Honeypot ilovasi
Download 149.52 Kb.
|
Документ Microsoft Word
|
Honeypot ilovasi Tuzoq (Honeypot) sifatida siz eskirgan kompyuterdan foydalanishingiz mumkin, uning ishlashi uni ishlab chiqarish muammolarini hal qilish uchun ishlatishga imkon bermaydi. Masalan, muallif tarmog'ida 64 MB hajmli Pentium Pro tuzoq sifatida muvaffaqiyatli qo'llaniladi. tasodifiy kirish xotirasi. Ushbu kompyuterda siz LANda eng keng tarqalganini o'rnatishingiz kerak operatsion tizim va strategiyalardan birini tanlang: Operatsion tizimni xizmat paketlarisiz o'rnating - bu tarmoqda ushbu operatsion tizim uchun ma'lum bo'lgan zaifliklardan foydalanadigan faol tarmoq qurti paydo bo'lishining ko'rsatkichi bo'ladi; tarmoqdagi boshqa shaxsiy kompyuterlarda o'rnatilgan yangilanishlar bilan operatsion tizimni o'rnating - Honeypot har qanday ish stantsiyasining analogi bo'ladi. Har bir strategiyaning ijobiy va salbiy tomonlari bor; muallif asosan yangilanishsiz variantni qo'llaydi. Honeypot-ni yaratgandan so'ng, tizimni zararli dastur tomonidan shikastlanganidan keyin tezda tiklash uchun disk tasvirini yaratishingiz kerak. Disk tasviriga muqobil sifatida siz ShadowUser va uning analoglari kabi o'zgarishlarni qaytarish tizimlaridan foydalanishingiz mumkin. Honeypot-ni qurgandan so'ng, shuni hisobga olish kerakki, bir qator tarmoq qurtlari zararlangan kompyuterning IP-manzilidan hisoblangan IP diapazonini skanerlash orqali zararlangan kompyuterlarni qidiradi (umumiy tipik strategiyalar: XXX*, XXX+1.*, XXX-1.*), - shuning uchun, Ideal holda, har bir quyi tarmoqda Honeypot bo'lishi kerak. Qo'shimcha tayyorgarlik sifatida, Honeypot tizimidagi bir nechta papkalarga kirishni unutmang va ushbu papkalarga bir nechta namuna fayllari joylashtirilishi kerak. turli format, minimal to'plam - EXE, JPG, MP3. Tabiiyki, Honeypot-ni yaratgandan so'ng, administrator uning ishlashini kuzatishi va ushbu kompyuterda topilgan har qanday anomaliyalarga javob berishi kerak. O'zgarishlarni ro'yxatga olish vositasi sifatida auditorlardan, tarmoq faoliyatini ro'yxatga olish uchun esa snayferdan foydalanish mumkin. Muhim jihat shundaki, ko'pchilik snifferlar ma'lum bir tarmoq faolligi aniqlansa, ma'murga ogohlantirish yuborishni sozlash imkoniyatini beradi. Masalan, CommView sniffer-da qoida tarmoq paketini tavsiflovchi "formulani" ko'rsatishni yoki miqdoriy mezonlarni belgilashni o'z ichiga oladi (sekundiga ma'lum miqdordagi paketlar yoki baytlarni yuborish, paketlarni noma'lum IP yoki MAC manzillariga yuborish) - Anjir. 2. Guruch. 2. Tarmoq faolligi ogohlantirishini yarating va sozlang Ogohlantirish sifatida, yuborilgan elektron pochta xabarlaridan foydalanish eng qulaydir pochta qutisi administrator - bu holda siz tarmoqdagi barcha tuzoqlardan real vaqt rejimida bildirishnomalarni olishingiz mumkin. Bundan tashqari, agar sniffer sizga bir nechta ogohlantirishlarni yaratishga imkon bersa, u bilan ishlashni ajratib ko'rsatish orqali tarmoq faolligini farqlash mantiqan to'g'ri keladi. elektron pochta, FTP / HTTP, TFTP, Telnet, MS Net, har qanday protokol bo'yicha sekundiga 20-30 paketdan ortiq trafikni oshirdi (3-rasm). Guruch. 3. Xabarnoma yuborilgan agar berilgan mezonlarga mos keladigan paketlar topilsa Tuzoqni tashkil qilishda unga tarmoqda ishlatiladigan bir nechta zaif tarmoq xizmatlarini joylashtirish yoki ularning emulyatorini o'rnatish yaxshi bo'ladi. Eng oddiy (va bepul) - bu o'rnatmasdan ishlaydigan APS mualliflik yordam dasturi. APS ning ishlash printsipi uning ma'lumotlar bazasida tasvirlangan TCP va UDP portlari to'plamini tinglash va ulanish vaqtida oldindan belgilangan yoki tasodifiy yaratilgan javobni chiqarishga qisqartiriladi (4-rasm). Guruch. 4. APS yordam dasturining asosiy oynasi Rasmda Smolenskenergo LANda haqiqiy APS operatsiyasi paytida olingan skrinshot ko'rsatilgan. Rasmda ko'rib turganingizdek, mijoz kompyuterlaridan birini 21-portga ulashga urinish amalga oshirildi. Protokollar tahlili shuni ko'rsatdiki, urinishlar davriy bo'lib, tarmoqdagi bir nechta tuzoqlar bilan belgilanadi, bu bizga tarmoqning uzilishlari haqida xulosa chiqarish imkonini beradi. parollarni taxmin qilish orqali FTP serverlarini topish va buzish uchun skanerdan o'tkazilmoqda. APS qayd qiladi va ma'murlarga kuzatilgan portlarga ro'yxatdan o'tgan ulanishlar haqida xabarlar yuborishi mumkin, bu tarmoq skanerlarini tezda aniqlash uchun foydalidir. Honeypotni qurishda ushbu mavzu bo'yicha http://www.honeynet.org/ kabi onlayn resurslarni ko'rib chiqish ham foydalidir. Ushbu saytning Asboblar bo'limida (http://www.honeynet.org/tools/index.html) siz hujumlarni yozib olish va tahlil qilish uchun bir qator vositalarni topishingiz mumkin. Download 149.52 Kb. Do'stlaringiz bilan baham: 
|