实验目的
了解系统蜜罐的基本原理,掌握Defnet蜜罐系统的使用。
实验原理
Defnet是一款著名的“蜜罐”虚拟系统,它会虚拟一台有“缺陷”的服务器,等着恶意攻击者上钩。利用该软件虚拟出来的系统和真正的系统看起来没有什么区别,但它是为恶意攻击者布置的陷阱。通过它可以看到攻击者都执行了哪些命令,进行了哪些操作,使用了哪些恶意攻击工具。通过陷阱的记录,可以了解攻击者的习惯,掌握足够的攻击证据,甚至反击攻击者。
实验内容
利用Defnet设置蜜罐并进行监视
设置蜜罐提醒方式
实验环境描述
Windows 2007操作系统
Defnet工具
实验步骤
1、点击开始实验,进入实验环境
2、输入默认账号administrator,密码123456,进入目标主机桌面。
3、在d:\tools\BUPT3108B中找到defnet.exe程序运行Defnet HoneyPot,解除阻止。如下图所示。
4、在Defnet HoneyPot的程序主界面右侧,点击“HoneyPot”按钮,在设置对话框中,可以虚拟Web、FTP、SMTP、Finger、POP3和Telnet等常规网站提供的服务。如图:
5、虚拟一个FTP Server服务,可选中相应服务“FTP Server”复选框,并可以给恶意攻击者“Full Access”权限,且可设置好“Directory”项,用于指定伪装的文件目录项,具体如下图所示。
6、点击右下角“Advanced”设置“Telnet Server”的高级设置项,设置伪装驱动器盘符(Drive)、卷标(Volume)、序列号(serial no),以及目录创建时间和目录名,剩余磁盘空间(Free space in bytes),MAC地址,网卡类型等,具体如下图所示。这样以来,就可以让虚拟出来的系统更加真实了。
7、设置“Finger Server”的“Advanced”高级设置项,设置多个用户,如下图所示。
8、蜜罐提醒设置
如果我们不能在电脑前跟踪攻击者的攻击动作时,当想了解攻击者都做了些什么时,可以使用HoneyPot提供的“提醒”功能。在软件主界面点击“Options”按钮,在打开设置窗口中,设置自己的E-mail信箱,其自动将攻击者的动作记录下来,发送到设置的邮箱中。选中“Send logs by e-mail”,在输入框中填写自己的邮箱地址,邮件发送服务器地址,发送者邮箱地址。再选中“Authenticaton required”,填写邮箱的登录名和密码,自己就可以随时掌握攻击者的入侵情况了。
9、实验到此结束,关闭实验场景。