內容簡介
《虛擬蜜罐:從殭屍網路追蹤到入侵檢測》全面而詳細地介紹蜜罐技術的概念、分類及套用,及低互動蜜罐、高互動蜜罐、混合蜜罐以及客戶端蜜罐的實現機理與部署套用方式;結合具體的工具,尤其是開源工具,闡述各類蜜罐的建立、配置和套用;介紹蜜罐在惡意軟體捕獲、殭屍網路追蹤中的套用;通過案例分析,結合實際討論蜜罐的作用與套用效果。此外,《虛擬蜜罐:從殭屍網路追蹤到入侵檢測》還介紹了攻擊者識別蜜罐的方法。上述內容有利於我們了解惡意軟體、殭屍網路的工作機理和過程,有助於理解蜜罐技術在網路防禦中的作用,把握與敵手對抗過程中使用蜜罐的優勢與不足,為我們構建堅實的主動網路防禦系統提供非常有益的指南。
不論是對網路安全研究者來講,還是對於網路安全管理者來講;不論是對網路安全感興趣準備涉足這一領域的初學者,還是對長期從事網路安全管理工作的資深工程師,《虛擬蜜罐:從殭屍網路追蹤到入侵檢測》確實是一部難得的寶典。
編輯推薦
《虛擬蜜罐:從殭屍網路追蹤到入侵檢測》 :蜜罐技術已經為網路安全做出了巨大貢獻,但物理蜜罐部署的複雜、耗時及昂貴,卻常常令人對它望而卻步。現在有了一個突破性的解決方案——虛擬蜜罐技術。它具有物理蜜罐技術的諸多特性,但卻使你可以在單一的系統中運行成百上千個虛擬蜜罐,同時,虛擬蜜罐的搭建比物理蜜罐更加容易,成本更低,更加易於部署和維護。在這本可實踐性極強的書中,兩位世界上最重要的蜜罐技術先驅——Provos和Ho1z,為大家系統地講解了虛擬蜜罐技術。哪怕你以前從來都沒有部署過一個蜜罐系統,通過《虛擬蜜罐:從殭屍網路追蹤到入侵檢測》,你也將會一步一個腳印地在自己的計算機環境中,準確掌握如何部署、配置、使用和維護虛擬蜜罐系統。《虛擬蜜罐:從殭屍網路追蹤到入侵檢測》的學習將通過一個完整的虛擬蜜罐系統——H0oneyd為案例來進行。這個系統由《虛擬蜜罐:從殭屍網路追蹤到入侵檢測》作者之一Pr0V0s創建,是一個專業領域內好評如潮的虛擬蜜罐系統。同時,作者還為虛擬蜜罐系統準備了多個實際中使用的應用程式,如網路誘餌、蠕蟲探測、垃圾郵件阻止、網路模擬。
對比高互動蜜罐(真實的系統及服務)與低互動蜜罐(用來模擬高互動蜜罐)。
安裝與配置蜜罐,模擬多作業系統、套用及網路環境。
使用虛擬蜜罐來捕獲蠕蟲、殭屍以及其他惡意軟體。
使用低互動蜜罐和高互動蜜罐中的技術,生成高性能混合型蜜罐。
在客戶端部署蜜罐技術來主動發現危險的網路定位。
掌握攻擊者如何識別和規避蜜罐。
解析蜜罐系統定位的網路殭屍及捕獲的惡意軟體。
預測物理蜜罐及虛擬蜜罐的進化趨勢。
媒體推薦
這是當今最好的蜜罐技術參考資料,從低互動蜜罐,到殭屍網路,再到惡意軟體,Niels Provos和Tborstea Hoiz通過本書,分享了他們在網路安全尖端領域之專業的知識、深刻的見解,以及令人嘆為以止的才智。如果您想學習最新的蜜罐技術,了解它們到底是什麼、如何工作以及它到底能為您帶來什麼,至少是現在,沒有比這本書更好的了。
——蜜網項目創始人Lances Spitzner
Provos和Holz寫的這本書,壞傢伙們肯定不希望你們閱讀。然而,任何對網路安全技術持有嚴肅態度的人,書架上絕不會沒有這本書。
——Aviel D.Rubin,博士,約翰霍普金斯大學計算機科學教授,信息安全研究所技術總監,獨立安全評估公司創始人和總裁
“專業、見解深刻並充滿才智的一本書,為讀者揭開了蜜罐世界的面紗,”
——Lenny Zeltser, Gemini系統公司信息安全業務部負責人
“這是本年度必讀的安全書籍之一。”
——Cyrus Peiukari, Airscanner移動安全公司CEO《安全衛生》一書的作者
“無疑這是蜜罐領域最具權威的著作之一,它內容全面,文筆流暢,作者從-個行家的視角來審視虛擬蜜罐,幫助我們建立和理解原本很複雜的技術,”
——Stufan Kelm, Secorvo安全顧問
“無論是收集用於研究和防禦的信息,還是隔離企業內部爆發的惡意軟體,或者出於興趣在家裡觀察黑客活動,在這本書里你會發現很多實際的騙術,展現了蜜罐的神奇!”
——Dugsong,Arbor網路首席安全架構師
“Provos和Holz寫的這本書,壞傢伙們不希望你們閱讀,對蜜罐詳實而全面的討論為我們提供了一步一步的指示——抓住攻擊者的破綻,識破他們的把戲,並哄騙他們對安全產生一種錯覺,不管你是一個從業者、一個教育工作者或是一名學生,這本書提供了大量的有價值的東西,本書涵蓋了蜜罐的基本理論,但主要內容還是指導你如何做——建立蜜罐,配置它們,最有效地使用陷阱,同時保持實際系統的安全,自從發明防火牆以來,還沒有一個像它一樣有用的工具,在無休止的攻防競賽中為安全專家提供了保護計算機系統安全的優勢,《虛擬蜜罐》是一本必讀書,應放在任何認真對待安全問題的人的書架上,”
——Aviel D.Rubin,博士,約翰霍普金斯大學計算機科學教授,信息安全研究所技術總監,獨立安全評估公司創始人和總裁
作者簡介
作者:(美國)普羅沃斯(Niels Provos) (美國)霍爾茲(Thorsten Holz) 譯者:李景峰 等 合著者:張浩軍
Niels Provos,谷歌高級工程師,他開發了Honeyd蜜罐系統——一個開源的虛擬蜜罐系統,這個系統獲得了Network World頒發的最高發明獎,他還是OpenSSH的創建者之一,他獲得了漢堡大學數學博士學位,密西根大學計算機科學與工程學博士學位。
Thorsten Holz,德國曼海姆大學分散式系統可靠性實驗室博士生,他是德國蜜網項目的奠基者之一,也是蜜網研究聯盟指導委員會成員。
目錄
譯者序
前言
致謝
作者簡介
第1章 蜜罐和網路背景
1.1 TCP/IP協定簡介
1.2 蜜罐背景
1.2.1 高互動蜜罐
1.2.2 低互動蜜罐
1.2 3物理蜜罐
1.2.4 虛擬蜜罐
1.2.5 法律方面
1.3 商業工具
1.3.1 tcpdump
1.3.2 Wireshark
1.3.3 Nmap
第2章 高互動蜜罐
2.1 優點和缺點
2.2 VMware
2.2.1 不同的VMware版本
2.2.2 VMware虛擬網路
2.2.3 建立一個虛擬高互動蜜罐
2.2.4 創建一個虛擬蜜罐
2.2.5 添加附加監視軟體
2.2.6 把虛擬蜜罐連線到網際網路
2.2.7 建立一個虛擬高互動蜜網
2.3 用戶模式Linux
2.3.1 概述
2.3.2 安裝和設定
2.3.3 運行時標誌和配置
2.3.4 監視基於UML的蜜罐
2.3.5 把虛擬蜜罐連線到Internet
2.3.6 建立一個虛擬高互動蜜網
2.4 Argos
2.4.1 概述
2.4.2 安裝和設定Argos蜜罐
2.5 保護你的蜜罐
2.5.1 蜜牆概述
2.5.2 蜜牆的安裝
2.6 小結
第3章 低互動蜜罐
3.1 優點和缺點
3.2 欺騙工具包
3.3 LaBrea
3.3.1 安裝和設定
3.3.2 觀察
3.4 TinyHoneypot
3.4.1 安裝
3.4.2 捕獲日誌
3.4.3 會話日誌
3.4.4 Netfilter日誌
3.4.5 觀察
3.5 GHH——Google入侵蜜罐
3.5.1 一般安裝
3.5.2 設定透明連結
3.5.3 訪問日誌
3.6 PHP .HoP——一個基於Web的欺騙架構
3.6.1 安裝
3.6.2 Hip Hop
3.6.3 Php My Admin
3.7 保護你的低互動蜜罐
3.7.1 chroot“禁閉室
3.7.2 Systrace
3.8 小結
第4章 Itoneyd——基礎篇
4.1 概述
4.1.1 特性
4.1.2 安裝和設定
4.2 設計概述
4.2.1 僅通過網路互動
4.2.2 多IP位址
4.2.3 欺騙指紋識別工具
4.3 接收網路數據
4.4 運行時標誌
4.5 配置
4.5.1 create
4.5.2 set
4.5.3 add
4.5.4 bind
4.5.5 delete
4.5.6 include
4.6 Itoneyd實驗
4.6.1 本地Itoneyd實驗
4.6.2 把Honeyd整合到生產網路中
4.7 服務
4.8 日誌
4.8.1 數據包級日誌
4.8.2 服務級日誌
4.9 小結
第5章 Honeyd——高級篇
5.1 高級配置
5.1.1 set
5.1.2 tarpit
5.1.3 annotate
5.2 模擬服務
5.2.1 腳本語言
5.2.2 SMTP
5.3 子系統
5.4 內部Python服務
5.5 動態模板
5.6 路由拓撲
5.7 Honeydstats
5.8 Honeyctl
5.9 Honeycomb
5.10 性能
5.11 小結
第6章 用蜜罐收集惡意軟體
6.1 惡意軟體入門
6.2 Nepenthes——一個收集惡意軟體的蜜罐解決方案
6.2.1 Nepenthes體系結構
6.2.2 局限性
6.2.3 安裝和設定
6.2.4 配置
6.2.5 命令行標誌
6.2.6 分配多個IP位址
6.2.7 靈活的部署
6.2.8 捕獲新的漏洞利用程式
6.2.9 實現漏洞模組
6.2.1 0結果
6.2.1 1經驗體會
6.3 Honeytrap
6.3.1 概述
6.3.2 安裝和配置
6.3.3 運行Honeytrap
6.4 獲得惡意軟體的其他蜜罐解決方案
6.4.1 Multlpot
6.4.2 Honey BOT
6.4.3 Billy Goat
6.4.4 了解惡意網路流量
6.5 小結,
第7章 混合系統
7.1 黑洞
7.2 Potemkin
7.3 RolePlayer
7.4 研究總結
7.5 構建自己的混合蜜罐系統
7.5.1 NAT和高互動蜜罐
7.5.2Honeyd和高互動蜜罐
7.6 小結
第8章 客戶端蜜罐
8.1 深入了解客戶端的威脅
8.1.1 詳解MS04.040
8.1.2 其他類型客戶端攻擊
8.1.3 客戶端蜜罐
8.2 低互動客戶端蜜罐
8.2.1 了解惡意網站
8.2.2.HoneyC
8.3 高互動客戶端蜜罐
8.3.1 高互動客戶端蜜罐的設計
8.3.2 Honev Client:
8.3.3 Capture-HPC
8.3.4 Honey Monkey
8.4 其他方法
8.4.1 網際網路上間諜軟體的研究
8.4.2 Spy Bye
8.4.3 Site Advisor
8.4.4 進一步的研究
8.5 小結
第9章 檢測蜜罐
9.1 檢測低互動蜜罐
9.2 檢測高互動蜜罐
9.2.1 檢測和禁用Sebek
9.2.2 檢測蜜牆
9.2.3 逃避蜜網記錄
9.2.4 VMware和其他虛擬機
9.2.5 OEMU
9.2.6 用戶模式Linux
9.3 檢測Rootkits
9.4 小結
第10章 案例研究
10.1 Blast-o-Mat:使用Nepenthes檢測被感染的客戶端
10.1.1 動機
10.1.2 Nepenthes作為入侵檢測系統的一部分
10.1.3 降低被感染系統的威脅
10.1.4 一個新型木馬:Haxdoor
10.1.5 使用Blast-o-Mat的經驗
10.1.6 基於Nepenthes的輕量級入侵檢測系統
10.1.7 SURFnet IDS
10.2 搜尋蠕蟲
10.3 對RedHat8.0的攻擊
10.3.1 攻擊概述
10.3.2 攻擊時間表
10.3.3 攻擊工具
10.3.4 攻擊評價
10.4 對Windows2000的攻擊
10.4.1 攻擊概述
10.4.2 攻擊時間表
10.4.3 攻擊工具
10.4.4 攻擊評價
10.5 對SUSE9.1的攻擊
10.5.1 攻擊概述
10.5.2 攻擊時間表
10.5.3 攻擊工具
10.5.4 攻擊評價
10.6 小結
第11章 追蹤殭屍網路
11.1 殭屍程式和殭屍網路
11.1.1 殭屍程式舉例
11.1.2 殭屍程式形式的間諜軟體
11.1.3 殭屍網路控制結構
11.1.4 殭屍網路引起的DDAS攻擊
11.2 追蹤殭屍網路
11.3 案例研究
11.3.1 Mocbot和MS06.040
11.3.2 其他的觀察結果
11.4 防禦殭屍程式
11.5 小結
第12章 使用CW Sandbox分析惡意軟體
12.1 CW Sandbox概述
12.2 基於行為的惡意軟體分析
12.2.1 代碼分析
12.2.2 行為分析
12.2.3 API攔截
12.2.4 代碼注入
12.3 CW Sandbox——系統描述
12.4 結果
12.4.1 實例分析報告
12.4.2 大規模分析
12.5 小結
參考文獻
