譯者序
前言
緻謝
作者簡介
第1章 蜜罐和網絡背景 1
1.1 tcp/ip協議簡介 1
1.2 蜜罐背景 5
1.2.1 高交互蜜罐 6
1.2.2 低交互蜜罐 7
1.2.3 物理蜜罐 7
1.2.4 虛擬蜜罐 8
1.2.5 法律方麵 8
1.3 商業工具 8
1.3.1 tcpdump 9
1.3.2 wireshark 10
1.3.3 nmap 11
第2章 高交互蜜罐 13
2.1 優點和缺點 13
2.2 vmware 14
2.2.1 不同的vmware版本 17
.2.2.2 vmware虛擬網絡 18
2.2.3 建立一個虛擬高交互蜜罐 19
2.2.4 創建一個虛擬蜜罐 22
2.2.5 添加附加監視軟件 25
2.2.6 把虛擬蜜罐連接到互聯網 27
2.2.7 建立一個虛擬高交互蜜網 27
2.3 用戶模式linux 28
2.3.1 概述 28
2.3.2 安裝和設置 28
2.3.3 運行時標誌和配置 31
2.3.4 監視基於uml的蜜罐 34
2.3.5 把虛擬蜜罐連接到internet 35
2.3.6 建立一個虛擬高交互蜜網 36
2.4 argos 36
2.4.1 概述 36
2.4.2 安裝和設置argos蜜罐 37
2.5 保護你的蜜罐 44
2.5.1 蜜牆概述 44
2.5.2 蜜牆的安裝 47
2.6 小結 48
第3章 低交互蜜罐 49
3.1 優點和缺點 49
3.2 欺騙工具包 50
3.3 labrea 50
3.3.1 安裝和設置 52
3.3.2 觀察 56
3.4 tiny honeypot 56
3.4.1 安裝 57
3.4.2 捕獲日誌 57
3.4.3 會話日誌 58
3.4.4 netfilter日誌 59
3.4.5 觀察 59
3.5 ghh——google入侵蜜罐 60
3.5.1 一般安裝 60
3.5.2 設置透明鏈接 62
3.5.3 訪問日誌 64
3.6 php.hop——一個基於web的欺騙架構 65
3.6.1 安裝 65
3.6.2 hiphop 66
3.6.3 phpmyadmin 67
3.7 保護你的低交互蜜罐 67
3.7.1 chroot“禁閉室” 68
3.7.2 systrace 70
3.8 小結 72
第4章 honeyd——基礎篇 73
4.1 概述 73
4.1.1 特性 74
4.1.2 安裝和設置 75
4.2 設計概述 76
4.2.1 僅通過網絡交互 77
4.2.2 多ip地址 77
4.2.3 欺騙指紋識彆工具 78
4.3 接收網絡數據 78
4.4 運行時標誌 79
4.5 配置 81
4.5.1 create 82
4.5.2 set 82
4.5.3 add 85
4.5.4 bind 86
4.5.5 delete 87
4.5.6 include 88
4.6 honeyd實驗 88
4.6.1 本地honeyd實驗 88
4.6.2 把honeyd整閤到生産網絡中 90
4.7 服務 91
4.8 日誌 92
4.8.1 數據包級日誌 92
4.8.2 服務級日誌 94
4.9 小結 95
第5章 honeyd——高級篇 96
5.1 高級配置 96
5.1.1 set 96
5.1.2 tarpit 97
5.1.3 annotate 98
5.2 模擬服務 98
5.2.1 腳本語言 99
5.2.2 smtp 99
5.3 子係統 101
5.4 內部python服務 104
5.5 動態模闆 106
5.6 路由拓撲 107
5.7 honeydstats 110
5.8 honeyct1 112
5.9 honeycomb 113
5.10 性能 115
5.11 小結 116
第6章 用蜜罐收集惡意軟件 117
6.1 惡意軟件入門 117
6.2 nepenthes——一個收集惡意軟件的
蜜罐解決方案 118
6.2.1 nepenthes體係結構 119
6.2.2 局限性 127
6.2.3 安裝和設置 128
6.2.4 配置 129
6.2.5 命令行標誌 131
6.2.6 分配多個ip地址 132
6.2.7 靈活的部署 134
6.2.8 捕獲新的漏洞利用程序 135
6.2.9 實現漏洞模塊 135
6.2.10 結果 136
6.2.11 經驗體會 142
6.3 honeytrap 143
6.3.1 概述 143
6.3.2 安裝和配置 145
6.3.3 運行honeytrap 147
6.4 獲得惡意軟件的其他蜜罐解決方案 149
6.4.1 multipot 149
6.4.2 honeybot 149
6.4.3 billy goat 150
6.4.4 瞭解惡意網絡流量 150
6.5 小結 151
第7章 混閤係統 152
7.1 黑洞 153
7.2 potemkin 155
7.3 roleplayer 159
7.4 研究總結 162
7.5 構建自己的混閤蜜罐係統 162
7.5.1 nat和高交互蜜罐 162
7.5.2 honeyd和高交互蜜罐 165
7.6 小結 167
第8章 客戶端蜜罐 168
8.1 深入瞭解客戶端的威脅 168
8.1.1 詳解ms04-040 169
8.1.2 其他類型客戶端攻擊 172
8.1.3 客戶端蜜罐 173
8.2 低交互客戶端蜜罐 175
8.2.1 瞭解惡意網站 175
8.2.2 honeyc 179
8.3 高交互客戶端蜜罐 184
8.3.1 高交互客戶端蜜罐的設計 185
8.3.2 honeyclient 188
8.3.3 capture-hpc 189
8.3.4 honeymonkey 191
8.4 其他方法 191
8.4.1 互聯網上間諜軟件的研究 192
8.4.2 spybye 194
8.4.3 siteadvisor 196
8.4.4 進一步的研究 197
8.5 小結 197
第9章 檢測蜜罐 199
9.1 檢測低交互蜜罐 199
9.2 檢測高交互蜜罐 205
9.2.1 檢測和禁用sebek 205
9.2.2 檢測蜜牆 208
9.2.3 逃避蜜網記錄 208
9.2.4 vmware和其他虛擬機 211
9.2.5 qemu 217
9.2.6 用戶模式linux 217
9.3 檢測rootkits 220
9.4 小結 223
第10章 案例研究 224
10.1 blast-o-mat：使用nepenthes檢測被
感染的客戶端 224
10.1.1 動機 225
10.1.2 nepenthes作為入侵檢測係統的
一部分 227
10.1.3 降低被感染係統的威脅 227
10.1.4 一個新型木馬：haxdoor 230
10.1.5 使用blast-o-mat的經驗 233
10.1.6 基於nepenthes的輕量級入侵檢
測係統 234
10.1.7 surfnet ids 236
10.2 搜索蠕蟲 238
10.3 對red hat 8.0的攻擊 242
10.3.1 攻擊概述 243
10.3.2 攻擊時間錶 244
10.3.3 攻擊工具 247
10.3.4 攻擊評價 250
10.4 對windows 2000的攻擊 251
10.4.1 攻擊概述 251
10.4.2 攻擊時間錶 252
10.4.3 攻擊工具 253
10.4.4 攻擊評價 256
10.5 對suse 9.1的攻擊 257
10.5.1 攻擊概述 257
10.5.2 攻擊時間錶 258
10.5.3 攻擊工具 259
10.5.4 攻擊評價 261
10.6 小結 262
第11章 追蹤僵屍網絡 263
11.1 僵屍程序和僵屍網絡 263
11.1.1 僵屍程序舉例 265
11.1.2 僵屍程序形式的間諜軟件 268
11.1.3 僵屍網絡控製結構 270
11.1.4 僵屍網絡引起的ddos攻擊 273
11.2 追蹤僵屍網絡 274
11.3 案例研究 276
11.3.1 mocbot和ms06-040 280
11.3.2 其他的觀察結果 283
11.4 防禦僵屍程序 285
11.5 小結 287
第12章 使用cwsandbox分析惡意軟件 288
12.1 cwsandbox概述 289
12.2 基於行為的惡意軟件分析 290
12.2.1 代碼分析 290
12.2.2 行為分析 290
12.2.3 api攔截 291
12.2.4 代碼注入 294
12.3 cwsandbox——係統描述 295
12.4 結果 297
12.4.1 實例分析報告 298
12.4.2 大規模分析 302
12.5 小結 304
參考文獻 305
· · · · · · (收起)