 |
蜜罐进阶之Hit@me入侵分析 |
|
|
| 蜜罐进阶之Hit@me入侵分析 |
|
| 作者:未知 文章来源:互联网 点击数: 更新时间:2007-9-9 1:10:47 |
|
入侵数据分析测试。虽然对windows我没有展开去分析,但是相信其整体的分析方法同上面的许多数据分析是一致的思路,因此举一反三,我们能自如的运用这种手段来分析解决这些暗藏的数字行为。
Tribe FloodNet 2k(tfn2k)的Dos测试
最后,我分析蜜罐的中发生DDos攻击时,tfn2k主机之间的协同作战的数据联系。在实验环境中使用了2套Redhat7.2,安装了td,并在蜜罐中使用tfn控制两台机器进行协同作战(关于tfn2k的安装及其使用可以参考tfn2k.tgz的README文档,这里不做赘述)。使用“./tfn -f hosts.txt -c 6 -i 192.168.1.235”的ICMP攻击,大约20多分钟,系统已经处于瘫痪状态。
数据包跟踪截断如下:
5/15-00:03:33.277786 192.168.1.235 -> 192.168.1.250
ICMP TTL:246 TOS:0x0 ID:21972
ID:0 Seq:4830 ECHO REPLY
72 79 61 46 54 63 38 48 65 6D 65 75 50 39 53 32 ryaFTc8HemeuP9S2
6E 45 66 35 69 51 41 41 41 41 41 41 41 41 41 41 nEf5iQAAAAAAAAAA
41 41 41 41 41 41 41 41 AAAAAAAA
开始分析这个截流包的时候,我疑惑了很长一段时间,因为“ryaFTc8HemeuP9S2
nEf5iQ”这样的字符串并不代表具体含义,这里让我想到的是:在tfn2k主机之间的通讯是加密的。但在监测这种加密通讯时,我却发现每次加密字串是无规律的。后来,在仔细查看了tnf2k的文档才发现作者使用CAST-256 加密算法对通讯字串加密之后在使用base64进行解码,当td服务器自动对字串解密,实现协同作战之间的单项联系。
那么,我们如何得到这种攻击行为的特征代码呢?经过对包的ip头和icmp头进行分析,可以发现这样一个固定的数字行为: ICMP类型
ICMP ID号
0(icmp echo reply)
0
即:ICMP包为icmp echo replay类型,且其ID永远为0;当然,仅靠这些数字特征并不能表示网络安装了tfn2k的服务,应该注意到,在加密字串后面有一串连续的“AAAAAAAA”,根据作者声称,这些字符是用于填充作用的。现在我们能很快写出其入侵特征规则:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS tfn2k icmp possible communication"; itype: 0; icmp_id: 0; content: "AAAAAAAAAA"; reference:arachnids,425; classtype:attempted-dos; sid:222; rev:1
对TNF2K分析完毕,我们获得分布式拒绝攻击的数字协作特征的许多有趣资料。这对于我们分析更多的攻击方式将是非常便利的手段!
小结
利用蜜罐技术来模拟真实的网络服务资源环境,这大大方便我们研究网络安全结构、修补复杂网络环境中存在的各种弊病,同时实现对操作系统、安全产品的测试和质量评判。当然,Hit@me结构的蜜罐也存在着一些缺陷,比如,当入侵者使用隐秘的SSH登录,则无法监测其行为特性;在实现虚拟系统中如何引诱攻击行为;庞大的数据资源如何快速加工整理等若干问题。我希望大家能和我一起讨论并解决这些存在的困难。蜜罐在安全问题日益严重的今天,越来越体现了它无比优越的实用性。
上一页 [1] [2] [3] [4] [5]
|
|
| 文章录入:郝丽 责任编辑:郝丽 |
|
|
上一篇文章: 入侵分析
下一篇文章: 没有了 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
