实践2网络攻防实验环境构建.docx
《实践2网络攻防实验环境构建.docx》由会员分享,可在线阅读,更多相关《实践2网络攻防实验环境构建.docx(42页珍藏版)》请在冰点文库上搜索。
实践2网络攻防实验环境构建
1.网络攻防实验环境构建
1.网络攻防实验环境
为什么需要网络攻防实验环境?
网络攻防是基础知识和实践紧密结合的技术方向
基础知识:
计算机各个方面专业知识都要“略懂”
操作系统、网络的基本结构与底层机制
编程语言、汇编语言及软件编译执行机理
密码学与信息安全专业基础
实践技能:
各种网络和系统实践技能也要“略懂”
系统底层机制进行深入探究的技术能力:
网络、程序…
掌握网络渗透测试的实践技能->支持更好的研究和防御
掌握对攻击的分析实践技能->了解安全威胁,支持更好的防范
掌握攻击防御和响应技能
专属的网络攻防实验环境
学习网络攻防技术需要一个实验环境
学打篮球:
你就需要篮球场
拿Internet直接作为攻防实验学习环境
违背传统黑客道德与精神
效率低下学习方式,“脚本小子”/低水平骇客
专属的网络攻防实验环境
环境的可控性、可重复性
“我的地盘我作主”
网络攻防实验环境的基本组成
o攻击机:
发起网络攻击的主机
nWin32:
WindowsXP
nLinux:
morepowerful,建议攻击平台
o攻击目标主机(靶机)
nWin32桌面操作系统:
WindowsXP
nLinux服务器操作系统:
Ubuntu/…
nWin32服务器操作系统:
Win2K3/Win2KServer
o攻击检测、分析与防御平台
n攻击目标主机网关位置
n网关:
网络流分析、检测、防御
n攻击目标主机:
系统日志采集与分析
o构建一个基本网络攻防环境,需要4-5台主机及相关联网设备
V-Net:
基于虚拟蜜网的攻防实验环境
o虚拟机技术(VirtualMachine)
n通过虚拟化技术在一台主机上构建攻防实验环境
n降低部署成本同时提高易管理性
n虚拟机软件:
VMwareWorkstation/vSphere
o蜜网技术(Honeynet)
n陷阱网络:
诱骗和分析网络攻击
n高交互式蜜罐:
提供攻击目标环境
n蜜网网关/Sebek:
攻击网络/系统行为捕获与分析
o虚拟机+蜜网=虚拟蜜网(VirtualHoneynet)
基于虚拟蜜网的攻防实验环境拓扑
2.虚拟化技术与云计算热潮
虚拟化技术和云计算热潮
oGoogleTrends:
虚拟化和云计算查询热度趋势比较
o虚拟化技术:
21世纪以来的IT技术热点
o云计算:
近年来IT领域最热点的词汇
什么是虚拟化?
o虚拟化(Virtualization)
n创建某种事物的虚拟(非真实)版本的方法和过程.
o虚拟(Virtual)
n通常用于区分纯粹概念上的事物和拥有物理实体的事物.
o计算领域中的虚拟化[][webopedia]
n创建某种计算资源的虚拟版本的方法和过程.
n某种事物->某种计算资源
n示例:
处理器,内存,磁盘,完整的计算机,网络等
虚拟化技术的提出与复兴
虚拟化技术的发展过程
虚拟化技术的复兴:
第一代虚拟化
o第一代虚拟化技术:
x86虚拟化(1997-2005)
n1997:
VirtualPCforMacintoshbyConnectix
n1998:
DianeGreene和MendelRosenblum从
Stanford创建VMware公司,申请专利技术
n1999:
VMwareVirtualPlatform(Workstation)forx86
n2001:
VMwareGSXServerproduct(Server,2006年免费发布)
03:
MS并购Connectix(VirtualPC&VirtualServer),EMC并购VMware$635million
第一代虚拟化技术:
基于动态翻译技术的完全虚拟化
虚拟化技术的复兴:
第二代虚拟化
o第二代虚拟化技术:
硬件/操作系统支持的虚拟化技术(05-)
o硬件支持虚拟化技术-nativevirtualization
n2005:
Intel在芯片中开始支持虚拟机IVT
(Vanderpool/Silvervale)
n2006:
AMD在芯片中开始支持虚拟机AMD-V(Pacifica)
o操作系统支持虚拟化技术-paravirtualization
n2002:
DenalibyWashingtonU.
n2003:
XenbyXenSource(fromU.ofCamb.)
n2005:
VirtualMachineInterfacebyVMware
n2008:
XenSourceisalsodevelopingacompatibilitylayerforMSWindowsServer2008
o虚拟基础设施
2005-:
VirtualInfrastructurebyVMware
计算机系统最重要的三个接口
oISA:
指令集架构
nInterface3:
系统ISA,
OS可见,用于管理硬件
nInterface4:
用户ISA,
应用程序可见
oABI:
应用程序二进制接口
nInterface2:
系统调用
接口
nInterface4:
用户ISA
oAPI:
应用程序编程接口
nInterface1:
高级编程
语言库函数调用
nInterface4:
用户ISA
什么是虚拟机?
机器(“machine”)的虚拟版本
那什么是机器"Machine"?
从一个进程的角度定义机器
n一个逻辑内存地址空间;用户级的指令和寄存器;I/O(仅通过
操作系统系统调用可见)
实际上,ABI接口定义了进程角度所看到的机器;API接口定义了一个高级编程语言程序所看到的机器.
o从操作系统的角度定义机器
n底层硬件特性定义了机器.
nISA提供了操作系统和机器之间的接口.
进程级虚拟机和系统级虚拟机
o进程级虚拟机
进程级虚拟机是执行单一进程的虚拟平台.JavaVM,FVMSandbox,etc.
o系统级虚拟机
系统级虚拟机提供了支持操作系统和上层众多应用进程的一个完整、持久稳固的系统环境.VMware,Qemu,etc.
o基本概念guest,host,runtime,VMM
系统级虚拟机实现需求和目标
o系统级虚拟机实现需求
n向GuestOS提供与真实硬件相类似的硬件接口
n硬件接口:
CPU,Memory,I/O(Disk,Network,外设)
o系统级虚拟机实现目标
n兼容性:
具备运行历史遗留软件的能力
n性能:
较低的虚拟化性能开销
n简单性:
支持安全隔离(没有/很少安全缺陷),可靠性(不失效)
n多种不同技术,分别提供不同的设计平衡
CPU虚拟化技术
oCPU架构可虚拟化:
n如果支持基础的虚拟化技术——直接执行(directexecution)
o直接执行
n在VMM保持对CPU的最终控制权前提下,能够让虚拟机中的
指令直接在真实主机上运行
n实现直接执行需要:
o虚拟机特权级和非特权级代码:
CPU的非特权模式执行
oVMM:
CPU特权模式执行
o虚拟机执行特权操作时:
CPUtraps到VMM,在模拟的虚拟机状
态上仿真执行特权操作
o提供可虚拟化的CPU体系框架的关键
n提供trapsemantics,使得VMM可以安全的、透明地、直接的
使用CPU执行虚拟机.
CPU虚拟化的挑战
o大部分modernCPU并不支持可虚
拟化,如x86
o需直接访问内存和硬件的操作系统
特权代码必须在Ring0执行
oCPU虚拟化必须在GuestOS下面
添加VMM(Ring0)
o一些关键指令在非Ring0权限级执
行具有不同语义:
不能有效虚拟化,
Figure:
x86privilegelevel
o非特权级指令可以查询CPU的当前architecturewithoutvirtualization
特权级,x86并不trap这些指令
CPU虚拟化技术:
动态代码翻译
o结合直接执行和动态代码翻译
n运行普通程序代码的CPU模式可虚拟化:
直接运行
保证高性能
n不可虚拟化的特权级CPU模式:
代码翻译器
o快速:
相同ISA架构时,较低延迟
o动态:
paravirtualization(静态)
o兼容:
对GuestOS全透明,可以
运行无需修改的历史遗留软件Figure:
thebinarytranslation
o动态代码翻译技术是无需硬件和OS支approachtox86virtualization
持实现对特权指令虚拟化唯一选择.
CPU虚拟化技术:
Paravirtualization
oParavirualization
nalongsidevirtualization
nOS支持的虚拟化
nVMM设计者需要定义虚拟机接口,将不可虚拟化的指令替换为
可虚拟化/可高效直接执行的等价指令
优势:
消除trap等虚拟化overhead,高效
弱势:
不兼容,需要修改操作系统,对商业OS第三方无法移植
oXen,WindowsSvr2008,
VMwareVirtualMachine
Interface
CPU虚拟化技术:
NativeVirtualization
Figure:
thenativevirtualizationapproachtox86virtualization
CPU虚拟化技术:
NativeVirtualization
o可虚拟化CPU架构
n随着虚拟化技术复兴,硬件厂商快速跟进并推出简化虚拟化技
术的CPU新特性
nIntelVirtualizationTechnology(VT-x)
nAMD’sAMD-V
o针对特权代码的虚拟化
n在Ring0之下增加一个新的rootmode(VMM)
n特权代码会自动trap至hypervisor,无需paravirtualization或动态代码翻译
ngueststate存储于VirtualMachineControlStructures(VT-x)/VirtualMachineControlBlocks(AMD-v)
n弱势:
较高的hypervisor到guest的转换延迟
nVMware使用场景受限(64-bitguestsupport),Xen3.0
CPU虚拟化技术:
小结
o三种现有的CPU虚拟化技术
动态代码翻译
Paravirtualization
NativeVirtualization
兼容性
优秀
差
优秀
性能
好
优秀
一般
简单性
差
一般
好
n动态代码翻译,Paravirtualization,NativeVirtualization
n各种技术具有独特的优势和弱势
nCPU虚拟化技术发展趋势
o更多,更好的硬件支持:
达到更好的性能
o更多,更好的操作系统支持:
提供标准化的虚拟机接口,提升
paravirtualization技术的兼容性
o多种技术模式的灵活选择架构,根据环境选择合适的技术
VMwareWorkstation
上手实践–PlaywithVMware
o安装VMwareWorkstation
n1)下载VMwareWorkstation软件
n2)安装VMwareWorkstation软件
n3)查看VMware的虚拟网卡和虚拟网络设置
新建虚拟机,安装蜜网网关虚拟机镜像
1.下载蜜网网关ROO的安装镜像
2.新建虚拟机,分配资源
3.安装蜜网网关ROO镜像
4.做好虚拟机snapshot,挂起系统
云计算热潮
o云计算(CloudComputing)热潮的起源
n20世纪60年代
oJohnMcCarthy:
计算将以一种公用事业方式提供
oDouglasParkhill:
《计算机公用事业的挑战》
n20世纪90年代
o电信公司:
服务提供商和客户之间的分界点
oAmazon2006年推出AmazonWebService
(AWS)对公众提供效能计算服务
o2007年开始,Google、IBM和其他机构大规模投入
到云计算研究与开发中,形成云计算热潮
什么是云计算?
oNIST对云计算的定义
云计算是一种能够通过网络以便利的、按需的方式获取计算资源的模式,这些资源来自一个共享的、可配置的资源池,并能够以最小化管理代价及与服务提供商的交互进行快速地获取与释放。
o五大关键要素
按需自助服务;通过宽带网络访问;资源池,多租户模式;快速伸缩性;可量化的服务
云计算模式的分类
o“云”计算的三大交付模式,称为S-P-I模式
o软件即服务(SaaS:
SoftwareasaService)
n在云基础架构中运行的商业应用
n交付给客户的是定制化软件
o平台即服务(PaaS:
PlatformasaService)
n在云基础架构中的可编程的运行平台
n交付给客户的是“云中间件”资源
o基础设施即服务(IaaS:
InfrastructureasaService)
n在云基础架构中的处理、存储、网络和其他基础计算资源
n交付给客户的是基础计算资源
云计算的四大部署模式
o私有云(PrivateCloud)
n单独地为一个组织所运营的
n可以由组织自己管理或委托第三方管理
o公有云(PublicCloud)
n提供给公众或一个大型工业企业
n归一个出售云服务的组织所有
o社区云(CommunityCloud)
n由多个组织所共享的
n支撑一个具有共享需求的社区
o混合云(HybridCloud)
n两个或多个云的混合,由标准化或私有技术联合绑定
私有云
o为一个客户单独使用而构建的云基础设施
o提供对数据、安全性
和服务质量的最有效控制
o2009年VMware
推出了业界首款云操作系统VMwarevSphere4
3.蜜网(Honeynet)技术介绍
蜜罐(Honeypot)技术的提出
o防御方尝试改变攻防博弈不对称性提出的一种主动防护技术
n蜜罐:
一类安全资源,其价值就在于被探测、被攻击及被攻陷
n“蜜罐公理”:
无任何业务用途à任何蜜罐捕获行为都是恶意
n绕过攻击检测“NP难”问题
o蜜罐技术的提出和发展
蜜罐技术-如何实施诱骗?
o欺骗环境(Pot)的构建:
黑洞VS.模拟VS.真实
n零交互式蜜罐:
黑洞,没有任何响应
n低交互式蜜罐-虚拟蜜罐:
模拟网络拓扑、协议栈、服务(Honeyd/Nepenthes);模拟OS(Sandbox)
高交互式蜜罐
o物理蜜罐:
完全真实的硬件、OS、应用、服务
o虚拟机蜜罐:
模拟的硬件(VMWare)/真实的OS、应用、服务
o部署陷阱,诱骗攻击者(Honey)
守株待兔:
安全漏洞-针对扫描式攻击
酒香也怕巷子深:
散播陷阱信息,引诱攻击者(GoogleHackingHoneypot,HoneyEmail)
重定向技术(Honeyfarm)
主动出击:
利用爬虫技术-客户端蜜罐(HoneyClawer恶意网站监测)
蜜罐技术-诱骗之后
o欺骗环境的核心功能需求
数据控制数据捕获数据分析欺骗环境的配置管理
o欺骗与反欺骗的较量
欺骗环境伪装:
环境伪装/业务伪装;对欺骗环境的识别:
fingerprinting
Anti-Honeypot,Anti-Anti-Honeypot,…-更深一层的博弈问题
低交互式蜜罐技术
具有与攻击源主动交互的能力
模拟网络服务响应,模拟漏洞
容易部署,容易控制攻击
低交互式-交互级别由于模拟能力而受限,数据获取能
力和伪装性较弱,一般仅能捕获已知攻击
o低交互式蜜罐工具
niSink–威斯康星州立大学
nInternetMotionSensor–密歇根大学,ArborNetworks
nHoneyd-Google公司软件工程师NielsProvos
nNepenthes–Nepenthes开发团队
n商业产品:
KFSensor,Specter,HoneyPoint…
高交互式蜜罐技术
o高交互式蜜罐技术
n使用真实的操作系统、网络服务与攻击源进行交互
n高度的交互等级-对未知漏洞、安全威胁具有天然的可适性,
数据获取能力、伪装性均较强
n弱势-资源需求较大,可扩展性较弱,部署安全风险较高
o虚拟机蜜罐VS.物理蜜罐
n虚拟机(VirtualMachine)/仿真器(Emulator)技术
n节省硬件资源、容易部署和控制、容易恢复、安全风险降低
o高交互式蜜罐工具
Honeynet–蜜网项目组(TheHoneynetProject)
HoneyBow(基于高交互式蜜罐的恶意代码捕获器)–北京大学狩猎女神项目组
Argos–荷兰阿姆斯特丹大学(VrijeUniversiteitAmsterdam)欧盟分布式蜜罐项目(NoAH)参与方
蜜网技术的提出-从蜜罐到蜜网
o低交互式(虚拟)蜜罐à高交互式(虚拟机/物理)蜜罐
使用真实的网络拓扑,操作系统和应用服务
为攻击者提供足够的活动空间
能够捕获更为全面深入的攻击信息
o单点蜜罐工具à蜜网体系框架
体系框架中可包含多个蜜罐
同时提供核心的数据控制、数据捕获和数据分析机制
构建一个高度可控的攻击诱骗和分析网络
蜜网项目组(TheHoneynetProject)
o全球非赢利性研究机构
n1999年起源于邮件组WarGames
n2000-今:
19Chapters,50+FMs
n狩猎女神项目组-ChinaChapter
o目标
探寻黑客界的攻击工具、战术和动机,并分享所得
o著名成员
创始人/CEO:
LanceSpitzner
Fyodor,DaveDittrich,NielsProvos,AntonChuvakin,RonDodge…
蜜网技术核心机制
o数据控制机制
防止蜜网被黑客/恶意软件利用攻击第三方
o数据捕获机制
获取黑客攻击/恶意软件活动的行为数据
网络行为数据-网络连接、网络流
系统行为数据-进程、命令、打开文件、发起连接
o数据分析机制
理解捕获的黑客攻击/恶意软件活动的行为
o配置和管理机制
有效的配置和管理蜜网环境
第三代蜜网
o第二代蜜网技术-2003年Eeyore光盘概念验证性实现
o第三代蜜网技术-2005年5月发布ROO蜜网网关光盘
从LiveCD到安装光盘-更易部署和定制
基于最小化版本的FedoraCore3-更安全,yum自动化升级
多种配置机制(hwctl,menu,walleye)-更容易配置
提供数据分析工具Walleye-更加易用
IPTables实现连接数限制
o网络连接数限制
n对内部发起到外部的网络连接进行数量限制
nTCP/UDP/ICMP/otherIP
n/etc/init.d/rc.firewall通过IPTables进行配置实现
oRoachMotelMode-“黑店模式”
n“反接”防火墙,只进不出
n允许外部发起到内部的网络连接
n阻断内部发起到外部的网络连接
数据捕获机制
o快数据通道
n网络行为数据–HoneyWall
o网络流数据:
Argus
o入侵检测报警:
Snort
o操作系统信息:
p0f
n系统行为数据–Sebek@Honeypot
o进程、文件、命令、键击记录
o以rootkit方式监控sys_socket,sys_open,sys_read系统调用
n网络行为与系统行为数据之间的关联–sys_socket
o慢数据通道
n网络原始数据包–tcpdump@HoneyWall
网络行为数据
oArgus网络流捕获工具
n网络连接5元组+连接统计信息
nThu12/2906:
40:
32Stcp132.3.31.15.6439->12.23.14.77.23CLO
n
oSnort网络入侵检测工具
n给出网络流中已知攻击的报警信息
nwww.snort.org
oP0f被动操作系统识别工具
n被动监听网络流,通过不同操作系统协议栈的不同实现(指纹)识别网络连接双方的操作系统
nhttp:
//lcamtuf.coredump.cx/p0f.shtml
系统行为数据-Sebek
oSebek工作原理
n劫持Linux系统调用-sys_read,sys_open,sys_socket,…
n劫持Win32核心API-ZwOpenFile,ZwReadFile,ZwEnumerateKey,ZwSecureConnectPort等13个核心API
oSebek版本
3.2.0forLinux
3.0.0for*BSD
3.0.4forWin32
…
Sebek的隐藏机制
oSebekLinuxClient
n采用一种Rookit隐藏机制
nSebek:
可装载内核模块(LKM:
loadablekernelmodule)
nCleaner:
另一内核模块,从内核模块列表中清除Sebek内核模块
oSebekWin32Client
n实现为一个系统内核驱动,进行隐藏
n但通过遍历PsLoadedModuleList可发现
Sebek系统行为数据隐蔽上传
数据捕获机制体系结构图
数据分析-Walleye
oPerl语言编写的WebGUI
n通过DBI连接mysql数据库
nmysql数据库中的信息由hflowd.pl提交
o
升级会员 