虛擬蜜罐：從僵尸網(wǎng)絡追蹤到入侵檢測

譯者序
前言
致謝
作者簡介
第1章 蜜罐和網(wǎng)絡背景
1.1 TCP／IP協(xié)議簡介
1.2 蜜罐背景
1.2.1 高交互蜜罐
1.2.2 低交互蜜罐
1.2 3物理蜜罐
1.2.4 虛擬蜜罐
1.2.5 法律方面
1.3 商業(yè)工具
1.3.1 tcpdump
1.3.2 Wireshark
1.3.3 Nmap
第2章 高交互蜜罐
2.1 優(yōu)點和缺點
2.2 VMware
2.2.1 不同的VMware版本
2.2.2 VMware虛擬網(wǎng)絡
2.2.3 建立一個虛擬高交互蜜罐
2.2.4 創(chuàng)建一個虛擬蜜罐
2.2.5 添加附加監(jiān)視軟件
2.2.6 把虛擬蜜罐連接到互聯(lián)網(wǎng)
2.2.7 建立一個虛擬高交互蜜網(wǎng)
2.3 用戶模式Linux
2.3.1 概述
2.3.2 安裝和設置
2.3.3 運行時標志和配置
2.3.4 監(jiān)視基于UML的蜜罐
2.3.5 把虛擬蜜罐連接到Internet
2.3.6 建立一個虛擬高交互蜜網(wǎng)
2.4 Argos
2.4.1 概述
2.4.2 安裝和設置Argos蜜罐
2.5 保護你的蜜罐
2.5.1 蜜墻概述
2.5.2 蜜墻的安裝
2.6 小結
第3章 低交互蜜罐
3.1 優(yōu)點和缺點
3.2 欺騙工具包
3.3 LaBrea
3.3.1 安裝和設置
3.3.2 觀察
3.4 TinyHoneypot
3.4.1 安裝
3.4.2 捕獲日志
3.4.3 會話日志
3.4.4 Netfilter日志
3.4.5 觀察
3.5 GHH——Google入侵蜜罐
3.5.1 一般安裝
3.5.2 設置透明鏈接
3.5.3 訪問日志
3.6 PHP .HoP——一個基于Web的欺騙架構
3.6.1 安裝
3.6.2 Hip Hop
3.6.3 Php My Admin
3.7 保護你的低交互蜜罐
3.7.1 chroot“禁閉室
3.7.2 Systrace
3.8 小結
第4章 Itoneyd——基礎篇
4.1 概述
4.1.1 特性
4.1.2 安裝和設置
4.2 設計概述
4.2.1 僅通過網(wǎng)絡交互
4.2.2 多IP地址
4.2.3 欺騙指紋識別工具
4.3 接收網(wǎng)絡數(shù)據(jù)
4.4 運行時標志
4.5 配置
4.5.1 create
4.5.2 set
4.5.3 add
4.5.4 bind
4.5.5 delete
4.5.6 include
4.6 Itoneyd實驗
4.6.1 本地Itoneyd實驗
4.6.2 把Honeyd整合到生產(chǎn)網(wǎng)絡中
4.7 服務
4.8 日志
4.8.1 數(shù)據(jù)包級日志
4.8.2 服務級日志
4.9 小結
第5章 Honeyd——高級篇
5.1 高級配置
5.1.1 set
5.1.2 tarpit
5.1.3 annotate
5.2 模擬服務
5.2.1 腳本語言
5.2.2 SMTP
5.3 子系統(tǒng)
5.4 內(nèi)部Python服務
5.5 動態(tài)模板
5.6 路由拓撲
5.7 Honeydstats
5.8 Honeyctl
5.9 Honeycomb
5.10 性能
5.11 小結
第6章 用蜜罐收集惡意軟件
6.1 惡意軟件入門
6.2 Nepenthes——一個收集惡意軟件的蜜罐解決方案
6.2.1 Nepenthes體系結構
6.2.2 局限性
6.2.3 安裝和設置
6.2.4 配置
6.2.5 命令行標志
6.2.6 分配多個IP地址
6.2.7 靈活的部署
6.2.8 捕獲新的漏洞利用程序
6.2.9 實現(xiàn)漏洞模塊
6.2.1 0結果
6.2.1 1經(jīng)驗體會
6.3 Honeytrap
6.3.1 概述
6.3.2 安裝和配置
6.3.3 運行Honeytrap
6.4 獲得惡意軟件的其他蜜罐解決方案
6.4.1 Multlpot
6.4.2 Honey BOT
6.4.3 Billy Goat
6.4.4 了解惡意網(wǎng)絡流量
6.5 小結，
第7章 混合系統(tǒng)
7.1 黑洞
7.2 Potemkin
7.3 RolePlayer
7.4 研究總結
7.5 構建自己的混合蜜罐系統(tǒng)
7.5.1 NAT和高交互蜜罐
7.5.2Honeyd和高交互蜜罐
7.6 小結
第8章 客戶端蜜罐
8.1 深入了解客戶端的威脅
8.1.1 詳解MS04.040
8.1.2 其他類型客戶端攻擊
8.1.3 客戶端蜜罐
8.2 低交互客戶端蜜罐
8.2.1 了解惡意網(wǎng)站
8.2.2.HoneyC
8.3 高交互客戶端蜜罐
8.3.1 高交互客戶端蜜罐的設計
8.3.2 Honev Client：
8.3.3 Capture-HPC
8.3.4 Honey Monkey
8.4 其他方法
8.4.1 互聯(lián)網(wǎng)上間諜軟件的研究
8.4.2 Spy Bye
8.4.3 Site Advisor
8.4.4 進一步的研究
8.5 小結
第9章 檢測蜜罐
9.1 檢測低交互蜜罐
9.2 檢測高交互蜜罐
9.2.1 檢測和禁用Sebek
9.2.2 檢測蜜墻
9.2.3 逃避蜜網(wǎng)記錄
9.2.4 VMware和其他虛擬機
9.2.5 OEMU
9.2.6 用戶模式Linux
9.3 檢測Rootkits
9.4 小結
第10章 案例研究
10.1 Blast-o-Mat：使用Nepenthes檢測被感染的客戶端
10.1.1 動機
10.1.2 Nepenthes作為入侵檢測系統(tǒng)的一部分
10.1.3 降低被感染系統(tǒng)的威脅
10.1.4 一個新型木馬：Haxdoor
10.1.5 使用Blast-o-Mat的經(jīng)驗
10.1.6 基于Nepenthes的輕量級入侵檢測系統(tǒng)
10.1.7 SURFnet IDS
10.2 搜索蠕蟲
10.3 對RedHat8.0的攻擊
10.3.1 攻擊概述
10.3.2 攻擊時間表
10.3.3 攻擊工具
10.3.4 攻擊評價
10.4 對Windows2000的攻擊
10.4.1 攻擊概述
10.4.2 攻擊時間表
10.4.3 攻擊工具
10.4.4 攻擊評價
10.5 對SUSE9.1的攻擊
10.5.1 攻擊概述
10.5.2 攻擊時間表
10.5.3 攻擊工具
10.5.4 攻擊評價
10.6 小結
第11章 追蹤僵尸網(wǎng)絡
11.1 僵尸程序和僵尸網(wǎng)絡
11.1.1 僵尸程序舉例
11.1.2 僵尸程序形式的間諜軟件
11.1.3 僵尸網(wǎng)絡控制結構
11.1.4 僵尸網(wǎng)絡引起的DDAS攻擊
11.2 追蹤僵尸網(wǎng)絡
11.3 案例研究
11.3.1 Mocbot和MS06.040
11.3.2 其他的觀察結果
11.4 防御僵尸程序
11.5 小結
第12章 使用CW Sandbox分析惡意軟件
12.1 CW Sandbox概述
12.2 基于行為的惡意軟件分析
12.2.1 代碼分析
12.2.2 行為分析
12.2.3 API攔截
12.2.4 代碼注入
12.3 CW Sandbox——系統(tǒng)描述
12.4 結果
12.4.1 實例分析報告
12.4.2 大規(guī)模分析
12.5 小結
參考文獻