虛擬蜜罐

前言

這是一本通過實驗理解計算機安全的書。在此之前，你可能會認為，如果你的計算機被攻陷了，那就是世界末日了。但是，我們將告訴你如何看待入侵的光明的一面，教會你欣賞從僵尸網(wǎng)絡、蠕蟲和惡意軟件中獲得的知識。每一次事件都會獲得一個經(jīng)驗，一旦你了解了許多不同種類的蜜罐，在對付互聯(lián)網(wǎng)攻擊者時，你就可以反敗為勝。本書討論了各種各樣的蜜罐部署方案，從追蹤僵尸網(wǎng)絡到捕獲惡意軟件。我們也鼓勵你通過分析攻擊者如何著手檢測你的對策，從而獲得敵手的視角。但首先讓我們建立適當?shù)挠懻摥h(huán)境。計算機網(wǎng)絡連接了世界各地無數(shù)的計算機系統(tǒng)。我們知道，所有這些網(wǎng)絡的總和構成了互聯(lián)網(wǎng)?；ヂ?lián)網(wǎng)最初設計用于研究和軍事目的，自從Tim Berners-Lee在1990年發(fā)明了超文本傳輸協(xié)議（HTTP）并創(chuàng)建了萬維網(wǎng)之后，互聯(lián)網(wǎng)變得非常流行。隨著我們中多數(shù)人開始使用網(wǎng)絡，幾乎所有的社會問題也轉(zhuǎn)移到電子王國。例如，由于人們的好奇心創(chuàng)造了第一個互聯(lián)網(wǎng)蠕蟲。另一個好奇心的標志是掃描網(wǎng)絡——掃描網(wǎng)絡中安裝計算機的數(shù)量和它們各自的配置。事實上，接收一個持續(xù)的網(wǎng)絡探測流現(xiàn)在被認為是正常的和所期望的。不幸的是，許多這樣的活動不再是良性的了。社會中不良的人已經(jīng)明白了互聯(lián)網(wǎng)提供了快速獲得利益的新機會。地下活動從發(fā)送數(shù)以百萬計的垃圾電子郵件、身份盜竊、信用卡詐騙，到利用分布式拒絕服務攻擊進行敲詐勒索。隨著互聯(lián)網(wǎng)的日益普及，保持我們的電子世界的健康運轉(zhuǎn)也變得越來越重要。然而，盡管有幾十年的研究和經(jīng)驗，我們?nèi)匀粺o法保障計算機系統(tǒng)安全，哪怕是衡量他們的安全性。利用新發(fā)現(xiàn)的漏洞的攻擊往往使我們感到吃驚。漏洞利用的自動化和大規(guī)模全面掃描漏洞，使得敵手一旦找到了計算機系統(tǒng)的弱點，就很容易攻陷計算機系統(tǒng)。為了了解哪些漏洞正在被對手使用（它們甚至可能是一些我們尚不知道的），我們可以在網(wǎng)絡上安裝一個計算機系統(tǒng)，然后觀察在它上面會發(fā)生什么事情.如果系統(tǒng)服務沒有用于任何其他目的，那么任何一個對它的連接嘗試似乎都是可疑的。如果系統(tǒng)受到攻擊，我們就可以了解某些新的東西。我們稱這樣一個系統(tǒng)為蜜罐，它被攻陷能讓我們了解入侵利用了哪個漏洞，一旦敵手掌握了對系統(tǒng)完全控制權后他做了什么。一個蜜罐可以是任何類型的計算系統(tǒng)，它可以運行任何操作系統(tǒng)和任何數(shù)量的服務。我們配置的服務決定了對敵手公開的攻擊向量。

內(nèi)容概要

本書全面而詳細地介紹蜜罐技術的概念、分類及應用，及低交互蜜罐、高交互蜜罐、混合蜜罐，以及客戶端蜜罐的實現(xiàn)機理與部署應用方式。書中結(jié)合具體的工具，尤其是開源工具，闡述各類蜜罐的建立、配置和應用，介紹蜜罐在惡意軟件捕獲、僵尸網(wǎng)絡追蹤中的應用，并通過案例分析，結(jié)合實際討論蜜罐的作用與應用效果。

作者簡介

作者：（美國）普羅沃斯（Niels Provos） （美國）霍爾茲（Thorsten Holz） 譯者：李景峰 等 合著者：張浩軍Niels Provos，谷歌高級工程師，他開發(fā)了Honeyd蜜罐系統(tǒng)——一個開源的虛擬蜜罐系統(tǒng)，這個系統(tǒng)獲得了Network World頒發(fā)的最高發(fā)明獎，他還是OpenSSH的創(chuàng)建者之一，他獲得了漢堡大學數(shù)學博士學位，密歇根大學計算機科學與工程學博士學位。Thorsten Holz，德國曼海姆大學分布式系統(tǒng)可靠性實驗室博士生，他是德國蜜網(wǎng)項目的奠基者之一，也是蜜網(wǎng)研究聯(lián)盟指導委員會成員。

書籍目錄

譯者序前言致謝作者簡介第1章　蜜罐和網(wǎng)絡背景　1.1TCP／IP協(xié)議簡介　1.2蜜罐背景　　1.2.1高交互蜜罐　　1.2.2低交互蜜罐　　1.2.3物理蜜罐　　1.2.4虛擬蜜罐　　1.2.5法律方面　1.3商業(yè)工具　　1.3.1tcpdump　　1.3.2Wireshark　　1.3.3Nmap第2章　高交互蜜罐　2.1優(yōu)點和缺點　2.2VMware　　2.2.1不同的VMware版本　　2.2.2VMware虛擬網(wǎng)絡　　2.2.3建立一個虛擬高交互蜜罐　　2.2.4創(chuàng)建一個虛擬蜜罐　　2.2.5添加附加監(jiān)視軟件　　2.2.6把虛擬蜜罐連接到互聯(lián)網(wǎng)　　2.2.7建立一個虛擬高交互蜜網(wǎng)　2.3用戶模式Linux　　2.3.1概述　　2.3.2安裝和設置　　2.3.3運行時標志和配置　　……第3章　低交互蜜罐第4章　Honeyd——基礎篇第5章　Honeyd——高級篇第6章　用蜜罐收集惡意軟件第7章　混合系統(tǒng)第8章　客戶端蜜罐第9章　檢測蜜罐第10章　案例研究第11章　追蹤僵尸網(wǎng)絡第12章　使用CWSandbox分析惡意軟件參考文獻

章節(jié)摘錄

插圖：高交互蜜罐的缺點之一是較高的維護量：你必須小心監(jiān)測你的蜜罐，并密切觀察所發(fā)生的事情，分析危險還需要一些時間，從我們的經(jīng)驗來看，分析一個完整的事件可能花費數(shù)小時甚至數(shù)天，直到你完全明白攻擊者想干什么！高交互蜜罐可以完全被攻陷，它們運行著帶有所有漏洞的真實的操作系統(tǒng)，沒有使用仿真，攻擊者可以與真實的系統(tǒng)和真實的服務交互，允許我們捕獲大量的威脅信息。當攻擊者獲得非授權訪問時，我們可以捕捉他們的漏洞利用，監(jiān)視他們的按鍵，找到他們的工具，或者搞清他們的動機。高交互解決方案的缺點是它們增加了風險：由于攻擊者可能完全地訪問操作系統(tǒng)，他們就有可能用它來損害其他非蜜罐系統(tǒng)。

媒體關注與評論

這是當今最好的蜜罐技術參考資料，從低交互蜜罐，到僵尸網(wǎng)絡，再到惡意軟件，Niels Provos和Tborstea Hoiz通過本書，分享了他們在網(wǎng)絡安全尖端領域之專業(yè)的知識、深刻的見解，以及令人嘆為以止的才智。如果您想學習最新的蜜罐技術，了解它們到底是什么、如何工作以及它到底能為您帶來什么，至少是現(xiàn)在，沒有比這本書更好的了。  　　——蜜網(wǎng)項目創(chuàng)始人Lances Spitzner  Provos和Holz寫的這本書，壞家伙們肯定不希望你們閱讀。然而，任何對網(wǎng)絡安全技術持有嚴肅態(tài)度的人，書架上絕不會沒有這本書。  　　——Aviel D.Rubin，博士，約翰霍普金斯大學計算機科學教授，信息安全研究所技術總監(jiān)，獨立安全評估公司創(chuàng)始人和總裁  “專業(yè)、見解深刻并充滿才智的一本書，為讀者揭開了蜜罐世界的面紗，”  　　——Lenny Zeltser, Gemini系統(tǒng)公司信息安全業(yè)務部負責人  “這是本年度必讀的安全書籍之一?！? 　　——Cyrus Peiukari, Airscanner移動安全公司CEO《安全衛(wèi)生》一書的作者  “無疑這是蜜罐領域最具權威的著作之一，它內(nèi)容全面，文筆流暢，作者從-個行家的視角來審視虛擬蜜罐，幫助我們建立和理解原本很復雜的技術，”  　　——Stufan Kelm, Secorvo安全顧問  “無論是收集用于研究和防御的信息，還是隔離企業(yè)內(nèi)部爆發(fā)的惡意軟件，或者出于興趣在家里觀察黑客活動，在這本書里你會發(fā)現(xiàn)很多實際的騙術，展現(xiàn)了蜜罐的神奇！”  　　——Dugsong，Arbor網(wǎng)絡首席安全架構師  “Provos和Holz寫的這本書，壞家伙們不希望你們閱讀，對蜜罐詳實而全面的討論為我們提供了一步一步的指示——抓住攻擊者的破綻，識破他們的把戲，并哄騙他們對安全產(chǎn)生一種錯覺，不管你是一個從業(yè)者、一個教育工作者或是一名學生，這本書提供了大量的有價值的東西，本書涵蓋了蜜罐的基本理論，但主要內(nèi)容還是指導你如何做——建立蜜罐，配置它們，最有效地使用陷阱，同時保持實際系統(tǒng)的安全，自從發(fā)明防火墻以來，還沒有一個像它一樣有用的工具，在無休止的攻防競賽中為安全專家提供了保護計算機系統(tǒng)安全的優(yōu)勢，《虛擬蜜罐》是一本必讀書，應放在任何認真對待安全問題的人的書架上，”  　　——Aviel D.Rubin，博士，約翰霍普金斯大學計算機科學教授，信息安全研究所技術總監(jiān)，獨立安全評估公司創(chuàng)始人和總裁

編輯推薦

《虛擬蜜罐:從僵尸網(wǎng)絡追蹤到入侵檢測》：蜜罐技術已經(jīng)為網(wǎng)絡安全做出了巨大貢獻，但物理蜜罐部署的復雜、耗時及昂貴，卻常常令人對它望而卻步。現(xiàn)在有了一個突破性的解決方案——虛擬蜜罐技術。它具有物理蜜罐技術的諸多特性，但卻使你可以在單一的系統(tǒng)中運行成百上千個虛擬蜜罐，同時，虛擬蜜罐的搭建比物理蜜罐更加容易，成本更低，更加易于部署和維護。在這本可實踐性極強的書中，兩位世界上最重要的蜜罐技術先驅(qū)——Provos和Ho1z，為大家系統(tǒng)地講解了虛擬蜜罐技術。哪怕你以前從來都沒有部署過一個蜜罐系統(tǒng)，通過《虛擬蜜罐:從僵尸網(wǎng)絡追蹤到入侵檢測》，你也將會一步一個腳印地在自己的計算機環(huán)境中，準確掌握如何部署、配置、使用和維護虛擬蜜罐系統(tǒng)?！短摂M蜜罐:從僵尸網(wǎng)絡追蹤到入侵檢測》的學習將通過一個完整的虛擬蜜罐系統(tǒng)——H0oneyd為案例來進行。這個系統(tǒng)由《虛擬蜜罐:從僵尸網(wǎng)絡追蹤到入侵檢測》作者之一Pr0V0s創(chuàng)建，是一個專業(yè)領域內(nèi)好評如潮的虛擬蜜罐系統(tǒng)。同時，作者還為虛擬蜜罐系統(tǒng)準備了多個實際中使用的應用程序，如網(wǎng)絡誘餌、蠕蟲探測、垃圾郵件阻止、網(wǎng)絡模擬。對比高交互蜜罐(真實的系統(tǒng)及服務)與低交互蜜罐(用來模擬高交互蜜罐)。安裝與配置蜜罐，模擬多操作系統(tǒng)、應用及網(wǎng)絡環(huán)境。使用虛擬蜜罐來捕獲蠕蟲、僵尸以及其他惡意軟件。使用低交互蜜罐和高交互蜜罐中的技術，生成高性能混合型蜜罐。在客戶端部署蜜罐技術來主動發(fā)現(xiàn)危險的網(wǎng)絡定位。掌握攻擊者如何識別和規(guī)避蜜罐。解析蜜罐系統(tǒng)定位的網(wǎng)絡僵尸及捕獲的惡意軟件。預測物理蜜罐及虛擬蜜罐的進化趨勢。

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    虛擬蜜罐 PDF格式下載

---