虚拟蜜罐 从僵尸网络追踪到入侵检测PDF|Epub|txt|kindle电子书版本网盘下载

虚拟蜜罐 从僵尸网络追踪到入侵检测PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 蜜罐和网络背景1

1.1 TCP/IP协议简介1

1.2 蜜罐背景5

1.2.1 高交互蜜罐6

1.2.2 低交互蜜罐7

1.2.3 物理蜜罐7

1.2.4 虚拟蜜罐8

1.2.5 法律方面8

1.3 商业工具8

1.3.1 tcpdump9

1.3.2 Wireshark10

1.3.3 Nmap11

第2章 高交互蜜罐13

2.1 优点和缺点13

2.2 VMware14

2.2.1 不同的VMware版本17

2.2.2 VMware虚拟网络18

2.2.3 建立一个虚拟高交互蜜罐19

2.2.4 创建一个虚拟蜜罐22

2.2.5 添加附加监视软件25

2.2.6 把虚拟蜜罐连接到互联网27

2.2.7 建立一个虚拟高交互蜜网27

2.3 用户模式Linux28

2.3.1 概述28

2.3.2 安装和设置28

2.3.3 运行时标志和配置31

2.3.4 监视基于UML的蜜罐34

2.3.5 把虚拟蜜罐连接到Internet35

2.3.6 建立一个虚拟高交互蜜网36

2.4 Argos36

2.4.1 概述36

2.4.2 安装和设置Argos蜜罐37

2.5 保护你的蜜罐44

2.5.1 蜜墙概述44

2.5.2 蜜墙的安装47

2.6 小结48

第3章 低交互蜜罐49

3.1 优点和缺点49

3.2 欺骗工具包50

3.3 LaBrea50

3.3.1 安装和设置52

3.3.2 观察56

3.4 Tiny Honeypot56

3.4.1 安装57

3.4.2 捕获日志57

3.4.3 会话日志58

3.4.4 Netfilter日志59

3.4.5 观察59

3.5 GHH——Google入侵蜜罐60

3.5.1 一般安装60

3.5.2 设置透明链接62

3.5.3 访问日志64

3.6 PHP.HoP——一个基于Web的欺骗架构65

3.6.1 安装65

3.6.2 HipHop66

3.6.3 PhpMyAdmin67

3.7 保护你的低交互蜜罐67

3.7.1 chroot“禁闭室”68

3.7.2 Systrace70

3.8 小结72

第4章 Honeyd——基础篇73

4.1 概述73

4.1.1 特性74

4.1.2 安装和设置75

4.2 设计概述76

4.2.1 仅通过网络交互77

4.2.2 多IP地址77

4.2.3 欺骗指纹识别工具78

4.3 接收网络数据78

4.4 运行时标志79

4.5 配置81

4.5.1 create82

4.5.2 set82

4.5.3 add85

4.5.4 bind86

4.5.5 delete87

4.5.6 include88

4.6 Honeyd实验88

4.6.1 本地Honeyd实验88

4.6.2 把Honeyd整合到生产网络中90

4.7 服务91

4.8 日志92

4.8.1 数据包级日志92

4.8.2 服务级日志94

4.9 小结95

第5章 Honeyd——高级篇96

5.1 高级配置96

5.1.1 set96

5.1.2 tarpit97

5.1.3 annotate98

5.2 模拟服务98

5.2.1 脚本语言99

5.2.2 SMTP99

5.3 子系统101

5.4 内部Python服务104

5.5 动态模板106

5.6 路由拓扑107

5.7 Honeydstats110

5.8 Honeyctl112

5.9 Honeycomb113

5.10 性能115

5.11 小结116

第6章 用蜜罐收集恶意软件117

6.1 恶意软件入门117

6.2 Nepenthes——一个收集恶意软件的蜜罐解决方案118

6.2.1 Nepenthes体系结构119

6.2.2 局限性127

6.2.3 安装和设置128

6.2.4 配置129

6.2.5 命令行标志131

6.2.6 分配多个IP地址132

6.2.7 灵活的部署134

6.2.8 捕获新的漏洞利用程序135

6.2.9 实现漏洞模块135

6.2.10 结果136

6.2.11 经验体会142

6.3 Honeytrap143

6.3.1 概述143

6.3.2 安装和配置145

6.3.3 运行Honeytrap147

6.4 获得恶意软件的其他蜜罐解决方案149

6.4.1 Multipot149

6.4.2 HoneyBOT149

6.4 3 Billy Goat150

6.4.4 了解恶意网络流量150

6.5 小结151

第7章 混合系统152

7.1 黑洞153

7.2 Potemkin155

7.3 RolePlayer159

7.4 研究总结162

7.5 构建自己的混合蜜罐系统162

7.5.1 NAT和高交互蜜罐162

7.5.2 Honeyd和高交互蜜罐165

7.6 小结167

第8章 客户端蜜罐168

8.1 深入了解客户端的威胁168

8.1.1 详解MS04-040169

8.1.2 其他类型客户端攻击172

8.1.3 客户端蜜罐173

8.2 低交互客户端蜜罐175

8.2.1 了解恶意网站175

8.2.2 HoneyC179

8.3 高交互客户端蜜罐184

8.3.1 高交互客户端蜜罐的设计185

8.3.2 HoneyClient188

8.3.3 Capture-HPC189

8.3.4 HoneyMonkey191

8.4 其他方法191

8.4.1 互联网上间谍软件的研究192

8.4.2 SpyBye194

8.4.3 SiteAdvisor196

8.4.4 进一步的研究197

8.5 小结197

第9章 检测蜜罐199

9.1 检测低交互蜜罐199

9.2 检测高交互蜜罐205

9.2.1 检测和禁用Sebek205

9.2.2 检测蜜墙208

9.2.3 逃避蜜网记录208

9.2.4 VMware和其他虚拟机211

9.2.5 QEMU217

9.2.6 用户模式Linux217

9.3 检测Rootkits220

9.4 小结223

第10章 案例研究224

10.1 Blast-o-Mat：使用Nepenthes检测被感染的客户端224

10.1.1 动机225

10.1.2 Nepenthes作为入侵检测系统的一部分227

10.1.3 降低被感染系统的威胁227

10.1.4 一个新型木马：Haxdoor230

10.1.5 使用Blast-o-Mat的经验233

10.1.6 基于Nepenthes的轻量级入侵检测系统234

10.1.7 SURFnet IDS236

10.2 搜索蠕虫238

10.3 对Red Hat 8.0的攻击242

10.3.1 攻击概述243

10.3.2 攻击时间表244

10.3.3 攻击工具247

10.3.4 攻击评价250

10.4 对Windows 2000的攻击251

10.4.1 攻击概述251

10.4.2 攻击时间表252

10.4.3 攻击工具253

10.4.4 攻击评价256

10.5 对SUSE 9.1的攻击257

10.5.1 攻击概述257

10.5.2 攻击时间表258

10.5.3 攻击工具259

10.5.4 攻击评价261

10.6 小结262

第11章 追踪僵尸网络263

11.1 僵尸程序和僵尸网络263

11.1.1 僵尸程序举例265

11.1.2 僵尸程序形式的间谍软件268

11.1.3 僵尸网络控制结构270

11.1.4 僵尸网络引起的DDoS攻击273

11.2 追踪僵尸网络274

11.3 案例研究276

11.3.1 Mocbot和MS06-040280

11.3.2 其他的观察结果283

11.4 防御僵尸程序285

11.5 小结287

第12章 使用CWSandbox分析恶意软件288

12.1 CWSandbox概述289

12.2 基于行为的恶意软件分析290

12.2.1 代码分析290

12.2.2 行为分析290

12.2.3 API拦截291

12.2.4 代码注入294

12.3 CWSandbox——系统描述295

12.4 结果297

12.4.1 实例分析报告298

12.4.2 大规模分析302

12.5 小结304

参考文献305