系统蜜罐部署实验

实验目的

了解系统蜜罐的基本原理,掌握Defnet蜜罐系统的使用。

实验原理

Defnet是一款著名的“蜜罐”虚拟系统,它会虚拟一台有“缺陷”的服务器,等着恶意攻击者上钩。利用该软件虚拟出来的系统和真正的系统看起来没有什么区别,但它是为恶意攻击者布置的陷阱。通过它可以看到攻击者都执行了哪些命令,进行了哪些操作,使用了哪些恶意攻击工具。通过陷阱的记录,可以了解攻击者的习惯,掌握足够的攻击证据,甚至反击攻击者。

实验内容

利用Defnet设置蜜罐并进行监视

设置蜜罐提醒方式

实验环境描述

Windows 2007操作系统

Defnet工具

实验步骤

1、点击开始实验,进入实验环境

2、输入默认账号administrator,密码123456,进入目标主机桌面。

3、在d:\tools\BUPT3108B中找到defnet.exe程序运行Defnet HoneyPot,解除阻止。如下图所示。

图片描述

图片描述

4、在Defnet HoneyPot的程序主界面右侧,点击“HoneyPot”按钮,在设置对话框中,可以虚拟Web、FTP、SMTP、Finger、POP3和Telnet等常规网站提供的服务。如图:

图片描述

5、虚拟一个FTP Server服务,可选中相应服务“FTP Server”复选框,并可以给恶意攻击者“Full Access”权限,且可设置好“Directory”项,用于指定伪装的文件目录项,具体如下图所示。

图片描述

6、点击右下角“Advanced”设置“Telnet Server”的高级设置项,设置伪装驱动器盘符(Drive)、卷标(Volume)、序列号(serial no),以及目录创建时间和目录名,剩余磁盘空间(Free space in bytes),MAC地址,网卡类型等,具体如下图所示。这样以来,就可以让虚拟出来的系统更加真实了。

图片描述

图片描述

7、设置“Finger Server”的“Advanced”高级设置项,设置多个用户,如下图所示。

图片描述

图片描述

8、蜜罐提醒设置

如果我们不能在电脑前跟踪攻击者的攻击动作时,当想了解攻击者都做了些什么时,可以使用HoneyPot提供的“提醒”功能。在软件主界面点击“Options”按钮,在打开设置窗口中,设置自己的E-mail信箱,其自动将攻击者的动作记录下来,发送到设置的邮箱中。选中“Send logs by e-mail”,在输入框中填写自己的邮箱地址,邮件发送服务器地址,发送者邮箱地址。再选中“Authenticaton required”,填写邮箱的登录名和密码,自己就可以随时掌握攻击者的入侵情况了。

图片描述

9、实验到此结束,关闭实验场景。

posted @ 2020-09-15 14:41  kalibb  阅读(895)  评论(0编辑  收藏  举报