论文部分内容阅读
看了《网友世界》一年多了,从中学到了不少入侵技巧和入侵检测防范的方法。最后想总结一句话:做一个成功小黑客其实不单纯会入侵,还要学会如何保护自己,在保护自己的同时要学会顺藤摸瓜抓住入侵者。这不,我今天介绍给大家一个强有力的工具——Kfsensor,它的主要作用就是在本地电脑上构造一个“蜜罐”,然后让入侵者上当受骗。(注:关于“蜜罐”的介绍参见2006年第7期的《黑话补习班》一文)
安装Kfsensor伪装端口
可能大家听后有点糊涂,不要着急,等会慢慢分解!首先我们要安装Kfsensor。安装结束后会询问你是否重新启动计算机,一般情况下不需要重启。找到安装后的主文件Kfsensor.exe.初次打开时会出现设置对话框,我们一般不需要修改,连按N个“下一步”最后按下“完成”启动Kfsensor。
在Kfsensr主界面中大家可能会看到一些很熟悉的东西,比如21、42、3389等等。那这些是什么呢?明摆的是端口嘛!不过这些端口都是虚拟出来的。有句话说的好:“端口对应服务”,既然开了21端口,那么FTP服务便会开启,可是我电脑没有安装FTP服务,那这个FTP服务是哪儿的呢?原来这些服务也都是虚拟出来的。并不是真正安装的服务。我们在命令行下输入“netstat-an”看看端口情况,看见了吧,那些服务对应的端口状态全是“listening”,这就表明这些端口全处在开启状态。这样一来,入侵者利用扫描器扫描我们电脑的时候也会扫到这些端口。当他们用相应工具连接这些端口的时候,输入的任何信息都会被Kfsensor记录下来。这样非常有利于我们分析入侵者的来源(IP)和用户名、密码习惯,极大地帮助了我们反入侵。
实测伪装效果
到底Kfsensor的伪装效果如何,我们还是做个实验看看吧。我们以两个端口21,5900来说明问题:21是文件服务器的端口,5900是VNC服务端端口。
实验环境:本地IP是222.188.15.54,ADSL拨号上网。操作系统是Windows XP,没有装llS,VNC终端服务等。
测试虚拟FTP服务
我在命令行下输入FTP 222.188.15,4出现一个界面,很眼熟吧,FTP服务我本地并没有安装。那怎么会有的呢?当然是Kfsensor虚拟出来的了!我们在user和password处随便输入用户名和密码,系统提示Iogin failed表明登录失败,很明显。没有真正的FTP服务。在用户名和密码处输入什么都会失败的。有人可能会问:这样又有什么用呢?我会自信的告诉你,刚才输入的用户名和密码已经被Kfsensor记录下来了。我们回到主程序界面,右边就记录了入侵者的事件,双击其中的某个事件看看,“Summary”处记录了入侵者的一些简单记录。“Visitor”处就是入侵者的lP地址,因为我是本地登录的所以lP地址当然是我自己的了;“Port”是入侵者用什么端口登录的,“Domain”应该就是入侵者的计算机名称了。我们再点“Details”看看,其中“Start time”和“End time”就记录了入侵者的活动时间,至于其他选项相信大家都能看明白,我就不一一说明了。
测试虚拟VNC服务
我们再简单地测试一下VNC5900端口,我本地同样没有安装VNC服务端。运行VNCviewer.exe,输入IP,当输入密码时候出现认证错误对话框,我们此时再回到主程序看看,Kfsensor也记录了一个事件,我们双击这个事件看看,具体细节我就不再讲解了。
设置Kfsensor
测试完毕,但我现在遇到了一个问题:Kfsensor默认的虚拟端口太多了,这样一来入侵者用扫描器扫我的电脑时就会扫出很多端口。有点经验的入侵者很可能会察觉到这是我用工具虚拟出来的服务。那我们怎么才能去掉一些端口呢?步骤如下:我们在Kfsensor主界面中依次点击“Scenario→Edit scenario”打开设置窗口,假设我现在要删除虚拟21端口,只要在“name”中找到“FTP guild”,然后点下“Delete”即可。这样一来入侵者用扫描器就不会扫到21端口了。当然如果你要删除其他端口。步骤是一样的。如果想虚拟一个比较有诱惑力的“蜜罐”,我们可以虚拟“DNS”、“IlS”、“3389”这三个服务,这样显得比较真实。
另外Kfsensor安装后,会自动将自己设置成服务,以后每次开机自动运行。不用我们手工启动。如果想停止此服务。可以在服务里面双击Kfsensor,依次点击“files→servlce”然后选择“stop”就可以了。
最后再补充一句:如果你本地已经安装了FTP服务,那就不能虚拟FTP服务了,因为这样端口会形成冲突,我们可以将自己本地的FTP端口改为2121,然后我们再虚拟FTP服务就行了。好了,大家实验下吧,工具很不错的。
安装Kfsensor伪装端口
可能大家听后有点糊涂,不要着急,等会慢慢分解!首先我们要安装Kfsensor。安装结束后会询问你是否重新启动计算机,一般情况下不需要重启。找到安装后的主文件Kfsensor.exe.初次打开时会出现设置对话框,我们一般不需要修改,连按N个“下一步”最后按下“完成”启动Kfsensor。
在Kfsensr主界面中大家可能会看到一些很熟悉的东西,比如21、42、3389等等。那这些是什么呢?明摆的是端口嘛!不过这些端口都是虚拟出来的。有句话说的好:“端口对应服务”,既然开了21端口,那么FTP服务便会开启,可是我电脑没有安装FTP服务,那这个FTP服务是哪儿的呢?原来这些服务也都是虚拟出来的。并不是真正安装的服务。我们在命令行下输入“netstat-an”看看端口情况,看见了吧,那些服务对应的端口状态全是“listening”,这就表明这些端口全处在开启状态。这样一来,入侵者利用扫描器扫描我们电脑的时候也会扫到这些端口。当他们用相应工具连接这些端口的时候,输入的任何信息都会被Kfsensor记录下来。这样非常有利于我们分析入侵者的来源(IP)和用户名、密码习惯,极大地帮助了我们反入侵。
实测伪装效果
到底Kfsensor的伪装效果如何,我们还是做个实验看看吧。我们以两个端口21,5900来说明问题:21是文件服务器的端口,5900是VNC服务端端口。
实验环境:本地IP是222.188.15.54,ADSL拨号上网。操作系统是Windows XP,没有装llS,VNC终端服务等。
测试虚拟FTP服务
我在命令行下输入FTP 222.188.15,4出现一个界面,很眼熟吧,FTP服务我本地并没有安装。那怎么会有的呢?当然是Kfsensor虚拟出来的了!我们在user和password处随便输入用户名和密码,系统提示Iogin failed表明登录失败,很明显。没有真正的FTP服务。在用户名和密码处输入什么都会失败的。有人可能会问:这样又有什么用呢?我会自信的告诉你,刚才输入的用户名和密码已经被Kfsensor记录下来了。我们回到主程序界面,右边就记录了入侵者的事件,双击其中的某个事件看看,“Summary”处记录了入侵者的一些简单记录。“Visitor”处就是入侵者的lP地址,因为我是本地登录的所以lP地址当然是我自己的了;“Port”是入侵者用什么端口登录的,“Domain”应该就是入侵者的计算机名称了。我们再点“Details”看看,其中“Start time”和“End time”就记录了入侵者的活动时间,至于其他选项相信大家都能看明白,我就不一一说明了。
测试虚拟VNC服务
我们再简单地测试一下VNC5900端口,我本地同样没有安装VNC服务端。运行VNCviewer.exe,输入IP,当输入密码时候出现认证错误对话框,我们此时再回到主程序看看,Kfsensor也记录了一个事件,我们双击这个事件看看,具体细节我就不再讲解了。
设置Kfsensor
测试完毕,但我现在遇到了一个问题:Kfsensor默认的虚拟端口太多了,这样一来入侵者用扫描器扫我的电脑时就会扫出很多端口。有点经验的入侵者很可能会察觉到这是我用工具虚拟出来的服务。那我们怎么才能去掉一些端口呢?步骤如下:我们在Kfsensor主界面中依次点击“Scenario→Edit scenario”打开设置窗口,假设我现在要删除虚拟21端口,只要在“name”中找到“FTP guild”,然后点下“Delete”即可。这样一来入侵者用扫描器就不会扫到21端口了。当然如果你要删除其他端口。步骤是一样的。如果想虚拟一个比较有诱惑力的“蜜罐”,我们可以虚拟“DNS”、“IlS”、“3389”这三个服务,这样显得比较真实。
另外Kfsensor安装后,会自动将自己设置成服务,以后每次开机自动运行。不用我们手工启动。如果想停止此服务。可以在服务里面双击Kfsensor,依次点击“files→servlce”然后选择“stop”就可以了。
最后再补充一句:如果你本地已经安装了FTP服务,那就不能虚拟FTP服务了,因为这样端口会形成冲突,我们可以将自己本地的FTP端口改为2121,然后我们再虚拟FTP服务就行了。好了,大家实验下吧,工具很不错的。