防蹭: 搭建wifi 无线蜜罐 监控非法无线用户

vodka

http://forum.anywlan.com/thread-24749-1-1.html


http://www.antidu.cn/html/200903/miguan-13537.html



众所周知无线网络在带来灵活接入的同时安全问题一直以来都是其软肋，企业无线网络或者家庭无线网络都很容易吸引外来“观光者”，一方面WEP，WPA等加密措施的纷纷被猜想密码使得无线加密形同虚设，另一方面无线网络的自动寻网自动连接也让很多“非有意者”连接到你的无线网络中。那么我们该如何防范针对无线网络的攻击和进入呢?我们是否能够通过必要的措施对进入者进行反击呢?今天就请各位读者跟随笔者一起反客为主搭建无线进入蜜罐，让进入者露出本来面目。
一，什么是无线进入蜜罐：
首先我们需要明确什么是蜜罐，在网络管理和网络安全领域存在一个定义——蜜罐，蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。说白了蜜罐就是一个假冒的系统，吸引进入者进入，然后对其进行诱捕。通过一个实际存在的具备漏洞的系统来针对进入者反捕获，从而对其进行快速定位。

而对于无线进入蜜罐来说工作原理是一样的，只不过他是一个具备进入漏洞的无线网络，吸引进入者进入然后对其进行诱捕，从而定位其网络参数将进入者基本信息进行收集，最终更好的对其进行防范。例如通过MAC地址过滤，IP地址封锁等方式将存在进入可能的主机禁用，取消其连接无线网络的权限。
二，如何搭建无线进入蜜罐系统：
那么对于普通用户和企业网络者来说如何搭建无线进入蜜罐系统呢?蜜罐系统的搭建需要有两个因素，我们分别进行讲解。
第一是建立存在漏洞的无线网络，我们可以根据需要选择广播SSID网络ID，使用简单KEY方式进行WEP加密等。所有设置都通过无线路由器来完成，通过无线参数设置界面开启无线网络及相关参数。(如图1)
http://www.antidu.cn/html/200903/miguan-13537.html
开启具备漏洞的无线网络后我们可以通过无线扫描工具针对该网络进行扫描，确认漏洞存在且稳定运行。(如图2)
http://www.antidu.cn/html/200903/miguan-13537.html

第二要能够针对进入者进行合理监控，一般我们都是通过监控制工具或网络管理程序来完成的，sniffer类工具是不错的选择;如果是企业无线设备并具备镜像端口转发功能的话效果会更好，我们直接通过镜像端口对进入者接入端口或总出口进行sniffer监控即可。所有数据流量将被原封不动的转发到sniffer监控端，这样我们就可以仔细分析进入者的网络流量以及相关数据信息了。
不过对于大部分设备和家庭用户来说拥有具备镜像端口转发功能的无线网络设备很困难，这时我们该如何实现合理监控目的呢?就笔者个人经验来说可以通过HUB来完成，虽然在实际网络应用过程中HUB容易造成广播数据包泛滥以及数据包重复转发，不过这个缺点恰恰可以帮助我们应用到无线进入蜜罐系统的搭建中，通过在无线设备出口连接一台HUB设备，然后HUB一个接口连接上层设备或外网，另一个接口直接连接安装了sniffer软件的监控主机，这样当进入者连接到无线设备后必然会有相关数据包转发到HUB上，由于HUB会复制相当数据到各个端口，所以在另一个接口直接连接安装了sniffer软件的监控主机上就能够查看到相应的网络数据，这些数据都是进入者产生的，从而实现了对进入者进行合理监控的目的。
三，实战搭建无线进入蜜罐系统
下面我们就来通过实战搭建无线进入蜜罐系统，笔者需要的设备是一台笔记本，一个HUB以及一个无线设备(可以是无线路由器)。
小提示：
在实际使用过程中我们要确保能够找到HUB而不是二层交换机，因为只有HUB这个工作于一层的设备才能够帮助我们监控数据，如果是交换机的话在一个接口接收到数据后并不会重复复制到其他接口，我们自然无法顺利监控到数据信息。
第一步：首先进入无线路由器开启SSID广播以及无线网络，当然必要时可以结合WEP加密等方式，为了更好的实现蜜罐性能笔者没有针对该无线网络进行任何加密，任何进入者都可以连接此无线网络。
第二步：接下来等待一段时间后我们进入到无线路由器LAN状态处，查看active clients活动主机，在这里显示的是当前已经连接到无线路由器的主机。我们对比本地网络各个主机IP后可以发现一个名为ZZ的IP是192.168.1.105的主机属于非法进入，他就是我们捕获到的进入者，蜜罐系统吸引对方成功。(如图3)
http://www.antidu.cn/html/200903/miguan-13537.html

第三步：点击active clients下的非法进入者MAC地址我们可以了解其硬件基本信息，该进入者使用的无线网卡是linksys公司的。(如图4)

第四步：连接各个网络设备，首先是将HUB的一个接口与出口设备或上层设备(笔者的是ADSL猫)连接。( 如图5)


第五步：HUB的另外一个接口和无线路由器的WAN接口连接，这样通过无线路由器上网的所有数据都将通过其WAN接口发向HUB。(如图6)

第六步：最后我们将安装了sniffer工具的计算机与HUB的另外一个接口连接，对其进行监控。(如图7)


第七步：确认当前蜜罐系统下连设备可以顺利上网，我们可以通过访问http://www.it168.com确认。(如图8)


第八步：笔者使用的是科来网络公司的网络分析系统充当sniffer工具，通过监控本地网卡来监听HUB通讯。(如图9)

第九步：当然为了更好的接收数据提升监控效果我们可以将监控主机的IP地址进行调整，设置为于进入者获取的IP地址段相同，在一个网段内可以更好的接受广播数据包和组播数据包，从而提升监控效果。(如图10)

第十步：当进入者以为攻击无线网络成功并轻松上网或攻击扫描时在我们的监控段将可以看到其的一举一动，所有数据包都在我们的掌控之中。(如图11)
第十一步：进入者访问的所有网页地址，URL信息我们都可以在监控端一丝不差的看到。(如图12)

第十二步：即使该进入者登录MSN或FTP站点甚至论坛我们都可以轻松查看到帐户信息以及聊天记录内容。(如图13)


四，总结：
通过搭建无线进入蜜罐系统我们可以在最短时间了解到当前网络周围存在的进入者，然后可以通过反侦察的方法找出其所在，即使无法发现他的踪影也可以通过BAN MAC地址，IP地址等方法最大限度的阻止其带来的损害。希望通过本文可以让更多的家庭网络用户以及企业网络管理员打造更加安全更加稳定的无线网络。

http://www.antidu.cn/html/200903/miguan-13537.html
http://www.searchsecurity.com.cn/ShowContent_18120.htm
http://www.ahysw.com.cn/html/200902/22/115050369.htm



see also:
http://forum.anywlan.com/thread-24749-1-1.html

xiaoyun2k

wo wo   看看

wei75

怕怕>>>>>>>>>>>>

vodka

“蜜罐”这一概念最初出现在1990 年出版的一本小说 《The Cuckoo’s Egg》 中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。“蜜网项目组”（The Honeynet Project）的创始人Lance Spitzner给出了对蜜罐的权威定义[1]：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。


蜜罐技术的发展历程可以分为以下三个阶段：

从九十年代初蜜罐概念的提出直到1998 年左右，“蜜罐”还仅仅限于一种思想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。从1998 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工具，如Fred Cohen 所开发的DTK（欺骗工具包）、Niels Provos 开发的Honeyd 等，同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。但是由于虚拟蜜罐工具存在着交互程度低，较容易被黑客识别等问题，从2000 年之后，安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。

蜜罐的分类

蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类，产品型蜜罐的目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署，而且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTraq 等一系列的商业产品。研究型蜜罐则是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行追踪和分析，能够捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法，甚至能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作，具有代表性的工具是“蜜网项目组” 所推出的第二代蜜网技术。蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐，交互度反应了黑客在蜜罐上进行攻击活动的自由度。低交互蜜罐一般仅仅模拟操作系统和网络服务，较容易部署且风险较小，但黑客在低交互蜜罐中能够进行的攻击活动较为有限，因此通过低交互蜜罐能够收集的信息也比较有限，同时由于低交互蜜罐通常是模拟的虚拟蜜罐，或多或少存在着一些容易被黑客所识别的指纹（Fingerprinting）信息。产品型蜜罐一般属于低交互蜜罐。高交互蜜罐则完全提供真实的操作系统和网络服务，没有任何的模拟，从黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子”，因此在高交互蜜罐中，我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时，自然地加大了部署和维护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐，也有部分蜜罐产品，如ManTrap，属于高交互蜜罐。


蜜罐的优缺点

蜜罐技术的优点包括：

􀁺 收集数据的保真度，由于蜜罐不提供任何实际的作用，因此其收集到的数据很少，同时收集到的数据很大可能就是由于黑客攻击造成的，蜜罐不依赖于任何复杂的检测技术等，因此减少了漏报率和误报率。

􀁺 使用蜜罐技术能够收集到新的攻击工具和攻击方法，而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。

􀁺 蜜罐技术不需要强大的资源支持，可以使用一些低成本的设备构建蜜罐，不需要大量的资金投入。

􀁺 相对入侵检测等其他技术，蜜罐技术比较简单，使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。蜜罐技术也存在着一些缺陷，主要有

􀁺 需要较多的时间和精力投入。

􀁺 蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限，不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。

蜜罐技术不能直接防护有漏洞的信息系统。

􀁺 部署蜜罐会带来一定的安全风险。部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为跳板从而对第三方发起攻击。一旦黑客识别出蜜罐后，他将可能通知黑客社团，从而避开蜜罐，甚至他会向蜜罐提供错误和虚假的数据，从而误导安全防护和研究人员。防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹，并使得蜜罐与真实的漏洞主机毫无差异。蜜罐隐藏技术和黑客对蜜罐的识别技术（Anti-Honeypot）之间相当于一个博弈问题，总是在相互竞争中共同发展。另外，蜜罐技术的初衷即是让黑客攻破蜜罐并获得蜜罐的控制权限，并跟踪其攻破蜜罐、在蜜罐潜伏等攻击行为，但我们必须防止黑客利用蜜罐作为跳板对第三方网络发起攻击。为了确保黑客活动不对外构成威胁，必须引入多个层次的数据控制措施，必要的时候需要研究人员的人工干预。

huirui

好帖，做个记号！

LKPN

看完后水平有提高了一点

牛肉罐头

好文，正是我想找的，现在Hub很重要啊 哈哈

gos6563

学习了，增长了知识。

革命

可惜没把图一起转来

langxtx

学习了，不错！

ken20081110

学习了，希望给我ceng的人没有看到这些内容。