實驗目的
了解系統蜜罐的基本原理,掌握Defnet蜜罐系統的使用。
實驗原理
蜜罐的核心價值就在於對這些攻擊活動進行監視、檢測和分析。蜜罐可以按照其部署目的區分為產品型蜜罐和研究型蜜罐兩類,研究型蜜罐專門用於對黑客攻擊的捕獲和分析,通過部署研究型蜜罐,研究人員可以對黑客攻擊進行追蹤和分析,捕獲黑客的鍵擊記錄,了解到黑客所使用的攻擊工具及攻擊方法,甚至能夠監聽到黑客之間的交談,從而掌握它們的心理狀態等信息。研究型蜜罐需要研究人員投入大量的時間和精力進行攻擊監視和分析工作。
實驗內容
遠程telnet連接服務器
利用Defnet設置蜜罐並進行監視
實驗環境描述
Windows 2007操作系統
Defnet蜜罐工具
實驗步驟
1、點擊開始實驗進入實驗環境
2、在pc1中,找到D:\tools\BUPT3108B中找到defnet.exe程序運行Defnet HoneyPot,在Defnet HoneyPot的程序主界面右側,點擊“HoneyPot”按鈕,彈出設置對話框,在設置對話框中,可以虛擬Web、FTP、SMTP、Finger、POP3和Telnet等常規網站提供的服務,如下圖所示。
3、虛擬一個Telnet Server服務,可選中相應服務“Telnet Server”復選框,login設為administrator,senha設為“123456”。
4、點擊右下角“Advanced”設置“Telnet Server”的高級設置項,設置偽裝驅動器盤符(Drive)、卷標(Volume)、序列號(serial no),以及目錄創建時間和目錄名,剩余磁盤空間(Free space in bytes),MAC地址,網卡類型等,具體如下圖所示。這樣以來,就可以讓虛擬出來的系統更加真實了。
5、設置完成后,在第一個對話框按下“monitore”按鈕,開始監聽。
6、單擊“開始”“運行”,在彈出的對話框中輸入“cmd”回車進入命令行。在命令行中輸入“ipconfig”命令,可以看到VPC1的IP地址172.16.1.7
7、打開vpc2同上一步查詢VPC2的IP地址172.16.1.8。
8、接着在命令行中輸入telnet 172.16.1.7(VPC1的IP地址),請求telnet連接。連接成功后輸入之前在VPC1中配置的蜜罐用戶名和密碼。如下圖所示即為登錄成功。
9、返回VPC1發現登錄過程信息已經被記錄。
10、至此實驗結束,分別關閉VPC1和VPC2。