Kfsensor IDS+HONEYPOT高级配置

KFSENSOR的优点:

1)准确性比较强,防火墙与其他的IDS常常会被一些“合法”了的网络通信所“迷惑”,从而被RULE所“曲解”,而KFSENSOR是不会分辨所有的连接中谁是合法,谁是不合法的。

2)低成本,KFSENSOR会在被攻击时以假睡眠方式来“欺骗”攻击者,并且只使用了极少的处理时间与网络资源。 它安装在用户的计算机时是不会影响其他程序的正常进行的,并且不需要其他附加的硬件。

3)使用简便。当你使用了KFSENSOR时就会很快得发现到这一点了。它的配置与操作到是以直线的“方向”进行的, 这只需要你看看说明,修改一下就可以正常使用了。

4)实时探测功能。只要在运行此程序,报告攻击与分析结果都会在很短的时间里完成。

5)探测未知的数据攻击,KFSENSOR不像其他的产品,它是不会依靠已知的攻击类型数据去探测的,它可以动态得探测其他新型的攻击。

6)安全的“渗透性”。KFSENSOR可以补足其他安全产品的不足,并提供附加层次的安全性。

7)只要一个管理员就通过配置监视与管理整个组织的HONEYPOT监视器了。

实验环境:PWIN2000PRO+KFSENSOR VER 1.1.0

工具栏:(启动工具栏:“VIEW”---》“TOOLBAR”)

工具栏第一项为(红色的小喇叭)为PORTS显示(端口显示)。

第二项为“客人”模式显示。

第三项是启动HONEYPOT,

第四项是 停止HONEYPOT,最后一项为重启HONEYPOT。

任务栏: 任务栏有4个菜单,分别是“FILE”“VIEW”“Scenario”“HELP”。

“FILE”:
FILE”栏第一项为“导出”,其中分为“EVENT LIST”(“导出事件列表”)与“SELECT EVENT”(“导出选定的事件”)。 “导出事件列表”是当HONEYPOT系统真的有了入侵事件存在时才能被击活的(就是说真的有人对你做出入侵行为时),此操作会导出所有的事件。 “选定事件”需要在点击了右窗口显示出来的某个事件才能击活,导出后的文件只会记录你选择的那个事件的详细内容。 以上两种导出都是以XML文本的方式保存的,你可以使用ASCII编辑器(记事本等)或其他可以打开XML文本的工具打开来查看。 下一项是“SERVICE”(“服务”),头三个子项与工具栏的倒数三项用法是一样的。最后那两项是方便我们使用而设计的,分别是“把KFS注册为SYSTEM的一种服务”与“卸除这种服务”。 最后两项系“CLOSE”(“关闭”)与“EXIT”(“退出”)(PS:两个不是一样吗???) 这两项是不一样的,“CLOSE”会关闭桌面的程序界面,但程序依然进行。“EXIT”就是‘真的’退出此程序了。
“VIEW”中的第一项为"Event Details...",此项需要先点击选定右窗口的某个‘事件’才能被击活的。其实它的操作与双击右窗口的某个‘事件’的功能是一样的,是用来了解某个事件的入侵情况的。

如上图。

EVENT版块:

start time-------------行为开始时间

end time--------------行为停止时间

event ID---------------事件ID

TYPE------------------连接方式

DISCSRIPTION---事件详细描述

SERVERITY-------事件激烈程度

VISITOR版块:

IP----------------------入侵者IP

PORT----------------入侵者使用的端口

DOMAIN------------入侵者机器名

SENSOR版块:

IP---------------------探测器使用者IP

PORT---------------探测器被入侵端口

BOUND------------探测器所绑定的IP

PROTOCOL-----协议类型

ACTION-----------探测器对此事件所做出的行为

SIM SERVER--简明(预设置)的SERVER BANNER

DETAILS版块:

CLOSED BY------最后是由哪一方关闭此次连接的

Limit Exceeded---超出流量描述

RECEIVED---------从入侵者发出,由探测器接收到的数据

RESPONSE-------从探测器发出,由入侵者接收到的数据

“EXPAND”按钮------------展开(展开后可以选择多种显示格式,在‘FORMAT’栏上可以选择)

“NEXT”按钮-----------------下一个ID的事件详细情况

“PREVIOUS”按钮--------前一个ID的事件详细情况

接下来是介绍“VIEW”下的“PORTS”与“VISITORS”显示模式。

“PORTS”与“VISITORS”分别是指工具栏的那两种显示方式。 “PORTS”模式比较直观,大概就与其他的防火墙在模式上差不多吧。 “VISITORS”模式在左边的窗口会记录下入侵者的机器名与IP,单击选定后会在右边的窗口显示他对本机的行为与本机对他的反应等。

选择“LOAD EVENT...”可以选择读取某段时间内的事件。

“HIDE EVENT”为隐藏事件,向右的菜单有特定的条件供你选择。

“NEWEST EVENTS FIRST”与“OLDEST EVENTS FIRST”表示选择右边事件窗口中的事件排序是以最新事件发生的时间排序还是以最旧的事件发生的时间排序。

“ADD/REMOVE COLUMNS...”为一个专门管理右窗口的显示项目的菜单,它可以增加/减少右窗口中的项目,还可以移动他们之间的位置。 不会的话,可以“RESTORE DEFAULTS”啊:)

“CUSTOMIZE...”为KFSENSOR的主要功能选定。(其实这个基本上保持原设置就可以了。)

“TOOLBAR”与“STATUS BAR”分别代表工具栏与状态栏的显示与隐藏。

“Scenario”:(这里Scenario的中文意思与我们这里使用不大匹配,所以我把它翻译成‘任务’)

“SWITCH Scenario...”----------转换‘任务’

“EDIT Scenario...”----------------编辑‘任务’(这个工具这一栏是最重要的,你可以在这里用“ADD”增加,“EDIT”编辑,“DELETE”删除,“COPY”复制) 选定‘任务’后按“EDIT”可以进入选定‘任务’的主菜单。

上图所示,“CHANGE ALL...”可以一次修改所有选项的属性,“ACTIVE”可以修改选定项的ACTIVE属性,“ADD”为增加选项,“DELETE”为删除选定的选项,“EDIT”为编辑选定的选项。

"EDIT SIM SERVER..."----------------简明的SERVER BANNER设置
上图所示,也是有“ADD”“DELETE”等,最主要的还是“EDIT”,选定后按“EDIT”可以编辑很多重要的东西(自己尝试一下吧:P)
"DOS attack Settings..."------------防御D.o.S攻击的策略

上图所示,“LIMITS”版块包括“MAX CLIENTS”(“最大客户端数”),“MAX RECEIVE SIZE(BYTES)”(最大接受数据大小‘以字节为单位’),“MAX RECEIVE LOG SIZE(BYTES)”(最大接受日志大小‘以字节为单位’),"Visitor DOS Attack Limits"版块包括“MAX concurrent CONNECTIONS PER IP"(“某一个IP在同一时间内可以允许的最大连接数”),“MAX CONNECTIONS PER IP”(“某一个IP可以允许的最大连接数”),“LOCK OUT FOR(MINUTES)”(当上两项被超过时,KFSENSOR会自动将攻击者的IP锁定在一个时间内,在这个时间内如果此IP没有再向本机发送连接请求的话它就可以得到‘允许’连接的请求了,相反则被本机拒绝接受,此项就为此时间的长短选项,以分钟为单位),“Global DOS Attack Limit”版块包括“Max TCP Connections”(“允许连接的最大TCP数量”),“Max UDP Connections”(“允许连接的最大UDP数量”),“Reset Lock Up After (Hours)”(“LOCK UP后的重新调整时间”)。注:“Global DOS Attack Limit”版块中的选项是为了应付DDOS的,所以要慎重选择。

"EMAIL Alerts..."-------------------通过EMAIL发出警报的设置

"SET UP WIZARDS..."-----------------策略建立向导 此为第一次启动时的“策略建立向导”,可以帮你快捷的运用这个工具。

介绍一下KFSENSOR的帮助吧,关于KFSENSOR的帮助目录树分为三个部分:

1)KFSENSOR的介绍,包括介绍,未来的版本与版权。

2)KFSENSOR的“观念”: 观念的总体看法 KFSENSOR的优点 KFSENSOR是如何工作的 KFSENSOR的术语 KFSENSOR如何与其他安全产品相配合 展开KFSENSOR 攻击的类型 行为解析(这篇不错) 测试KFSENSOR的方法与途径

3)KFSENSOR手册

SOME TIPS:

此程序默认使用的所有文本都为XML文本。

启动后会在HONEYPOT机上生成一个环型连接,连接两端分别为kfsensmonitor.exe与kfsnserv.exe两个进程调用。

此工具最好是配合ACTIVE PORTS一齐使用。 (简单介绍一下ACTIVE PORTS吧,其实它就是FPORT.EXE的GUI版本,而且还有针对某端口所开进程的强行杀死功能。) 使用ACTIVE PORTS配合KFSENSOR的方法是:第一,可以有效的发现有什么在企图连接你的主机,连接了你的什么端口等。第二,好象TCP139等很难直接用OS删除的端口可以先使用ACTIVE PORTS将此端口的使用者进程强行杀死,然后用KFSENSOR监听。

在此工具的根目录下有一个名曰“CONF”的子目录,进去后会发现一个名字为"KFSensor"的XML文本文件,使用ASCII编辑器(记事本等)打开后,可以发现里面的‘内部结构’了,其实此文本为KFSENSOR启动时的默认配置,如:

1<active>TRUE</active>
1<port>9747</port>
1<bindaddress>127.0.0.1</bindaddress>

就是指:

KFSENSOR默认启动时为ACTIVE状态

默认主进程使用端口为9747

默认绑定IP为127.0.0.1

还有很多很多.......下面是有关的详细说明:

 1<kfconfiguration created="xxx" lastsave="xxx">\--------此工具建立与最后保存了的时间 
 2
 3<activescenareio>\------------------默认主‘任务’(在‘任务’切换栏可以修改) 
 4
 5<dnscachetime>\-----------------DNS缓存时间 
 6
 7<lockoutipminutes>\-------------LOCKOUT IP所用的时间(此为默认值,在防DOS栏可以修改) 
 8
 9<logbyemail>\---------设置EMAIL入侵报告(如果其值为FALSE,其以下子值全部空) 
10
11<loglevel>\----------日志‘等级’(有几项选择:EMERG‘暴露’ALERT‘警告’CRIT‘标准’ERR‘错误’WARNING‘警告’NOTICE‘注意’INFO‘信息’DEBUG‘调试’ 
12
13<maxclients>\--------最大客户端值(可在防DOS栏修改) 
14
15<maxconcurrentconnectionsperip>\--------------某一个IP在同一时间内可以允许的最大连接数(可在防DOS栏修改) 
16
17<maxconnectionsperip>\-------------------某一个IP可以允许的最大连接数(可在防DOS栏修改) 
18
19<maxreceivelogsize>\--------------------最大接受日志大小‘以字节为单位’(可在防DOS栏修改) 
20
21<maxreceivesize>\-----------------------最大接受数据大小‘以字节为单位’(可在防DOS栏修改) 
22
23<maxtcpconnections>\--------------------允许连接的最大TCP数量(可在防DOS栏修改) 
24
25<maxudpconnections>\--------------------允许连接的最大UDP数量(可在防DOS栏修改) 
26
27<resetlockupafterhours>\----------------LOCK UP后的重新调整时间‘以时间为单位’(可在防DOS栏修改) 
28
29<sensormonitor>与</sensormonitor>之间的为主设置区。不过比较简单,就是我先前举的例子: 
30
31<active>\---------程序活动状态 
32
33<port>\----------主程序端口 
34
35<bindaddress>\----主程序绑定端口 
36
37<localmachineonly>\----限制于本地主机(此为默认值就可以了) 
38
39<allowcontrol>\--------允许监控(此为默认值就可以了) 
40
41在<sensormonitor>后还有两项: 
42
43<tcprcvbufsize>\--------------TCP允许接收的缓冲器大小 
44
45<tcpsndbufsize>\--------------TCP允许发出的缓冲器大小 
46
47在此以后的文本结构分别为每一个‘任务’的主体部分(可以在“Scenario"-&gt;&gt;“EDIT Scenario...”中修改)与简单BANNER内容设置部分(可以在“Scenario"-&gt;&gt;"EDIT SIM SERVER..."中修改)。 
48
49注意:以上的全为此IDS启动后的默认值,只要你使用ASCII编辑工具修改后并保存,再重新启动KFSENSOR,它就可以按你修改后的配置运行了。</tcpsndbufsize></tcprcvbufsize></sensormonitor></allowcontrol></localmachineonly></bindaddress></port></active></resetlockupafterhours></maxudpconnections></maxtcpconnections></maxreceivesize></maxreceivelogsize></maxconnectionsperip></maxconcurrentconnectionsperip></maxclients></loglevel></logbyemail></lockoutipminutes></dnscachetime></activescenareio></kfconfiguration>
Published At
Categories with 网络技术
Tagged with
comments powered by Disqus