Предисловие
Благодарности
Введение
Поле битвы

ПРОЕКТ HONEYNET
СИСТЕМА HONEYPOT
СЕТЬ HONEYNET
Назначение Honeynet
Система Honeypot в сети Honeynet
РЕЗЮМЕ

Как работает Honeynet
КОНТРОЛЬ ДАННЫХ
ЗАПИСЬ ДАННЫХ
Уровень контроля доступа
Сетевой уровень
Системный уровень
Автономный уровень
СОЦИОТЕХНИКА
Риск
РЕЗЮМЕ

Создание сети Honeynet
ОБЩАЯ АРХИТЕКТУРА
КОНТРОЛЬ ДАННЫХ
ЗАПИСЬ ДАННЫХ
ПОДДЕРЖАНИЕ HONEYNET И РЕАГИРОВАНИЕ НА АТАКИ
РЕЗЮМЕ

АНАЛИЗ
Анализ данных
РЕГИСТРАЦИОННЫЕ ЖУРНАЛЫ БРАНДМАУЭРА
АНАЛИЗ IDS
СИСТЕМНЫЕ ЖУРНАЛЫ
РЕЗЮМЕ

Анализ взломанной системы
НАПАДЕНИЕ
АНАЛИЗ
Взлом
ПОЛУЧЕНИЕ ДОСТУПА
ВОЗВРАЩЕНИЕ
РЕЗУЛЬТАТЫ АНАЛИЗА
РЕЗЮМЕ

Продвинутый анализ данных
ПАССИВНАЯ ДАКТИЛОСКОПИЯ
Сигнатуры
Пример ICMP
СИСТЕМНОЕ ВСКРЫТИЕ
РЕЗЮМЕ

Практика системного вскрытия
ОБРАЗЫ
ИНСТРУМЕНТЫ THE CORONER'S TOOLKIT
ВРЕМЯ MAC
УДАЛЕННЫЕ СТРУКТУРЫ INODE
ВОССТАНОВЛЕНИЕ ДАННЫХ
РЕЗЮМЕ

УГРОЗА
ТАКТИКА
ИНСТРУМЕНТЫ
Мотивы
МЕНЯЮЩИЕСЯ ТЕНДЕНЦИИ
РЕЗЮМЕ

Червяки на войне
УСТАНОВКА
ПЕРВЫЙ ЧЕРВЯК
ВТОРОЙ ЧЕРВЯК
НА СЛЕДУЮЩИЙ ДЕНЬ
РЕЗЮМЕ

Своими собственными словами
Взлом

Наша ссылка ;)


модель интимной прически роспись маникюра
продажа металлопроката


АНАЛИЗ

В браке, как и на войне, разрешается пользоваться всеми слабостями противника.
Неизвестный

Сети Honeynet очень эффективно сдерживают и записывают действия взломщиков. Однако реальные возможности Honeynet останутся нереализованными до тех пор, пока эти данные не превратятся в полезную информацию. Должен быть разработан процесс записи данных и их преобразования в инструменты для изучения тактики и мотивов взломщиков. Этот процесс называется анализом данных. Конечно, существует автоматический способ анализа. Однако мы автоматизировали уже много процессов для того, чтобы наиболее эффективно собрать самую важную информацию. Несмотря на это кто-то все-таки должен обработать все свидетельства и получить целостную картину. Мы обнаружили, что подробный анализ представляет собой самую трудную и самую захватывающую часть проекта Honeynet, но он также требует и больше времени.

На протяжении последних нескольких лет мы многое узнали о сообществе взломщиков и о нас самих. Но самое важное, что мы выяснили, - ни один человек в одиночку не может знать все ответы на вопросы, возникающие в процессе анализа данных. Существует слишком большой объем информации, для анализа которой нужны разнообразные знания и навыки. Именно поэтому наша группа состоит из 30 человек. Каждый участник проекта обладает уникальным опытом, который используется при анализе собранных данных, например: одни члены группы обладают глубокими знаниями в таких областях, как нападения со взломами, rootkits1 и узловые модули, дешифрование сетевого трафика; другие - знают в совершенстве различные операционные системы, такие как Solaris, Linux или NT. Для того чтобы добиться успеха, мы обмениваемся полученной информацией и знаниями.

В следующих четырех главах описываются самые эффективные способы и технические приемы, которые мы обнаружили за несколько лет. Как нам удалось выяснить, эти способы лучше всего раскрывают инструменты, тактику и мотивы взломщиков на основании собранных ранее данных. В главе 5 анализируются данные, собранные при нескольких нападениях на операционные системы Linux и NT. В главе 6 представлен поэтапный анализ варварского взлома honeypot. В главе 7 рассматриваются более продвинутые методы анализа данных. В главе 8 обсуждаются вопросы анализа восстановленных данных.
Copyright (ЦЕ) Addison-Wesley