实验目的
了解系统蜜罐的基本原理,掌握Defnet蜜罐系统的使用。
实验原理
蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。蜜罐可以按照其部署目的区分为产品型蜜罐和研究型蜜罐两类,研究型蜜罐专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,研究人员可以对黑客攻击进行追踪和分析,捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至能够监听到黑客之间的交谈,从而掌握它们的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作。
实验内容
远程telnet连接服务器
利用Defnet设置蜜罐并进行监视
实验环境描述
Windows 2007操作系统
Defnet蜜罐工具
实验步骤
1、点击开始实验进入实验环境
2、在pc1中,找到D:\tools\BUPT3108B中找到defnet.exe程序运行Defnet HoneyPot,在Defnet HoneyPot的程序主界面右侧,点击“HoneyPot”按钮,弹出设置对话框,在设置对话框中,可以虚拟Web、FTP、SMTP、Finger、POP3和Telnet等常规网站提供的服务,如下图所示。
3、虚拟一个Telnet Server服务,可选中相应服务“Telnet Server”复选框,login设为administrator,senha设为“123456”。
4、点击右下角“Advanced”设置“Telnet Server”的高级设置项,设置伪装驱动器盘符(Drive)、卷标(Volume)、序列号(serial no),以及目录创建时间和目录名,剩余磁盘空间(Free space in bytes),MAC地址,网卡类型等,具体如下图所示。这样以来,就可以让虚拟出来的系统更加真实了。
5、设置完成后,在第一个对话框按下“monitore”按钮,开始监听。
6、单击“开始”“运行”,在弹出的对话框中输入“cmd”回车进入命令行。在命令行中输入“ipconfig”命令,可以看到VPC1的IP地址172.16.1.7
7、打开vpc2同上一步查询VPC2的IP地址172.16.1.8。
8、接着在命令行中输入telnet 172.16.1.7(VPC1的IP地址),请求telnet连接。连接成功后输入之前在VPC1中配置的蜜罐用户名和密码。如下图所示即为登录成功。
9、返回VPC1发现登录过程信息已经被记录。
10、至此实验结束,分别关闭VPC1和VPC2。