Предисловие
Благодарности
Введение
Поле битвы

ПРОЕКТ HONEYNET
СИСТЕМА HONEYPOT
СЕТЬ HONEYNET
Назначение Honeynet
Система Honeypot в сети Honeynet
РЕЗЮМЕ

Как работает Honeynet
КОНТРОЛЬ ДАННЫХ
ЗАПИСЬ ДАННЫХ
Уровень контроля доступа
Сетевой уровень
Системный уровень
Автономный уровень
СОЦИОТЕХНИКА
Риск
РЕЗЮМЕ

Создание сети Honeynet
ОБЩАЯ АРХИТЕКТУРА
КОНТРОЛЬ ДАННЫХ
ЗАПИСЬ ДАННЫХ
ПОДДЕРЖАНИЕ HONEYNET И РЕАГИРОВАНИЕ НА АТАКИ
РЕЗЮМЕ

АНАЛИЗ
Анализ данных
РЕГИСТРАЦИОННЫЕ ЖУРНАЛЫ БРАНДМАУЭРА
АНАЛИЗ IDS
СИСТЕМНЫЕ ЖУРНАЛЫ
РЕЗЮМЕ

Анализ взломанной системы
НАПАДЕНИЕ
АНАЛИЗ
Взлом
ПОЛУЧЕНИЕ ДОСТУПА
ВОЗВРАЩЕНИЕ
РЕЗУЛЬТАТЫ АНАЛИЗА
РЕЗЮМЕ

Продвинутый анализ данных
ПАССИВНАЯ ДАКТИЛОСКОПИЯ
Сигнатуры
Пример ICMP
СИСТЕМНОЕ ВСКРЫТИЕ
РЕЗЮМЕ

Практика системного вскрытия
ОБРАЗЫ
ИНСТРУМЕНТЫ THE CORONER'S TOOLKIT
ВРЕМЯ MAC
УДАЛЕННЫЕ СТРУКТУРЫ INODE
ВОССТАНОВЛЕНИЕ ДАННЫХ
РЕЗЮМЕ

УГРОЗА
ТАКТИКА
ИНСТРУМЕНТЫ
Мотивы
МЕНЯЮЩИЕСЯ ТЕНДЕНЦИИ
РЕЗЮМЕ

Червяки на войне
УСТАНОВКА
ПЕРВЫЙ ЧЕРВЯК
ВТОРОЙ ЧЕРВЯК
НА СЛЕДУЮЩИЙ ДЕНЬ
РЕЗЮМЕ

Своими собственными словами
Взлом

Наша ссылка ;)


как установить игру на psp в формате iso


НАПАДЕНИЕ

26 апреля 2000 года в 6:43 Snort предупредила нас, что одна из систем honeypot была атакована при помощи команды NOP (no operation) - это указывало на атаку путем переполнения буфера, направленную на порт 53. В этом случае Snort определила начало атаки и сделала предупреждающую запись в файл /var/log/messages, который постоянно просматривается при помощи Swatch. (Внимание! В этой главе IP-адрес 172.16.1.107 принадлежит honeypot. Все остальные системы - это IP-адреса, используемые взломщиками.)

Apr 26 06:43:05 ids snort[6283]: IDS181/nops-x86: 63.22.84.13:1351 ->. 172.16.1.107:53


Honeypot ежедневно подвергается многочисленному зондированию, сканированию, получает постоянные запросы, но такое предупреждение, как это, немедленно привлекло наше внимание, поскольку оно указывало на то, что система, скорее всего, взломана. И действительно, меньше чем через две минуты мы получили по электронной почте сообщение о том, что система 213.28.22.189 обратилась к взломанному ресурсу с запросом об установлении соединения TELNET. Зто соединение подтверждено системным журналом honeypot. Сначала мы видим предупреждение брандмауэра:

Date: Wed, 26 Apr 2000 06:44:25 -0600 (CST)
From: ids@honeynet.org
To: admin@honeynet.org
Subject: - - - Firewall Scan Alert - - -
Вы получили это сообщение, потому что кто-то, возможно, сканирует вашу систему. Ниже приводится пакет, зарегистрированный брандмауэром. Это первое из пяти электронных предупреждений от 213.28.22.189, CRITICAL INFORMATION
Date: 26Apr2000 Time: 06:44:25 Source: 213.28.22.189 Destination: victim7-ext Service: telnet ACTUAL FW-1 LOG ENTRY
26Apr2000 06:44:25 accept firewall >qfe1 usealert proto tcp 213.28.22.189 dst victim7-ext service telnet s_port 1818 len 44 rule 12 xlatesrc 213.28.22.189 xlatedst victim7-int xlatesport 1818 xlatedport telnet

Затем в системном журнале подтверждается установление соединения TELNET. Обратите внимание на то, как системный журнал фиксирует учетные записи пользователя, и на тот факт, что взломщик получает привилегии администратора.

Apr 26 06:44:25 victim7 PAM_pwdb [12509] (login) session opened for user twin by (uid=O)
Apr 26 06:44:36 victim7 PAM_pwdb [12521]: (su) session opened for user hantu by twin(uid=506)

Наш взломщик получил доступ привилегированного пользователя и теперь может управлять системой. Как он смог это сделать? Что случилось? Что взломщик делал после того, как получил этот доступ? По каким причинам он решил атаковать систему?
Copyright (ЦЕ) Addison-Wesley