實驗目的
了解系統蜜罐的基本原理,掌握Defnet蜜罐系統的使用。
實驗原理
Defnet是一款著名的“蜜罐”虛擬系統,它會虛擬一台有“缺陷”的服務器,等着惡意攻擊者上鈎。利用該軟件虛擬出來的系統和真正的系統看起來沒有什么區別,但它是為惡意攻擊者布置的陷阱。通過它可以看到攻擊者都執行了哪些命令,進行了哪些操作,使用了哪些惡意攻擊工具。通過陷阱的記錄,可以了解攻擊者的習慣,掌握足夠的攻擊證據,甚至反擊攻擊者。
實驗內容
利用Defnet設置蜜罐並進行監視
設置蜜罐提醒方式
實驗環境描述
Windows 2007操作系統
Defnet工具
實驗步驟
1、點擊開始實驗,進入實驗環境
2、輸入默認賬號administrator,密碼123456,進入目標主機桌面。
3、在d:\tools\BUPT3108B中找到defnet.exe程序運行Defnet HoneyPot,解除阻止。如下圖所示。
4、在Defnet HoneyPot的程序主界面右側,點擊“HoneyPot”按鈕,在設置對話框中,可以虛擬Web、FTP、SMTP、Finger、POP3和Telnet等常規網站提供的服務。如圖:
5、虛擬一個FTP Server服務,可選中相應服務“FTP Server”復選框,並可以給惡意攻擊者“Full Access”權限,且可設置好“Directory”項,用於指定偽裝的文件目錄項,具體如下圖所示。
6、點擊右下角“Advanced”設置“Telnet Server”的高級設置項,設置偽裝驅動器盤符(Drive)、卷標(Volume)、序列號(serial no),以及目錄創建時間和目錄名,剩余磁盤空間(Free space in bytes),MAC地址,網卡類型等,具體如下圖所示。這樣以來,就可以讓虛擬出來的系統更加真實了。
7、設置“Finger Server”的“Advanced”高級設置項,設置多個用戶,如下圖所示。
8、蜜罐提醒設置
如果我們不能在電腦前跟蹤攻擊者的攻擊動作時,當想了解攻擊者都做了些什么時,可以使用HoneyPot提供的“提醒”功能。在軟件主界面點擊“Options”按鈕,在打開設置窗口中,設置自己的E-mail信箱,其自動將攻擊者的動作記錄下來,發送到設置的郵箱中。選中“Send logs by e-mail”,在輸入框中填寫自己的郵箱地址,郵件發送服務器地址,發送者郵箱地址。再選中“Authenticaton required”,填寫郵箱的登錄名和密碼,自己就可以隨時掌握攻擊者的入侵情況了。
9、實驗到此結束,關閉實驗場景。