4 代碼注入
12.3 CW Sandbox——系統描述
12.4 結果
12.4.1 實例分析報告
12.4.2 大規模分析
12.5 小結
參考文獻
