网络攻防 蜜罐_蜜罐网络攻防实验

《Metasploit渗透测试魔鬼训练营》pdf下载在线阅读全文，求百度网盘云资源

《Metasploit渗透测试魔鬼训练营》（诸葛建伟）电子书网盘下载免费在线阅读

链接:

提取码: 9cq4

书名：Metasploit渗透测试魔鬼训练营

作者：诸葛建伟

豆瓣评分：8.8

出版社：机械工业出版社

出版年份：2013-9-1

页数：473

内容简介：

首本中文原创Metasploit渗透测试著作，国内信息安全领域布道者和资深Metasploit渗透测试专家领衔撰写，极具权威性。以实践为导向，既详细讲解了Metasploit渗透测试的技术、流程、方法和技巧，又深刻阐释了渗透测试平台背后蕴含的思想。

作者简介：

诸葛建伟，国内信息安全领域的布道者，资深渗透测试技术专家，Metasploit领域的顶级专家之一，实战经验非常丰富。在网络攻防、入侵检测、蜜罐、恶意代码分析、互联网安全威胁监测、智能终端恶意代码等领域都有深入的研究。国际信息安全开源组织The Honeynet Project团队正式成员，中国分支团队负责人；清华大学网络与信息安全实验室副研究员，狩猎女神科研团队技术负责人；蓝莲花（Blue-Lotus）CTF战队的合伙创始人与组织者，2013年带领战队在DEFCON CTF资格赛取得了全球第四、亚洲第一的中国历史最好战绩，首次闯入总决赛；活跃于新浪微博和看雪论坛等社区，出版了《网络攻防技术与实践》、《Metasploit渗透测试技术指南》、《数据包分析技术实战（第2版）》等多本信息安全相关的经典著作。

网骗是什么

蜜罐技术是一个故意设计的存在缺陷的系统，可以用来对档案信息网络入侵者的行为进行诱骗，以保护档案信息的安全。蜜网技术是一个用来研究如何入侵系统的工具，是一个设计合理的实验网络系统。蜜网技术第一个组成部分是防火墙，它记录了所有与本地主机的联接并且提供NAT服务和DOS保护、入侵侦测系统(IDS)。IDS和防火墙有时会放置在同一个位置，用来记录网络上的流量且寻找攻击和入侵的线索。第二个组成部分是远程日志主机，所有的入侵指令能够被监控并且传送到通常设定成远程的系统日志。

空间欺骗技术就是通过增加搜索空间来显著地增加档案系统网络入侵者的工作量，从而达到安全防护的目的。该技术运用的前提是计算机系统可以在一块网卡上实现具有众多IP地址，每个IP地址都具有它们自己的MAC地址。这项技术可用于建立填充一大段地址空间的欺骗，且花费极低。当网络入侵者的扫描器访问到网络系统的外部路由器并探测到这一欺骗服务时，还可将扫描器所有的网络流量重定向到欺骗上，使得接下来的远程访问变成这个欺骗的继续。当然，采用这种欺骗时，网络流量和服务的切换必须严格保密，因为一旦暴露就将招致入侵，从而导致入侵者很容易将任一个已知有效的服务和这种用于测试网络入侵者的扫描探测及其响应的欺骗区分开来。

网络动态配置和网络流量仿真。产生仿真流量的目的是使流量分析不能检测到欺骗的存在。在欺骗系统中产生仿真流量有两种方法。一种方法是采用实时方式或重现方式复制真正的网络流量，这使得欺骗系统与真实系统十分相似，因为所有的访问联接都被复制。第二种方法是从远程产生伪造流量，使网络入侵者可以发现和利用。面对网络入侵技术的不断提高，一种网络欺骗技术肯定不能做到总是成功，必须不断地提高欺骗质量，才能使网络入侵者难以将合法服务和欺骗服务进行区分。

国内的蜜罐安全产品有哪些？一文告诉你

复杂的网络环境和高频率的网络攻击，让网络安全形势越来越严峻。熟悉安全行业的朋友应该知道，长时间以来“安全”都是比较被动的概念，许多企业通常是被动的防御，被动的部署，被动的建设安全设施。但是近几年来，一种更主动的安全技术——蜜罐，开始越来越被甲方公司所接受。蜜罐技术的优点在于，它可以伪装成正常的业务系统，迷惑黑客、捕捉黑客的攻击信息并且能对攻击进行溯源，让安全工作变得更为主动。

蜜罐作为网络安全届的“网红”技术，有不少有实力的安全厂商推出了相关的安全产品。本文将围绕蜜罐技术的特点及优势进行探讨，并将当下有蜜罐技术相关商业化产品的公司做一个陈列，欢迎大家一同讨论，也为有相关安全需求的甲方公司提供一个简单的参考。

蜜罐是通过布设虚假资源来引诱攻击者采取行动，从而发现攻击与收集攻击信息。蜜罐是一种诱饵，目的是引诱黑客前来攻击，并收集黑客相关的证据和信息。

蜜罐可以实现对攻击者的主动诱捕，能够详细地记录攻击者攻击过程中的许多痕迹，可以收集到大量有价值的数据，如病毒或蠕虫的源码、黑客的操作等，从而便于提供丰富的溯源数据。（注：以下资料均来自各公司官网以及公开资料）

产品形态：SaaS

能否申请试用：能

产品页面： 创宇蜜罐  

产品价格：最低300元/月

1.欺骗伪装，可以模拟企业多种真实业务

2.威胁告警实时告警，能及时阻断攻击

3.威胁态势同步展示，大屏实时监测威胁

4.可以对攻击溯源，并分析入侵路径与攻击源

5.系统状态性能监控

1.轻量、无侵入的客户端。仅包含数据转发与攻击感知的功能，使得客户端占用资源极少，可在较低配置的服务器上运行，不会对现有的业务造成影响。

2.高级仿真的蜜场集群。云端资源可快速调整，使得蜜罐可以根据用户的使用压力随时扩容。

3.威胁事件详情全记录。IT及运维人员在收到告警消息后，可以登入创宇蜜罐管理系统，查看此次威胁事件的详情。

4.各蜜罐之间实现联动，即便黑客已经入侵到实际资产中，也会被海量的蜜罐所迷惑。

5.蜜罐持续迭代创宇蜜罐与知道创宇404安全实验室密切合作，时刻关注着业界安全态势，持续不断地跟踪、研究新型攻击手法。

6.安全专家接入，在必要时刻，用户可联系创宇蜜罐团队一键接入知道创宇「紧急入侵救援服务」，协助用户实施专业的入侵应急措施。

产品形态：硬件、软件

能否申请试用：能

产品页面： 谛听

产品价格：无

1.全端口威胁感知

2.异常流量监测与重定向

3.高仿真高交互蜜罐

4.攻击预警与行为分析

5.攻击者溯源

1.东西向流量威胁感知能力。不同于传统内网安全产品基于已知漏洞规则库进行判定，谛听通过在攻击者必经之路上设置诱饵、 部署探针，监控攻击者每一步的动作。

2.用户可自定义多种服务型蜜罐，覆盖信息系统中常用服务类型，并且支持高度自定义蜜罐数据，使得蜜罐蜜网环境和真实 环境更加契合，具备极强的伪装性和欺骗性。

3.精准识别攻击意图，自动化完整取证。当感知到攻击行为，会在第一时间发起告警;通过完整记录攻击者入侵行为，能够协助用户分析其攻击意图。

4.基于Docker架构，天然支持云端部署，支持在云上组蜜网，全方位保障云上安全。

产品形态：SaaS

能否申请试用：能

产品页面： 幻阵

产品价格：无

1.基于行为的威胁检测

2.动态网络隔离攻击

3.设备指纹威胁溯源

4.防抵赖入侵取证

5.覆盖企业多种IT环境

1.基于行为的高级威胁狩猎,精确分析攻击源、攻击路径及手法类型，并且无需升级，帮助企业感知和防御0day风险。

2.根据攻击者行为和资产状态，实时构建动态沙箱，在不同网络环境中自动化部署沙箱、伪装代理、漏洞、诱饵等形成动态蜜网，实现对攻击者的全链路欺骗，使攻击者无法探测真实网络环境。

3.拥有机器学习设备指纹专利技术，结合云端黑客指纹威胁情报库，提前识别并溯源攻击者，内核级的攻击行为取证技术如实记录攻击者入侵手法和行为。

4.与企业安全防护产品联动，开放所有接口API，输出黑客行为、黑客画像、攻击轨迹，无缝对接企业防火墙、IPS、IDS、WAF等其他安全产品。

产品形态：SaaS

能否申请试用？：能

产品页面： 幻云

产品价格：无

1.攻击欺骗与转移

2.真实资产隔离防护

3.攻击过程捕获分析

1.有效应对高层次网络攻击，新型未知网络威胁、高级持续性威胁（APT）等高层次网络攻击。

2.幻云的攻击发现基于欺骗，几乎不会产生任何误报，可做到报警即发现。捕获的攻击数据具有日志量较少、包含信息量高、纯净不掺杂任何业务数据的特点。

3.增强协同防御能力，幻云捕获的攻击数据可加工形成标准的本地威胁情报输出，在其他安全设备和安全子系统中流动，增强用户原有安全体系整体防护能力。

目前国内提供蜜罐技术的公司主要就是上面这四家。而他们的产品主要功能大致相同，都是以欺骗伪装和攻击溯源为主。

知道创宇的创宇蜜罐在功能上非常丰富，能满足绝大部分公司的需求，包括数据分析、展示等，以及有专家1v1响应，这点还是十分不错的；

长亭的谛听是一款商业化很多年的产品，相比较来说经验更为丰富；

默安科技的幻阵从资料上来看没有很大的特点，是一款中规中矩的蜜罐产品；

锦行科技的幻云能找到的介绍资料很少，这里不过多做评价。

在此建议，公司或单位有蜜罐安全需求时，可以分别试用一下各家产品，选择最适合自己业务情况的一家。

计算机取证技术论文(2)

计算机取证技术论文篇二

计算机取证技术研究

摘要：随着计算机和 网络技术 的飞速发展，计算机犯罪和网络安全等问题也越来越突出，也逐渐引起重视。文章对计算机取证的特点、原则和步骤进行了介绍，最后从基于单机和设备、基于网络的两类取证技术进行了深入研究。

关键词：计算机取证 数据恢复 加密解密 蜜罐网络

随着计算机和网络技术的飞速发展，计算机和网络在人类的政治、经济、 文化 和国防军事中的作用越来越重要，计算机犯罪和网络安全等问题也越来越突出，虽然目前采取了一系列的防护设备和措施，如硬件防火墙、入侵检测系统、、网络隔离等，并通过授权机制、访问控制机制、日志机制以及数据备份等安全防范措施，但仍然无法保证系统的绝对安全。

计算机取证技术是指运用先进的技术手段，遵照事先定义好的程序及符合法律规范的方式，全面检测计算机软硬件系统，查找、存储、保护、分析其与计算机犯罪相关的证据，并能为法庭接受的、有足够可信度的电子证据。计算机取证的目的是找出入侵者，并解释或重现完整入侵过程。

一、计算机取证的特点

和传统证据一样，电子证据也必须是可信的、准确的、完整的以及令人信服并符合法律规范的，除此之外，电子证据还有如下特点：

1.数字性。电子证据与传统的物证不同，它是无法通过肉眼直接看见的，必须结合一定的工具。从根本上讲，电子证据的载体都是电子元器件，电子证据本身只是按照特殊顺序组合出来的二进制信息串。

2.脆弱性。计算机数据每时每刻都可能发生改变，系统在运行过程中，数据是不断被刷新和重写的，特别是如果犯罪嫌疑人具备一定的计算机水平，对计算机的使用痕迹进行不可还原的、破坏性操作后，现场是很难被重现的。另外取证人员在收集电子证据过程中，难免会进行打开文件和程序等操作，而这些操作很可能就会对现场造成原生破坏。

3.多态性。电子证据的多态性是指电子证据可以以多种形态表现，它既可以是打印机缓冲区中的数据，也可以是各种计算机存储介质上的声音、视频、图像和文字，还可以是网络交换和传输设备中的历史记录等等，这些不同形态都可能成为被提交的证据类型。法庭在采纳证据时，不仅要考虑该电子证据的生成过程、采集过程是否可靠，还要保证电子证据未被伪造篡改、替换剪辑过。

4.人机交互性。计算机是通过人来操作的，单靠电子证据本身可能无法还原整个犯罪过程，必须结合人的操作才能形成一个完整的记录，在收集证据、还原现场的过程中，要结合人的 思维方式 、行为习惯来通盘考虑，有可能达到事半功倍的效果。

二、计算机取证的原则和步骤

(一)计算机取证的主要原则

1.及时性原则。必须尽快收集电子证据，保证其没有受到任何破坏，要求证据的获取具有一定的时效性。

2.确保“证据链”的完整性。也称为证据保全，即在证据被正式提交法庭时，必须能够说明证据从最初的获取状态到法庭上出现的状态之间的任何变化，包括证据的移交、保管、拆封、装卸等过程。

3.保全性原则。在允许、可行的情况下，计算机证据最好制作两个以上的拷贝，而原始证据必须专门负责，所存放的位置必须远离强磁、强腐蚀、高温、高压、灰尘、潮湿等恶劣环境，以防止证据被破坏。

4.全程可控原则。整个检查取证的过程都必须受到监督，在证据的移交、保管、拆封和装卸过程中，必须由两人或两人以上共同完成，每一环节都要保证其真实性和不间断性，防止证据被蓄意破坏。

(二)计算机取证的主要步骤

1.现场勘查

勘查主要是要获取物理证据。首先要保护计算机系统，如果发现目标计算机仍在进行网络连接，应该立即断开网络，避免数据被远程破坏。如果目标计算机仍处在开机状态，切不可立即将其电源断开，保持工作状态反而有利于证据的获取，比如在内存缓冲区中可能残留了部分数据，这些数据往往是犯罪分子最后遗漏的重要证据。如果需要拆卸或移动设备，必须进行拍照存档，以方便日后对犯罪现场进行还原。

2.获取电子证据

包括静态数据获取和动态数据获取。静态数据包括现存的正常文件、已经删除的文件、隐藏文件以及加密文件等，应最大程度的系统或应用程序使用的临时文件或隐藏文件。动态数据包括计算机寄存器、Cache缓存、路由器表、任务进程、网络连接及其端口等，动态数据的采集必须迅速和谨慎，一不小心就可能被新的操作和文件覆盖替换掉。

3.保护证据完整和原始性

取证过程中应注重采取保护证据的措施，应对提取的各种资料进行复制备份，对提取到的物理设备，如光盘硬盘等存储设备、路由器交换机等网络设备、打印机等外围设备，在移动和拆卸过程中必须由专人拍照摄像，再进行封存。对于提取到的电子信息，应当采用MD5、SHA等Hash算法对其进行散列等方式进行完整性保护和校验。上述任何操作都必须由两人以上同时在场并签字确认。

4.结果分析和提交

这是计算机取证的关键和核心。打印对目标计算机系统的全面分析结果，包括所有的相关文件列表和发现的文件数据，然后给出分析结论，具体包括：系统的整体情况，发现的文件结构、数据、作者的信息以及在调查中发现的其他可疑信息等。在做好各种标记和记录后，以证据的形式并按照合法的程序正式提交给司法机关。

三、计算机取证相关技术

计算机取证涉及到的技术非常广泛，几乎涵盖信息安全的各个领域，从证据的获取来源上讲，计算机取证技术可大致分为基于单机和设备的计算机取证技术、基于网络的计算机取证技术两类。

(一)基于单机和设备的取证技术

1.数据恢复技术

数据恢复技术主要是用于将用户删除或格式化的磁盘擦除的电子证据恢复出来。对于删除操作来说，它只是将文件相应的存放位置做了标记，其文件所占的磁盘空间信息在没有新的文件重新写入时仍然存在，普通用户看起来已经没有了，但实际上通过恢复文件标记可以进行数据恢复。对于格式化操作来讲，它只是将文件系统的各种表进行了初始化，并未对数据本身进行实际操作，通过重建分区表和引导信息，是可以恢复已经删除的数据的。实验表明，技术人员可以借助数据恢复工具，把已经覆盖过7次的数据重新还原出来。

2.加密解密技术

通常犯罪分子会将相关证据进行加密处理，对取证人员来讲，必须把加密过的数据进行解密，才能使原始信息成为有效的电子证据。计算机取证中使用的密码破解技术和方法主要有：密码分析技术、密码破解技术、口令搜索、口令提取及口令恢复技术。

3.数据过滤和数据挖掘技术

计算机取证得到的数据，可能是文本、图片、音频或者视频，这些类型的文件都可能隐藏着犯罪信息，犯罪分子可以用隐写的方法把信息嵌入到这些类型的文件中。若果犯罪分子同时结合加密技术对信息进行处理，然后再嵌入到文件中，那么想要还原出原始信息将变得非常困难，这就需要开发出更优秀的数据挖掘工具，才能正确过滤出所需的电子证据。

(二)基于网络的取证技术

基于网络的取证技术就是利用网络跟踪定位犯罪分子或通过网络通信的数据信息资料获取证据的技术，具体包括以下几种技术：

1.IP地址和MAC地址获取和识别技术

利用ping命令，向目标主机发送请求并监听ICMP应答，这样可以判断目标主机是否在线，然后再用其他高级命令来继续深入检查。也可以借助IP扫描工具来获取IP，或者利用DNS的逆向查询方法获取IP地址，也可以通过互联网服务提供商ISP的支持来获取IP。

MAC地址属于硬件层面，IP地址和MAC的转化是通过查找地址解析协议ARP表来实现的，当然，MAC跟IP地址一样，也可能被修改，如此前一度横行的“ARP欺骗”木马，就是通过修改IP地址或MAC来达到其目的的。

2.网络IO系统取证技术

也就是网络输入输出系统，使用netstat命令来跟踪嫌疑人，该命令可以获取嫌疑人计算机所在的域名和MAC地址。最具代表性的是入侵检测技术IDS，IDS又分为检测特定事件的和检测模式变化的，它对取证最大帮助是它可以提供日志或记录功能，可以被用来监视和记录犯罪行为。

3.电子邮件取证技术

电子邮件使用简单的应用协议和文本存储转发，头信息包含了发送者和接受者之间的路径，可以通过分析头路径来获取证据，其关键在于必须了解电子邮件协议中的邮件信息的存储位置。对于POP3协议，我们必须访问工作站才能获取头信息;而基于HTTP协议发送的邮件，一般存储在邮件服务器上;而微软操作系统自带的邮件服务通常采用SMTP协议。对于采用SMTP协议的邮件头信息，黑客往往能轻易在其中插入任何信息，包括伪造的源地址和目标地址。跟踪邮件的主要方法是请求ISP的帮助或使用专用的如NetScanTools之类的工具。

4.蜜罐网络取证技术

蜜罐是指虚假的敏感数据，可以是一个网络、一台计算机或者一项后台服务，也可以虚假口令和数据库等。蜜罐网络则是由若干个能收集和交换信息的蜜罐组成的网络体系，研究人员借助数据控制、数据捕获和数据采集等操作，对诱捕到蜜罐网络中的攻击行为进行控制和分析。蜜罐网络的关键技术包括网络欺骗、攻击捕获、数据控制、攻击分析与特征提取、预警防御技术。目前应用较多是主动蜜罐系统，它可以根据入侵者的攻击目的提供相应的欺骗服务，拖延入侵者在蜜罐中的时间，从而获取更多的信息，并采取有针对性的措施，保证系统的安全性。

参考文献：

[1]卢细英.浅析计算机取证技术[J],福建电脑,2008(3).

[2]刘凌.浅谈计算机静态取证与计算机动态取证[J],计算机与现代化,2009(6).

看了“计算机取证技术论文”的人还看：

1. 计算机犯罪及取征技术的研究论文

2. 安卓手机取证技术论文

3. 计算机安全毕业论文

4. 计算机安全论文

5. 计算机安全论文范文