虛擬蜜罐：從僵尸網(wǎng)絡(luò)追蹤到入侵檢測

譯者序
前言
致謝
作者簡介
第1章 蜜罐和網(wǎng)絡(luò)背景
1.1 TCP／IP協(xié)議簡介
1.2 蜜罐背景
1.2.1 高交互蜜罐
1.2.2 低交互蜜罐
1.2 3物理蜜罐
1.2.4 虛擬蜜罐
1.2.5 法律方面
1.3 商業(yè)工具
1.3.1 tcpdump
1.3.2 Wireshark
1.3.3 Nmap
第2章 高交互蜜罐
2.1 優(yōu)點和缺點
2.2 VMware
2.2.1 不同的VMware版本
2.2.2 VMware虛擬網(wǎng)絡(luò)
2.2.3 建立一個虛擬高交互蜜罐
2.2.4 創(chuàng)建一個虛擬蜜罐
2.2.5 添加附加監(jiān)視軟件
2.2.6 把虛擬蜜罐連接到互聯(lián)網(wǎng)
2.2.7 建立一個虛擬高交互蜜網(wǎng)
2.3 用戶模式Linux
2.3.1 概述
2.3.2 安裝和設(shè)置
2.3.3 運(yùn)行時標(biāo)志和配置
2.3.4 監(jiān)視基于UML的蜜罐
2.3.5 把虛擬蜜罐連接到Internet
2.3.6 建立一個虛擬高交互蜜網(wǎng)
2.4 Argos
2.4.1 概述
2.4.2 安裝和設(shè)置Argos蜜罐
2.5 保護(hù)你的蜜罐
2.5.1 蜜墻概述
2.5.2 蜜墻的安裝
2.6 小結(jié)
第3章 低交互蜜罐
3.1 優(yōu)點和缺點
3.2 欺騙工具包
3.3 LaBrea
3.3.1 安裝和設(shè)置
3.3.2 觀察
3.4 TinyHoneypot
3.4.1 安裝
3.4.2 捕獲日志
3.4.3 會話日志
3.4.4 Netfilter日志
3.4.5 觀察
3.5 GHH——Google入侵蜜罐
3.5.1 一般安裝
3.5.2 設(shè)置透明鏈接
3.5.3 訪問日志
3.6 PHP .HoP——一個基于Web的欺騙架構(gòu)
3.6.1 安裝
3.6.2 Hip Hop
3.6.3 Php My Admin
3.7 保護(hù)你的低交互蜜罐
3.7.1 chroot“禁閉室
3.7.2 Systrace
3.8 小結(jié)
第4章 Itoneyd——基礎(chǔ)篇
4.1 概述
4.1.1 特性
4.1.2 安裝和設(shè)置
4.2 設(shè)計概述
4.2.1 僅通過網(wǎng)絡(luò)交互
4.2.2 多IP地址
4.2.3 欺騙指紋識別工具
4.3 接收網(wǎng)絡(luò)數(shù)據(jù)
4.4 運(yùn)行時標(biāo)志
4.5 配置
4.5.1 create
4.5.2 set
4.5.3 add
4.5.4 bind
4.5.5 delete
4.5.6 include
4.6 Itoneyd實驗
4.6.1 本地Itoneyd實驗
4.6.2 把Honeyd整合到生產(chǎn)網(wǎng)絡(luò)中
4.7 服務(wù)
4.8 日志
4.8.1 數(shù)據(jù)包級日志
4.8.2 服務(wù)級日志
4.9 小結(jié)
第5章 Honeyd——高級篇
5.1 高級配置
5.1.1 set
5.1.2 tarpit
5.1.3 annotate
5.2 模擬服務(wù)
5.2.1 腳本語言
5.2.2 SMTP
5.3 子系統(tǒng)
5.4 內(nèi)部Python服務(wù)
5.5 動態(tài)模板
5.6 路由拓?fù)?br />5.7 Honeydstats
5.8 Honeyctl
5.9 Honeycomb
5.10 性能
5.11 小結(jié)
第6章 用蜜罐收集惡意軟件
6.1 惡意軟件入門
6.2 Nepenthes——一個收集惡意軟件的蜜罐解決方案
6.2.1 Nepenthes體系結(jié)構(gòu)
6.2.2 局限性
6.2.3 安裝和設(shè)置
6.2.4 配置
6.2.5 命令行標(biāo)志
6.2.6 分配多個IP地址
6.2.7 靈活的部署
6.2.8 捕獲新的漏洞利用程序
6.2.9 實現(xiàn)漏洞模塊
6.2.1 0結(jié)果
6.2.1 1經(jīng)驗體會
6.3 Honeytrap
6.3.1 概述
6.3.2 安裝和配置
6.3.3 運(yùn)行Honeytrap
6.4 獲得惡意軟件的其他蜜罐解決方案
6.4.1 Multlpot
6.4.2 Honey BOT
6.4.3 Billy Goat
6.4.4 了解惡意網(wǎng)絡(luò)流量
6.5 小結(jié)，
第7章 混合系統(tǒng)
7.1 黑洞
7.2 Potemkin
7.3 RolePlayer
7.4 研究總結(jié)
7.5 構(gòu)建自己的混合蜜罐系統(tǒng)
7.5.1 NAT和高交互蜜罐
7.5.2Honeyd和高交互蜜罐
7.6 小結(jié)
第8章 客戶端蜜罐
8.1 深入了解客戶端的威脅
8.1.1 詳解MS04.040
8.1.2 其他類型客戶端攻擊
8.1.3 客戶端蜜罐
8.2 低交互客戶端蜜罐
8.2.1 了解惡意網(wǎng)站
8.2.2.HoneyC
8.3 高交互客戶端蜜罐
8.3.1 高交互客戶端蜜罐的設(shè)計
8.3.2 Honev Client：
8.3.3 Capture-HPC
8.3.4 Honey Monkey
8.4 其他方法
8.4.1 互聯(lián)網(wǎng)上間諜軟件的研究
8.4.2 Spy Bye
8.4.3 Site Advisor
8.4.4 進(jìn)一步的研究
8.5 小結(jié)
第9章 檢測蜜罐
9.1 檢測低交互蜜罐
9.2 檢測高交互蜜罐
9.2.1 檢測和禁用Sebek
9.2.2 檢測蜜墻
9.2.3 逃避蜜網(wǎng)記錄
9.2.4 VMware和其他虛擬機(jī)
9.2.5 OEMU
9.2.6 用戶模式Linux
9.3 檢測Rootkits
9.4 小結(jié)
第10章 案例研究
10.1 Blast-o-Mat：使用Nepenthes檢測被感染的客戶端
10.1.1 動機(jī)
10.1.2 Nepenthes作為入侵檢測系統(tǒng)的一部分
10.1.3 降低被感染系統(tǒng)的威脅
10.1.4 一個新型木馬：Haxdoor
10.1.5 使用Blast-o-Mat的經(jīng)驗
10.1.6 基于Nepenthes的輕量級入侵檢測系統(tǒng)
10.1.7 SURFnet IDS
10.2 搜索蠕蟲
10.3 對RedHat8.0的攻擊
10.3.1 攻擊概述
10.3.2 攻擊時間表
10.3.3 攻擊工具
10.3.4 攻擊評價
10.4 對Windows2000的攻擊
10.4.1 攻擊概述
10.4.2 攻擊時間表
10.4.3 攻擊工具
10.4.4 攻擊評價
10.5 對SUSE9.1的攻擊
10.5.1 攻擊概述
10.5.2 攻擊時間表
10.5.3 攻擊工具
10.5.4 攻擊評價
10.6 小結(jié)
第11章 追蹤僵尸網(wǎng)絡(luò)
11.1 僵尸程序和僵尸網(wǎng)絡(luò)
11.1.1 僵尸程序舉例
11.1.2 僵尸程序形式的間諜軟件
11.1.3 僵尸網(wǎng)絡(luò)控制結(jié)構(gòu)
11.1.4 僵尸網(wǎng)絡(luò)引起的DDAS攻擊
11.2 追蹤僵尸網(wǎng)絡(luò)
11.3 案例研究
11.3.1 Mocbot和MS06.040
11.3.2 其他的觀察結(jié)果
11.4 防御僵尸程序
11.5 小結(jié)
第12章 使用CW Sandbox分析惡意軟件
12.1 CW Sandbox概述
12.2 基于行為的惡意軟件分析
12.2.1 代碼分析
12.2.2 行為分析
12.2.3 API攔截
12.2.4 代碼注入
12.3 CW Sandbox——系統(tǒng)描述
12.4 結(jié)果
12.4.1 實例分析報告
12.4.2 大規(guī)模分析
12.5 小結(jié)
參考文獻(xiàn)