虚拟蜜罐 pdf epub mobi txt 电子书 下载 2025

想要找书就要到 小美书屋

立刻按 ctrl+D收藏本页

你会得到大惊喜!!

本书全面而详细地介绍蜜罐技术的概念、分类及应用，及低交互蜜罐、高交互蜜罐、混合蜜罐以及客户端蜜罐的实现机理与部署应用方式；结合具体的工具，尤其是开源工具，阐述各类蜜罐的建立、配置和应用；介绍蜜罐在恶意软件捕获、僵尸网络追踪中的应用；通过案例分析，结合实际讨论蜜罐的作用与应用效果。此外，本书还介绍了攻击者识别蜜罐的方法。上述内容有利于我们了解恶意软件、僵尸网络的工作机理和过程，有助于理解蜜罐技术在网络防御中的作用，把握与敌手对抗过程中使用蜜罐的优势与不足，为我们构建坚实的主动网络防御系统提供非常有益的指南。

不论是对网络安全研究者来讲，还是对于网络安全管理者来讲；不论是对网络安全感兴趣准备涉足这一领域的初学者，还是对长期从事网络安全管理工作的资深工程师，本书确实是一部难得的宝典。

NielscProvos,2003年从密歇根大学获得博士学位,1在那里他进行了计算机和网络安全的实验和理论方面的研究.他是OpenSSH的创建者之一,并由于他在OpenBSD方面的安全工作而闻名.他开发了Honeyd（一个流行的开放源码的蜜罐平台）、SpyBye（一个帮助网站管理员检测网页上恶意软件的客户端蜜罐）,以及许多其他工具,如Systrace和Stegdetect.a他是Honeynet项目的成员之一,在开源项目上作出了积极贡献.Provos目前在谷歌公司担任高级主管工程师.

ThorstencHolz,2德国曼海姆大学可靠分布式系统实验室的博士研究生.他是德国蜜网项目的创始人之一,是蜜网研究联盟指导委员会成员.他的研究兴趣包括安全系统实际问题,但他也对更多的可靠系统理论问题感兴趣.目前,他的研究工作集中在僵尸程序/僵尸网络、客户端蜜罐和恶意软件.他的博客网址http://honeyblog.org.

译者序
前言
致谢
作者简介
第1章 蜜罐和网络背景 1
1.1 tcp/ip协议简介 1
1.2 蜜罐背景 5
1.2.1 高交互蜜罐 6
1.2.2 低交互蜜罐 7
1.2.3 物理蜜罐 7
1.2.4 虚拟蜜罐 8
1.2.5 法律方面 8
1.3 商业工具 8
1.3.1 tcpdump 9
1.3.2 wireshark 10
1.3.3 nmap 11
第2章 高交互蜜罐 13
2.1 优点和缺点 13
2.2 vmware 14
2.2.1 不同的vmware版本 17
.2.2.2 vmware虚拟网络 18
2.2.3 建立一个虚拟高交互蜜罐 19
2.2.4 创建一个虚拟蜜罐 22
2.2.5 添加附加监视软件 25
2.2.6 把虚拟蜜罐连接到互联网 27
2.2.7 建立一个虚拟高交互蜜网 27
2.3 用户模式linux 28
2.3.1 概述 28
2.3.2 安装和设置 28
2.3.3 运行时标志和配置 31
2.3.4 监视基于uml的蜜罐 34
2.3.5 把虚拟蜜罐连接到internet 35
2.3.6 建立一个虚拟高交互蜜网 36
2.4 argos 36
2.4.1 概述 36
2.4.2 安装和设置argos蜜罐 37
2.5 保护你的蜜罐 44
2.5.1 蜜墙概述 44
2.5.2 蜜墙的安装 47
2.6 小结 48
第3章 低交互蜜罐 49
3.1 优点和缺点 49
3.2 欺骗工具包 50
3.3 labrea 50
3.3.1 安装和设置 52
3.3.2 观察 56
3.4 tiny honeypot 56
3.4.1 安装 57
3.4.2 捕获日志 57
3.4.3 会话日志 58
3.4.4 netfilter日志 59
3.4.5 观察 59
3.5 ghh——google入侵蜜罐 60
3.5.1 一般安装 60
3.5.2 设置透明链接 62
3.5.3 访问日志 64
3.6 php.hop——一个基于web的欺骗架构 65
3.6.1 安装 65
3.6.2 hiphop 66
3.6.3 phpmyadmin 67
3.7 保护你的低交互蜜罐 67
3.7.1 chroot“禁闭室” 68
3.7.2 systrace 70
3.8 小结 72
第4章 honeyd——基础篇 73
4.1 概述 73
4.1.1 特性 74
4.1.2 安装和设置 75
4.2 设计概述 76
4.2.1 仅通过网络交互 77
4.2.2 多ip地址 77
4.2.3 欺骗指纹识别工具 78
4.3 接收网络数据 78
4.4 运行时标志 79
4.5 配置 81
4.5.1 create 82
4.5.2 set 82
4.5.3 add 85
4.5.4 bind 86
4.5.5 delete 87
4.5.6 include 88
4.6 honeyd实验 88
4.6.1 本地honeyd实验 88
4.6.2 把honeyd整合到生产网络中 90
4.7 服务 91
4.8 日志 92
4.8.1 数据包级日志 92
4.8.2 服务级日志 94
4.9 小结 95
第5章 honeyd——高级篇 96
5.1 高级配置 96
5.1.1 set 96
5.1.2 tarpit 97
5.1.3 annotate 98
5.2 模拟服务 98
5.2.1 脚本语言 99
5.2.2 smtp 99
5.3 子系统 101
5.4 内部python服务 104
5.5 动态模板 106
5.6 路由拓扑 107
5.7 honeydstats 110
5.8 honeyct1 112
5.9 honeycomb 113
5.10 性能 115
5.11 小结 116
第6章 用蜜罐收集恶意软件 117
6.1 恶意软件入门 117
6.2 nepenthes——一个收集恶意软件的
蜜罐解决方案 118
6.2.1 nepenthes体系结构 119
6.2.2 局限性 127
6.2.3 安装和设置 128
6.2.4 配置 129
6.2.5 命令行标志 131
6.2.6 分配多个ip地址 132
6.2.7 灵活的部署 134
6.2.8 捕获新的漏洞利用程序 135
6.2.9 实现漏洞模块 135
6.2.10 结果 136
6.2.11 经验体会 142
6.3 honeytrap 143
6.3.1 概述 143
6.3.2 安装和配置 145
6.3.3 运行honeytrap 147
6.4 获得恶意软件的其他蜜罐解决方案 149
6.4.1 multipot 149
6.4.2 honeybot 149
6.4.3 billy goat 150
6.4.4 了解恶意网络流量 150
6.5 小结 151
第7章 混合系统 152
7.1 黑洞 153
7.2 potemkin 155
7.3 roleplayer 159
7.4 研究总结 162
7.5 构建自己的混合蜜罐系统 162
7.5.1 nat和高交互蜜罐 162
7.5.2 honeyd和高交互蜜罐 165
7.6 小结 167
第8章 客户端蜜罐 168
8.1 深入了解客户端的威胁 168
8.1.1 详解ms04-040 169
8.1.2 其他类型客户端攻击 172
8.1.3 客户端蜜罐 173
8.2 低交互客户端蜜罐 175
8.2.1 了解恶意网站 175
8.2.2 honeyc 179
8.3 高交互客户端蜜罐 184
8.3.1 高交互客户端蜜罐的设计 185
8.3.2 honeyclient 188
8.3.3 capture-hpc 189
8.3.4 honeymonkey 191
8.4 其他方法 191
8.4.1 互联网上间谍软件的研究 192
8.4.2 spybye 194
8.4.3 siteadvisor 196
8.4.4 进一步的研究 197
8.5 小结 197
第9章 检测蜜罐 199
9.1 检测低交互蜜罐 199
9.2 检测高交互蜜罐 205
9.2.1 检测和禁用sebek 205
9.2.2 检测蜜墙 208
9.2.3 逃避蜜网记录 208
9.2.4 vmware和其他虚拟机 211
9.2.5 qemu 217
9.2.6 用户模式linux 217
9.3 检测rootkits 220
9.4 小结 223
第10章 案例研究 224
10.1 blast-o-mat：使用nepenthes检测被
感染的客户端 224
10.1.1 动机 225
10.1.2 nepenthes作为入侵检测系统的
一部分 227
10.1.3 降低被感染系统的威胁 227
10.1.4 一个新型木马：haxdoor 230
10.1.5 使用blast-o-mat的经验 233
10.1.6 基于nepenthes的轻量级入侵检
测系统 234
10.1.7 surfnet ids 236
10.2 搜索蠕虫 238
10.3 对red hat 8.0的攻击 242
10.3.1 攻击概述 243
10.3.2 攻击时间表 244
10.3.3 攻击工具 247
10.3.4 攻击评价 250
10.4 对windows 2000的攻击 251
10.4.1 攻击概述 251
10.4.2 攻击时间表 252
10.4.3 攻击工具 253
10.4.4 攻击评价 256
10.5 对suse 9.1的攻击 257
10.5.1 攻击概述 257
10.5.2 攻击时间表 258
10.5.3 攻击工具 259
10.5.4 攻击评价 261
10.6 小结 262
第11章 追踪僵尸网络 263
11.1 僵尸程序和僵尸网络 263
11.1.1 僵尸程序举例 265
11.1.2 僵尸程序形式的间谍软件 268
11.1.3 僵尸网络控制结构 270
11.1.4 僵尸网络引起的ddos攻击 273
11.2 追踪僵尸网络 274
11.3 案例研究 276
11.3.1 mocbot和ms06-040 280
11.3.2 其他的观察结果 283
11.4 防御僵尸程序 285
11.5 小结 287
第12章 使用cwsandbox分析恶意软件 288
12.1 cwsandbox概述 289
12.2 基于行为的恶意软件分析 290
12.2.1 代码分析 290
12.2.2 行为分析 290
12.2.3 api拦截 291
12.2.4 代码注入 294
12.3 cwsandbox——系统描述 295
12.4 结果 297
12.4.1 实例分析报告 298
12.4.2 大规模分析 302
12.5 小结 304
参考文献 305
· · · · · · (收起)