這是當(dāng)今最好的蜜罐技術(shù)參考資料，從低交互蜜罐，到僵尸網(wǎng)絡(luò)，再到惡意軟件，Niels Provos和Thorsten Holz通過本書，分享了他們在網(wǎng)絡(luò)安全尖端領(lǐng)域之專業(yè)的知識、深刻的見解、以及令人嘆為觀止的才智。如果您想學(xué)習(xí)最新的蜜罐技術(shù)，了解它們倒底是什么、如何工作以及它倒底能為您帶來什么，至少是現(xiàn)在，沒有比這更好的一本書了。

――蜜罐技術(shù)創(chuàng)始人——Lance Spitzner

Provos和Holz寫了一本網(wǎng)絡(luò)上的破壞分子祈禱千萬不要被人看到的書。然而，任何對網(wǎng)絡(luò)安全技術(shù)持有嚴(yán)肅的態(tài)度的人，他的書架上絕不會沒有這本《虛擬蜜罐》。

約翰霍普金斯大學(xué)，Aviel D. Rubin博士

蜜罐技術(shù)已經(jīng)為網(wǎng)絡(luò)安全做出了巨大貢獻(xiàn)，但物理蜜罐布署的復(fù)雜、耗時及昂貴，卻常常令人對它望而卻步。現(xiàn)在有了一個突破性的解決方案——虛擬蜜罐技術(shù)。它具有物理蜜罐技術(shù)的諸多特性，但卻使你可以在單一的系統(tǒng)中運(yùn)行成百上千個虛擬蜜罐，同時，虛擬蜜罐的搭建比物理蜜罐更加容易，成本更低，更加易于布置和維護(hù)。

在這本可實(shí)踐性極強(qiáng)的書中，兩位世界上最重要的蜜罐技術(shù)先驅(qū)——Provos和Holz，為大家系統(tǒng)地講解了虛擬蜜罐技術(shù)。哪怕你以前從來都沒有布署過一個蜜罐系統(tǒng)，通過本書，你也將會一步一個腳印地在自己的計算機(jī)環(huán)境中，準(zhǔn)確掌握如何布署、配置、使用和維護(hù)虛擬蜜罐系統(tǒng)。

本書的學(xué)習(xí)將通過一個完整的虛擬蜜罐系統(tǒng)——Honeyd為案例來進(jìn)行。這個系統(tǒng)由本書作者之一Provos創(chuàng)建，是一個專業(yè)領(lǐng)域內(nèi)好評如潮的虛擬蜜罐系統(tǒng)。同時，作者還為虛擬蜜罐系統(tǒng)準(zhǔn)備了多個實(shí)際中使用的應(yīng)用程序，如網(wǎng)絡(luò)誘餌、蠕蟲探測、垃圾郵件阻止、網(wǎng)絡(luò)模擬。

本書將帶給您的收獲：

●對比高交互蜜罐（真實(shí)的系統(tǒng)及服務(wù)）與低交互蜜罐（用來模擬高交互蜜罐）。

●安裝與配置蜜罐，模擬多操作系統(tǒng)、應(yīng)用及網(wǎng)絡(luò)環(huán)境。

●使用虛擬蜜罐來捕獲蠕蟲、僵尸以及其它惡意軟件。

●使用低交互蜜罐和高交互蜜罐中的技術(shù)，生成高性能混合型蜜罐

●在客戶端布署蜜罐技術(shù)，來主動發(fā)現(xiàn)危險的網(wǎng)絡(luò)定位

●掌握攻擊者如何識別和規(guī)避蜜罐

●解析你的蜜罐系統(tǒng)定位的網(wǎng)絡(luò)僵尸及捕獲的惡意軟件

●預(yù)測物理蜜罐及虛擬蜜罐的進(jìn)化趨勢

這是一本通過實(shí)驗(yàn)理解計算機(jī)安全的書。在此之前，你可能會認(rèn)為，如果你的計算機(jī)被攻陷了，那就是世界末日了。但是，我們將告訴你如何看待入侵的光明的一面，教會你欣賞從僵尸網(wǎng)絡(luò)、蠕蟲和惡意軟件中獲得的知識。每一次事件都會獲得一個經(jīng)驗(yàn)，一旦你了解了許多不同種類的蜜罐，在對付互聯(lián)網(wǎng)攻擊者時，你就可以反敗為勝。本書討論了各種各樣的蜜罐部署方案，從追蹤僵尸網(wǎng)絡(luò)到捕獲惡意軟件。我們也鼓勵你通過分析攻擊者如何著手檢測你的對策，從而獲得敵手的視角。但首先讓我們建立適當(dāng)?shù)挠懻摥h(huán)境。

計算機(jī)網(wǎng)絡(luò)連接了世界各地?zé)o數(shù)的計算機(jī)系統(tǒng)。我們知道，所有這些網(wǎng)絡(luò)的總和構(gòu)成了互聯(lián)網(wǎng)。互聯(lián)網(wǎng)最初設(shè)計用于研究和軍事目的，自從Tim Berners-Lee在1990年發(fā)明了超文本傳輸協(xié)議（HTTP）并創(chuàng)建了萬維網(wǎng)之后，互聯(lián)網(wǎng)變得非常流行。隨著我們中多數(shù)人開始使用網(wǎng)絡(luò)，幾乎所有的社會問題也轉(zhuǎn)移到電子王國。例如，由于人們的好奇心創(chuàng)造了第一個互聯(lián)網(wǎng)蠕蟲 。另一個好奇心的標(biāo)志是掃描網(wǎng)絡(luò)——掃描網(wǎng)絡(luò)中安裝計算機(jī)的數(shù)量和它們各自的配置。事實(shí)上，接收一個持續(xù)的網(wǎng)絡(luò)探測流現(xiàn)在被認(rèn)為是正常的和所期望的。不幸的是，許多這樣的活動不再是良性的了。社會中不良的人已經(jīng)明白了互聯(lián)網(wǎng)提供了快速獲得利益的新機(jī)會。地下活動從發(fā)送數(shù)以百萬計的垃圾電子郵件、身份盜竊、信用卡詐騙，到利用分布式拒絕服務(wù)攻擊進(jìn)行敲詐勒索。

隨著互聯(lián)網(wǎng)的日益普及，保持我們的電子世界的健康運(yùn)轉(zhuǎn)也變得越來越重要。然而，盡管有幾十年的研究和經(jīng)驗(yàn)，我們?nèi)匀粺o法保障計算機(jī)系統(tǒng)安全，哪怕是衡量他們的安全性。利用新發(fā)現(xiàn)的漏洞的攻擊往往使我們感到吃驚。漏洞利用的自動化和大規(guī)模全面掃描漏洞，使得敵手一旦找到了計算機(jī)系統(tǒng)的弱點(diǎn)，就很容易攻陷計算機(jī)系統(tǒng)[91]。

為了了解哪些漏洞正在被對手使用（它們甚至可能是一些我們尚不知道的），我們可以在網(wǎng)絡(luò)上安裝一個計算機(jī)系統(tǒng)，然后觀察在它上面會發(fā)生什么事情。如果系統(tǒng)服務(wù)沒有用于任何其他目的，那么任何一個對它的連接嘗試似乎都是可疑的。如果系統(tǒng)受到攻擊，我們就可以了解某些新的東西。我們稱這樣一個系統(tǒng)為蜜罐，它被攻陷能讓我們了解入侵利用了哪個漏洞，一旦敵手掌握了對系統(tǒng)完全控制權(quán)后他做了什么。一個蜜罐可以是任何類型的計算系統(tǒng)，它可以運(yùn)行任何操作系統(tǒng)和任何數(shù)量的服務(wù)。我們配置的服務(wù)決定了對敵手公開的攻擊向量。

本書中我們經(jīng)常談?wù)撔皭旱挠嬎銠C(jī)用戶想要闖入我們的蜜罐。許多讀者可能會希望我們稱這些計算機(jī)用戶為黑客——一個長期被媒體修改和扭曲得面目全非的詞。不過，作者更喜歡這個詞的傳統(tǒng)定義：黑客是針對一個問題能找到聰明解決方案的人。雖然不乏好的黑客，但企圖和成功入侵計算機(jī)系統(tǒng)的人卻多得多，我們把他們稱為攻擊者或敵手。

到目前為止，我們已經(jīng)聲稱，蜜罐允許我們研究敵手，洞察他們的動機(jī)和技術(shù)，但是現(xiàn)在我們將用一個真實(shí)的案例研究證明給你看。

一個真實(shí)的案例

這個案例描述了一個實(shí)際攻陷系統(tǒng)的過程，以及我們從敵手那里獲得的東西。我們密切監(jiān)視我們的蜜罐，可以觀察敵手在我們的系統(tǒng)上進(jìn)行的每一個步驟。這一事件開始于4月3日，當(dāng)時我們的基于Red Hat 8.0的蜜罐由于弱SSH口令漏洞而被攻陷。敵手獲得了一個user和root賬戶訪問權(quán)限。她可能認(rèn)為自己非常幸運(yùn)，獲得了訪問一個高速校園網(wǎng)絡(luò)的權(quán)限。她不知道的是我們刻意安裝了可猜測的口令（不懷好意地笑）。事實(shí)上，這種攻擊十分常見。如果你運(yùn)行一個SSH服務(wù)器，只要看看它的日志文件就知道了。

使用我們的日志文件和在蜜罐上收集的其他信息，很容易重建所發(fā)生的一系列事件。正如在許多電影里一樣，攻擊發(fā)生在午夜。攻擊從挪威的一所大學(xué)的一臺主機(jī)發(fā)起，午夜剛過，敵手開始了對蜜罐的SSH服務(wù)器的攻擊。在她幸運(yùn)地猜到root口令之前，她的自動化工具已經(jīng)循環(huán)測試了數(shù)千個不同的用戶名和口令。這時，敵手從一個意大利的IP地址完全地不受限制地訪問我們的系統(tǒng)，并從不同的Web服務(wù)器上下載了一些工具，以方便她的惡意行為。這些工具中有一個SSH掃描器、一個IRC客戶端和一個root工具包。毫不奇怪，我們的對手使用SSH掃描器是為了找到更多的具有弱口令的互聯(lián)網(wǎng)系統(tǒng)。除了下載了root工具包，敵手還安裝了一個后門，允許敵手可以在任何時候回來，而不會引起任何人的注意。當(dāng)敵手正在下載電影《要錢不要命》（西班牙）時，我們認(rèn)為事情已經(jīng)進(jìn)行得足夠長了，因此我們關(guān)閉了蜜罐。

攻擊時間表

經(jīng)過深入調(diào)查，我們得到了如下事件發(fā)生的時間表：

 00:23:07 AM：掃描幾分鐘后，敵手使用guest帳戶第一次設(shè)法登錄系統(tǒng)。敵手不滿意于此，繼續(xù)猜測更多帳戶的口令。

 00:35:53 AM：中大獎了！敵手作為root用戶成功登錄系統(tǒng)。然而，盡管敵手得到了root權(quán)限，口令猜測仍在繼續(xù)——一個強(qiáng)烈的信號，我們正在觀察的是一個完全自動化的攻擊。

 00:51:24 AM：guest用戶登錄，但幾秒鐘后又注銷了。我們猜測敵手正手工驗(yàn)證自動猜測的用戶名和口令的正確性。

 00:52:44 AM：root用戶登錄，但這次登錄來自于IP地址83.103.*.*。登錄后，創(chuàng)建了3個新用戶，所有的這些用戶的組和uid 都為0——系統(tǒng)管理員的身份。

 00:54:08 AM：入侵者使用guest帳戶登錄，并更改此帳戶的口令。然后，她開始從遠(yuǎn)程Web服務(wù)器上下載帶有她要用的工具的文件。

 00:54:29 AM：該文件完成下載，它包含一個SSH掃描器、用于啟動它的shell腳本、生成用戶名和口令的兩個字典文件。10秒鐘后，文件“xyz”和“1”也被下載。文件“xyz”是用于前面提到的SSH掃描器的另一個字典文件。文件“1”是一個簡單的shell腳本，便于SSH掃描器正確執(zhí)行。

 00:54:53 AM：對手啟動一個對IP范圍66.252 .*.*的SSH掃描。約3分鐘后掃描完成。不要擔(dān)心，我們的控制機(jī)制阻止了它對其他機(jī)器的任何傷害。

 00:58:18 AM：用戶guest、george和root注銷。

 01:24:34 PM：用戶george重新登錄，這一次她來自于IP地址151.81.*.*。敵手切換到root帳號并開始下載一個名為“90”的文件。快速分析表明，它是某種內(nèi)核修改程序，可能是一個root工具包。

 02:22:43 PM：另一個文件被下載，且敵手改變了root口令。這個新文件包含一個修改的監(jiān)聽端口3209的SSH服務(wù)器和另一個SSH掃描器。從現(xiàn)在起，所有到蜜罐的連接都通過新安裝的后門。

 02:23:32 PM：敵手建立一個到郵件服務(wù)器mta238.mail.re2.yahoo.com的連接，但是由于MALL FROM頭部的格式不合適，沒有成功發(fā)送電子郵件。

 02:31:17 PM：敵手下載mirkforce.tgz，其中包含一個修改的IRC客戶端。不久之后，她執(zhí)行該IRC客戶端，連接到一個在194.109.*.*上運(yùn)行的IRC服務(wù)器。

 02:58:04 PM：敵手試圖通過HTTP下載電影《要錢不要命》。

 03:02:05 PM：執(zhí)行whois查詢域bogdan.mine.nu和pytycu.ro。

 04:46:49 PM：敵手開始掃描IP范圍125.240.*.*，以便找到更多帶有弱SSH口令的機(jī)器。她大約在05:01:16 PM停止掃描。

 04:58:37 PM：下載壓縮文件scanjapan.tar到/ tmp目錄下。該文件包含另一個SSH掃描器，掃描器帶有日文的用戶名和口令字典。

 05:30:29 PM：是回家喝啤酒的時間了，所以我們關(guān)閉了蜜罐。

一旦這個事件結(jié)束，我們就有充足的時間分析到底發(fā)生了什么事情。我們保存了所有工具的副本，能夠確定它們詳細(xì)的用途。例如，安裝的root工具包被稱為SucKIT，已在Phrack 的第58期中詳細(xì)描述過[78]。SucKIT是通過直接修改內(nèi)核內(nèi)存/dev/kmem安裝的，不需要任何可加載內(nèi)核模塊的支持。此外，SucKIT提供了一個口令保護(hù)的可繞過防火墻規(guī)則的遠(yuǎn)程訪問shell的功能。它支持進(jìn)程、文件和連接隱藏，并在重新啟動后仍然存在。

還有更多要學(xué)的，我們有專門的一章研究一些像這樣的案例。

目標(biāo)讀者

我們寫這本書是為了吸引廣泛的讀者。對于缺少經(jīng)驗(yàn)又想了解蜜罐世界的讀者，本書提供了足夠的背景知識和實(shí)例幫助你建立和部署蜜罐，即使你以前從來沒有這樣做過。對于有經(jīng)驗(yàn)的讀者，本書可以作為一本參考書，但它仍然揭示了蜜罐及其部署的新內(nèi)容。除了為廣泛的蜜罐技術(shù)提供了一個堅實(shí)的基礎(chǔ)，我們也展望了蜜罐的未來，并希望能激發(fā)你受用多年的靈感。

內(nèi)容組織

盡管歡迎您以任何的順序閱讀這些章節(jié)，但是這里給出每一章的內(nèi)容概述和閱讀順序的一些建議，可能會對您有所幫助。

 第1章介紹了互聯(lián)網(wǎng)協(xié)議、一般意義上的蜜罐及有用的網(wǎng)絡(luò)工具等背景知識。本章的目的是作為剛接觸這個主題的讀者的一個起點(diǎn)。

 第2章和第3章介紹蜜罐的基本原理，對理解本書其余的部分非常重要。本章介紹了兩個流行蜜罐類型：高交互蜜罐和低交互蜜罐。低交互蜜罐模擬服務(wù)或操作系統(tǒng)與敵手交互，高交互蜜罐提供真實(shí)的系統(tǒng)和服務(wù)與敵手交互。

 第4章和第5章關(guān)注的是Honeyd，一種流行的開源蜜罐框架，它允許你在一個物理機(jī)器上建立和運(yùn)行上百個虛擬蜜罐。該虛擬蜜罐可以被配置為模仿許多不同的操作系統(tǒng)和服務(wù)的系統(tǒng)，允許你模擬任意的網(wǎng)絡(luò)結(jié)構(gòu)。

 第6章介紹使用蜜罐捕獲惡意軟件（如蠕蟲和僵尸程序）的不同方法，由于僵尸網(wǎng)絡(luò)和蠕蟲是當(dāng)今互聯(lián)網(wǎng)的重大危脅，本章介紹的蜜罐將幫助你更多地了解這些威脅。

 第7章討論結(jié)合高交互蜜罐和低交互蜜罐技術(shù)建立高性能蜜罐的不同方法。這些混合系統(tǒng)具有在超過6萬個不同IP地址上運(yùn)行蜜罐的能力。

 在第8章中我們主動出擊，不再等待攻擊。介紹了客戶端蜜罐的概念，為了被攻陷，它在互聯(lián)網(wǎng)上主動尋找危險的地方。

 第9章從攻擊者的角度討論如何檢測蜜罐的存在和規(guī)避記錄。這是敵手要做的，想使蜜罐運(yùn)行者的日子不好過。通過了解他們的技術(shù)，可以更好地抵御他們。

 第10章介紹幾個案例研究，討論在現(xiàn)實(shí)世界中部署虛擬蜜罐，我們從中了解到了什么。對于每個被攻陷的蜜罐，詳細(xì)分析了攻擊者的步驟和他們使用的工具。

 僵尸網(wǎng)絡(luò)——由攻擊者遠(yuǎn)程控制的被攻陷的機(jī)器組成的網(wǎng)絡(luò)，是今天互聯(lián)網(wǎng)上最大的威脅之一。第11章詳細(xì)介紹了僵尸網(wǎng)絡(luò)，并說明借助蜜罐可以了解到關(guān)于它們的哪些信息。

 由于蜜罐經(jīng)常捕獲惡意軟件，第12章介紹了CWSandbox，一個幫助我們自動化分析惡意二進(jìn)制文件的工具，為每個二進(jìn)制文件創(chuàng)建行為表。我們給出了CWSandbox的一個概述，并詳細(xì)研究了一個樣本惡意軟件的報告。

如果你不熟悉蜜罐，想在深入鉆研更復(fù)雜主題之前先學(xué)習(xí)基本知識，我們強(qiáng)烈建議你從1～3章開始。這些章節(jié)將幫助你理解部署蜜罐的方法和你期望得到的結(jié)果。

一旦你了解了基本知識，可以進(jìn)入第4和5章研究更高級的主題Honeyd。第6章討論了捕獲自主傳播的惡意軟件，如蠕蟲和僵尸程序。與第6章密切相關(guān)的是關(guān)于僵尸網(wǎng)絡(luò)的第11章，以及關(guān)于惡意軟件分析的第12章。但是，你也可以在第7章更多地了解混合方法，在第8章了解客戶端蜜罐的新概念。第9章和第10章也各自獨(dú)立：前者介紹了幾種檢測蜜罐存在的方法，應(yīng)該始終牢記的風(fēng)險；后者介紹了幾個案例研究，基于現(xiàn)實(shí)世界的例子說明使用蜜罐可以了解哪些信息。

雖然各章節(jié)的組織建立在彼此的基礎(chǔ)之上，你可以按原來的順序閱讀，但是一旦你熟悉了基本概念，大部分章節(jié)是可以獨(dú)立理解的。如果你對任何一章特別感興趣，不要猶豫，跳過前面的章節(jié)，直接去閱讀它。

預(yù)備知識

閱讀這本書時，熟悉網(wǎng)絡(luò)安全的基本概念將是很有幫助的。我們希望你能熟悉防火墻（Firewall）和入侵檢測系統(tǒng)（Intrusion Detection System，IDS）等術(shù)語，但對你來說沒必要在這些領(lǐng)域有廣泛的知識。第1章給出了學(xué)習(xí)本書后續(xù)其余部分所需要知道的大部分基礎(chǔ)知識。任何想要更詳細(xì)地了解我們的討論主題的人，可以廣泛地使用參考文獻(xiàn)。

由于許多蜜罐解決方案被設(shè)計運(yùn)行在Linux或BSD版本上，所以對這些操作系統(tǒng)的一些基本了解是有幫助的。但是，即使你是一個狂熱的Windows用戶，你可以安裝一個虛擬機(jī)，使用這些操作系統(tǒng)進(jìn)行實(shí)驗(yàn)，這樣做會使我們了解蜜罐技術(shù)的很多原理。這樣，你就能更好地理解我們介紹的工具，并自己使用它們做實(shí)驗(yàn)。我們常常給出一步一步的指導(dǎo)，告訴你如何安裝和配置一個具體的解決方案，并向你指出進(jìn)一步的參考。因此，即使你只有一些背景知識，你應(yīng)該也能夠了解更多有關(guān)虛擬蜜罐這一迷人的主題。

譯者序
前言
致謝
作者簡介

第1章 蜜罐和網(wǎng)絡(luò)背景 1
1.1 TCP/IP協(xié)議簡介 1
1.2 蜜罐背景 5
1.2.1 高交互蜜罐 6
1.2.2 低交互蜜罐 7
1.2.3 物理蜜罐 7
1.2.4 虛擬蜜罐 8
1.2.5 法律方面 8
1.3 商業(yè)工具 8
1.3.1 tcpdump 9
1.3.2 Wireshark 10
1.3.3 Nmap 11
第2章 高交互蜜罐 13
2.1 優(yōu)點(diǎn)和缺點(diǎn) 13
2.2 VMware 14
2.2.1 不同的VMware版本 17
2.2.2 VMware虛擬網(wǎng)絡(luò) 18
2.2.3 建立一個虛擬高交互蜜罐 19
2.2.4 創(chuàng)建一個虛擬蜜罐 22
2.2.5 添加附加監(jiān)視軟件 25
2.2.6 把虛擬蜜罐連接到互聯(lián)網(wǎng) 27
2.2.7 建立一個虛擬高交互蜜網(wǎng) 27
2.3 用戶模式Linux 28
2.3.1 概述 28
2.3.2 安裝和設(shè)置 28
2.3.3 運(yùn)行時標(biāo)志和配置 31
2.3.4 監(jiān)視基于UML的蜜罐 34
2.3.5 把虛擬蜜罐連接到Internet 35
2.3.6 建立一個虛擬高交互蜜網(wǎng) 36
2.4 Argos 36
2.4.1 概述 36
2.4.2 安裝和設(shè)置Argos蜜罐 37
2.5 保護(hù)你的蜜罐 44
2.5.1 蜜墻概述 44
2.5.2 蜜墻的安裝 47
2.6 小結(jié) 48
第3章 低交互蜜罐 49
3.1 優(yōu)點(diǎn)和缺點(diǎn) 49
3.2 欺騙工具包 50
3.3 LaBrea 50
3.3.1 安裝和設(shè)置 52
3.3.2 觀察 56
3.4 Tiny Honeypot 56
3.4.1 安裝 57
3.4.2 捕獲日志 57
3.4.3 會話日志 58
3.4.4 Netfilter日志 59
3.4.5 觀察 59
3.5 GHH——Google入侵蜜罐 60
3.5.1 一般安裝 60
3.5.2 設(shè)置透明鏈接 62
3.5.3 訪問日志 64
3.6 PHP.HoP——一個基于Web的欺騙架構(gòu) 65
3.6.1 安裝 65
3.6.2 HipHop 66
3.6.3 PhpMyAdmin 67
3.7 保護(hù)你的低交互蜜罐 67
3.7.1 chroot“禁閉室” 68
3.7.2 Systrace 70
3.8 小結(jié) 72
第4章 Honeyd——基礎(chǔ)篇 73
4.1 概述 73
4.1.1 特性 74
4.1.2 安裝和設(shè)置 75
4.2 設(shè)計概述 76
4.2.1 僅通過網(wǎng)絡(luò)交互 77
4.2.2 多IP地址 77
4.2.3 欺騙指紋識別工具 78
4.3 接收網(wǎng)絡(luò)數(shù)據(jù) 78
4.4 運(yùn)行時標(biāo)志 79
4.5 配置 81
4.5.1 create 82
4.5.2 set 82
4.5.3 add 85
4.5.4 bind 86
4.5.5 delete 87
4.5.6 include 88
4.6 Honeyd實(shí)驗(yàn) 88
4.6.1 本地Honeyd實(shí)驗(yàn) 88
4.6.2 把Honeyd整合到生產(chǎn)網(wǎng)絡(luò)中 90
4.7 服務(wù) 91
4.8 日志 92
4.8.1 數(shù)據(jù)包級日志 92
4.8.2 服務(wù)級日志 94
4.9 小結(jié) 95
第5章 Honeyd——高級篇 96
5.1 高級配置 96
5.1.1 set 96
5.1.2 tarpit 97
5.1.3 annotate 98
5.2 模擬服務(wù) 98
5.2.1 腳本語言 99
5.2.2 SMTP 99
5.3 子系統(tǒng) 101
5.4 內(nèi)部Python服務(wù) 104
5.5 動態(tài)模板 106
5.6 路由拓?fù)?107
5.7 Honeydstats 110
5.8 Honeyct1 112
5.9 Honeycomb 113
5.10 性能 115
5.11 小結(jié) 116
第6章 用蜜罐收集惡意軟件 117
6.1 惡意軟件入門 117
6.2 Nepenthes——一個收集惡意軟件的
蜜罐解決方案 118
6.2.1 Nepenthes體系結(jié)構(gòu) 119
6.2.2 局限性 127
6.2.3 安裝和設(shè)置 128
6.2.4 配置 129
6.2.5 命令行標(biāo)志 131
6.2.6 分配多個IP地址 132
6.2.7 靈活的部署 134
6.2.8 捕獲新的漏洞利用程序 135
6.2.9 實(shí)現(xiàn)漏洞模塊 135
6.2.10 結(jié)果 136
6.2.11 經(jīng)驗(yàn)體會 142
6.3 Honeytrap 143
6.3.1 概述 143
6.3.2 安裝和配置 145
6.3.3 運(yùn)行Honeytrap 147
6.4 獲得惡意軟件的其他蜜罐解決方案 149
6.4.1 Multipot 149
6.4.2 HoneyBOT 149
6.4.3 Billy Goat 150
6.4.4 了解惡意網(wǎng)絡(luò)流量 150
6.5 小結(jié) 151
第7章 混合系統(tǒng) 152
7.1 黑洞 153
7.2 Potemkin 155
7.3 RolePlayer 159
7.4 研究總結(jié) 162
7.5 構(gòu)建自己的混合蜜罐系統(tǒng) 162
7.5.1 NAT和高交互蜜罐 162
7.5.2 Honeyd和高交互蜜罐 165
7.6 小結(jié) 167
第8章 客戶端蜜罐 168
8.1 深入了解客戶端的威脅 168
8.1.1 詳解MS04-040 169
8.1.2 其他類型客戶端攻擊 172
8.1.3 客戶端蜜罐 173
8.2 低交互客戶端蜜罐 175
8.2.1 了解惡意網(wǎng)站 175
8.2.2 HoneyC 179
8.3 高交互客戶端蜜罐 184
8.3.1 高交互客戶端蜜罐的設(shè)計 185
8.3.2 HoneyClient 188
8.3.3 Capture-HPC 189
8.3.4 HoneyMonkey 191
8.4 其他方法 191
8.4.1 互聯(lián)網(wǎng)上間諜軟件的研究 192
8.4.2 SpyBye 194
8.4.3 SiteAdvisor 196
8.4.4 進(jìn)一步的研究 197
8.5 小結(jié) 197
第9章 檢測蜜罐 199
9.1 檢測低交互蜜罐 199
9.2 檢測高交互蜜罐 205
9.2.1 檢測和禁用Sebek 205
9.2.2 檢測蜜墻 208
9.2.3 逃避蜜網(wǎng)記錄 208
9.2.4 VMware和其他虛擬機(jī) 211
9.2.5 QEMU 217
9.2.6 用戶模式Linux 217
9.3 檢測Rootkits 220
9.4 小結(jié) 223
第10章 案例研究 224
10.1 Blast-o-Mat：使用Nepenthes檢測被
感染的客戶端 224
10.1.1 動機(jī) 225
10.1.2 Nepenthes作為入侵檢測系統(tǒng)的
一部分 227
10.1.3 降低被感染系統(tǒng)的威脅 227
10.1.4 一個新型木馬：Haxdoor 230
10.1.5 使用Blast-o-Mat的經(jīng)驗(yàn) 233
10.1.6 基于Nepenthes的輕量級入侵檢
測系統(tǒng) 234
10.1.7 SURFnet IDS 236
10.2 搜索蠕蟲 238
10.3 對Red Hat 8.0的攻擊 242
10.3.1 攻擊概述 243
10.3.2 攻擊時間表 244
10.3.3 攻擊工具 247
10.3.4 攻擊評價 250
10.4 對Windows 2000的攻擊 251
10.4.1 攻擊概述 251
10.4.2 攻擊時間表 252
10.4.3 攻擊工具 253
10.4.4 攻擊評價 256
10.5 對SUSE 9.1的攻擊 257
10.5.1 攻擊概述 257
10.5.2 攻擊時間表 258
10.5.3 攻擊工具 259
10.5.4 攻擊評價 261
10.6 小結(jié) 262
第11章 追蹤僵尸網(wǎng)絡(luò) 263
11.1 僵尸程序和僵尸網(wǎng)絡(luò) 263
11.1.1 僵尸程序舉例 265
11.1.2 僵尸程序形式的間諜軟件 268
11.1.3 僵尸網(wǎng)絡(luò)控制結(jié)構(gòu) 270
11.1.4 僵尸網(wǎng)絡(luò)引起的DDoS攻擊 273
11.2 追蹤僵尸網(wǎng)絡(luò) 274
11.3 案例研究 276
11.3.1 Mocbot和MS06-040 280
11.3.2 其他的觀察結(jié)果 283
11.4 防御僵尸程序 285
11.5 小結(jié) 287
第12章 使用CWSandbox分析惡意軟件 288
12.1 CWSandbox概述 289
12.2 基于行為的惡意軟件分析 290
12.2.1 代碼分析 290
12.2.2 行為分析 290
12.2.3 API攔截 291
12.2.4 代碼注入 294
12.3 CWSandbox——系統(tǒng)描述 295
12.4 結(jié)果 297
12.4.1 實(shí)例分析報告 298
12.4.2 大規(guī)模分析 302
12.5 小結(jié) 304
參考文獻(xiàn) 305

1. 網(wǎng)絡(luò)安全原理與應(yīng)用（第三版） [戚文靜 劉學(xué) 李國文 王震]
2. 大學(xué)生信息檢索與網(wǎng)絡(luò)安全教程 [劉軍 楊昌堯 黃榮森]
3. 網(wǎng)絡(luò)安全運(yùn)維技術(shù) [主編 唐繼勇 任月輝]
4. 遨游數(shù)字時代——全球IT高管網(wǎng)絡(luò)安全秘籍 [[美] Palo Alto Networks 編]
5. 云計算與網(wǎng)絡(luò)安全 [主編　肖睿　徐文義]
6. 網(wǎng)絡(luò)安全技術(shù)項目化教程 [主編 段新華 宋風(fēng)忠]
7. 網(wǎng)絡(luò)安全技術(shù) [姚奇富]
8. 網(wǎng)絡(luò)安全系統(tǒng)集成 [魯先志 唐繼勇]
9. 網(wǎng)絡(luò)安全產(chǎn)品調(diào)試與部署 [路亞 李賀華]
10. 網(wǎng)絡(luò)安全原理與應(yīng)用（第二版） [戚文靜 劉學(xué)]
11. 中小型網(wǎng)絡(luò)安全管理與維護(hù) [姚奇富 副主編 馬華林]
12. 網(wǎng)絡(luò)安全技術(shù)項目引導(dǎo)教程 [魯立]
13. 計算機(jī)網(wǎng)絡(luò)安全技術(shù) [主 編 劉永華]
14. 網(wǎng)絡(luò)安全技術(shù) [主編 吳銳]
15. 現(xiàn)代網(wǎng)絡(luò)安全技術(shù) [李興無 主 編 ]
16. 計算機(jī)網(wǎng)絡(luò)安全技術(shù)（第二版） [蔡立軍 主編]
17. 計算機(jī)網(wǎng)絡(luò)安全實(shí)用技術(shù) [葛彥強(qiáng) 汪向征 主編]
18. 網(wǎng)絡(luò)安全與管理 [戚文靜 主編]
19. 網(wǎng)絡(luò)安全原理與應(yīng)用 [戚文靜 劉學(xué) 主編]
20. 網(wǎng)絡(luò)與信息安全教程 [吳煜煌 汪軍 等編著]
21. 計算機(jī)網(wǎng)絡(luò)安全技術(shù)（第二版） [蔡立軍 主編]
22. 網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)指導(dǎo) [賴小卿 主編]
23. 網(wǎng)絡(luò)安全與管理（第二版） [戚文靜 主編]