Предисловие
Благодарности
Введение
Поле битвы

ПРОЕКТ HONEYNET
СИСТЕМА HONEYPOT
СЕТЬ HONEYNET
Назначение Honeynet
Система Honeypot в сети Honeynet
РЕЗЮМЕ

Как работает Honeynet
КОНТРОЛЬ ДАННЫХ
ЗАПИСЬ ДАННЫХ
Уровень контроля доступа
Сетевой уровень
Системный уровень
Автономный уровень
СОЦИОТЕХНИКА
Риск
РЕЗЮМЕ

Создание сети Honeynet
ОБЩАЯ АРХИТЕКТУРА
КОНТРОЛЬ ДАННЫХ
ЗАПИСЬ ДАННЫХ
ПОДДЕРЖАНИЕ HONEYNET И РЕАГИРОВАНИЕ НА АТАКИ
РЕЗЮМЕ

АНАЛИЗ
Анализ данных
РЕГИСТРАЦИОННЫЕ ЖУРНАЛЫ БРАНДМАУЭРА
АНАЛИЗ IDS
СИСТЕМНЫЕ ЖУРНАЛЫ
РЕЗЮМЕ

Анализ взломанной системы
НАПАДЕНИЕ
АНАЛИЗ
Взлом
ПОЛУЧЕНИЕ ДОСТУПА
ВОЗВРАЩЕНИЕ
РЕЗУЛЬТАТЫ АНАЛИЗА
РЕЗЮМЕ

Продвинутый анализ данных
ПАССИВНАЯ ДАКТИЛОСКОПИЯ
Сигнатуры
Пример ICMP
СИСТЕМНОЕ ВСКРЫТИЕ
РЕЗЮМЕ

Практика системного вскрытия
ОБРАЗЫ
ИНСТРУМЕНТЫ THE CORONER'S TOOLKIT
ВРЕМЯ MAC
УДАЛЕННЫЕ СТРУКТУРЫ INODE
ВОССТАНОВЛЕНИЕ ДАННЫХ
РЕЗЮМЕ

УГРОЗА
ТАКТИКА
ИНСТРУМЕНТЫ
Мотивы
МЕНЯЮЩИЕСЯ ТЕНДЕНЦИИ
РЕЗЮМЕ

Червяки на войне
УСТАНОВКА
ПЕРВЫЙ ЧЕРВЯК
ВТОРОЙ ЧЕРВЯК
НА СЛЕДУЮЩИЙ ДЕНЬ
РЕЗЮМЕ

Своими собственными словами
Взлом

Наша ссылка ;)


адресная папка краст
Кухни: кухни дизайн


ОБРАЗЫ

Мы будем рассматривать образы honeypot с системой Red Had 6.2 Linux, которая была взломана 7 ноября 2000 года путем нападения на rpc.statd. 8 ноября 2000 года образы взломанной honeypot были восстановлены, как это описано в предыдущей главе, а затем установлены в раздел /mnt доверенной системы Linux для дальнейшего анализа. После этого образы взломанной honeypot выглядели в доверяемой системе так, как показано далее. Обратите внимание на то, что swap не установлен. Swap это не действительная файловая система, и потому читается и анализируется отдельно, как массив данных. /forensics/images/honeypot.hda8.dd on /mnt type ext2 (ro, noexec,nodev, loop=/dev/loopO)
/forensics/images/honeypot.hdai.dd on /mnt/boot type ext2 (ro, noexec,nodev, Ioop=/dev/loop1) /forensics/images/honeypot.hda6.dd on /mnt/home type ext2 (ro, noexec,nodev, Ioop=/dev/loop2) /forensics/images/honeypot.hda5.dd on /mnt/usr type ext2 (ro, noexec, nodev, Ioop=/dev/loop3) /forensics/images/honeypot.hda7.dd on /mnt/var type ext2 (ro, noexec,nodev, Ioop=/dev/loop4)

После установки в режиме только для чтения образы были готовы к анализу.
Copyright (ЦЕ) Addison-Wesley