从僵尸网络追踪到入侵检测 第3章 Honeyd服务(23端口防御)
2016-01-09 19:39
447 查看
Honeyd服务(23端口防御)
环境准备
1、Honeyd系统RHEL6.4 IP 10.10.10.135
2、攻击系统windows 2008R2 IP 10.10.10.134
步骤
1、23端口防御脚本
[root@MIGUANG scripts]# cat hello.sh
#!/bin/sh
echo "hello you!"
while read data
do
echo "$data"
Done
2、honeyd 23端口配置文件
[root@MIGUANG scripts]# cat /etc/test.config
create default
set default default tcp action block
set default default udp action block
set default default icmp action block
create linux
set linux ethernet "dell"
set linux default tcp action reset
add linux tcp port 23 "/usr/local/share/honeyd/scripts/hello.sh"
dhcp linux on eth0
3、运行honeyd服务,分配虚拟DHCP IP地址为10.10.10.139
[root@MIGUANG ~]# honeyd -d -f /etc/test.config
Honeyd V1.5c Copyright (c) 2002-2007 Niels Provos
honeyd[2611]: started with -d -f /etc/test.config
Warning: Impossible SI range in Class fingerprint "IBM OS/400 V4R2M0"
Warning: Impossible SI range in Class fingerprint "Microsoft Windows NT 4.0 SP3"
honeyd[2611]: listening promiscuously on eth0: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip )) and not ether src 00:0c:29:0b:cf:2a
honeyd[2611]: [eth0] trying DHCP
honeyd[2611]: Demoting process privileges to uid 99, gid 99
honeyd[2611]: [eth0] got DHCP offer: 10.10.10.139
honeyd[2611]: Updating ARP binding: 00:c0:4f:e6:40:30 -> 10.10.10.139
honeyd[2611]: arp reply 10.10.10.139 is-at 00:c0:4f:e6:40:30
honeyd[2611]: Sending ICMP Echo Reply: 10.10.10.139 -> 10.10.10.254
honeyd[2611]: arp_send: who-has 10.10.10.254 tell 10.10.10.139
honeyd[2611]: arp_recv_cb: 10.10.10.254 at 00:50:56:e3:b7:b0
4、使用windows2008R2攻击系统远程链接防御系统服务器
使用telnet链接10.10.10.139
这时链接后进入防御措施执行了服务器上的脚本如下图
5、攻击系统执行的命令全部被反弹回去
环境准备
1、Honeyd系统RHEL6.4 IP 10.10.10.135
2、攻击系统windows 2008R2 IP 10.10.10.134
步骤
1、23端口防御脚本
[root@MIGUANG scripts]# cat hello.sh
#!/bin/sh
echo "hello you!"
while read data
do
echo "$data"
Done
2、honeyd 23端口配置文件
[root@MIGUANG scripts]# cat /etc/test.config
create default
set default default tcp action block
set default default udp action block
set default default icmp action block
create linux
set linux ethernet "dell"
set linux default tcp action reset
add linux tcp port 23 "/usr/local/share/honeyd/scripts/hello.sh"
dhcp linux on eth0
3、运行honeyd服务,分配虚拟DHCP IP地址为10.10.10.139
[root@MIGUANG ~]# honeyd -d -f /etc/test.config
Honeyd V1.5c Copyright (c) 2002-2007 Niels Provos
honeyd[2611]: started with -d -f /etc/test.config
Warning: Impossible SI range in Class fingerprint "IBM OS/400 V4R2M0"
Warning: Impossible SI range in Class fingerprint "Microsoft Windows NT 4.0 SP3"
honeyd[2611]: listening promiscuously on eth0: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip )) and not ether src 00:0c:29:0b:cf:2a
honeyd[2611]: [eth0] trying DHCP
honeyd[2611]: Demoting process privileges to uid 99, gid 99
honeyd[2611]: [eth0] got DHCP offer: 10.10.10.139
honeyd[2611]: Updating ARP binding: 00:c0:4f:e6:40:30 -> 10.10.10.139
honeyd[2611]: arp reply 10.10.10.139 is-at 00:c0:4f:e6:40:30
honeyd[2611]: Sending ICMP Echo Reply: 10.10.10.139 -> 10.10.10.254
honeyd[2611]: arp_send: who-has 10.10.10.254 tell 10.10.10.139
honeyd[2611]: arp_recv_cb: 10.10.10.254 at 00:50:56:e3:b7:b0
4、使用windows2008R2攻击系统远程链接防御系统服务器
使用telnet链接10.10.10.139
这时链接后进入防御措施执行了服务器上的脚本如下图
5、攻击系统执行的命令全部被反弹回去
相关文章推荐
- bzoj3931【CQOI2015】网络吞吐量
- Self Organizing Maps (SOM): 一种基于神经网络的聚类算法
- 扯谈网络编程之自己实现ping
- 通过网址获取图片
- 网络流之最大流算法模板EK
- SOCKET中send和recv函数工作原理与注意点
- iOS应用架构谈part3 网络层设计方案
- 深度神经网络为何很难训练(译文)
- 工具类:HttpURLConnHelper(实现网络访问文件,将获取到数据储存在文件流中)
- 谈谈TCP三次握手
- Android开发实现HttpClient工具类
- 进神经网络的学习方式(译文)----中
- Michael Nielsen 's 神经网络学习之一
- 改进神经网络的学习方式(译文)----上
- DHCP 动态域名解析 网络协议
- DNS 域名解析 (主机解析 地址解析 ) 网络协议
- 改进神经网络的学习方式(译文)----下
- 网络健康度自动评估工具,分享顶极技术
- HTTP通信概念
- Nginx 启用 https