تاریخ ایجاد
IRCRE201010050
پروژه بين المللي هانينت يا Honey net Project يك سازمان تحقيقاتي بين المللي و غيرانتفاعي است كه در جهت كمك به بهبود امنيت اينترنت در سال 1999 و توسط Lance Spitzner تأسيس شد.
chapter ها يا زيرمجموعه هاي اين پروژه در سراسر دنيا گسترده شده اند و به طور كلي از با استفاده از راهكارهاي زير اهداف پروژه را محقق مي سازند.
- آگاهي (Awareness): از طريق اين پروژه، آگاهي از تهديدات و آسيب پذيري هايي كه امروزه در اينترنت وجود دارند، افزايش پيدا مي كند. بسياري از افراد و سازمان ها نمي دانند كه هدف حملات هستند و همچنين متوجه نمي شوند كه چه كسي به آنها حمله كرده، چگونه و چرا؟ اين پروژه اطلاعات مذكور را به منظور افزايش آگاهي و در نتيجه، اقدام براي كاهش اين تهديدات فراهم مي كند. معمولاً اين اطلاعات از طريق سري مقالات Know Your Enemy در اختيار عموم قرار مي گيرند.
- اطلاعات (Information): اطلاعات و جزئيات بيشتري در اختيار افرادي كه از اين تهديدات آگاه شده اند قرار مي گيرد تا بهتر بتوانند اقدام به امن سازي منابع خود كنند. به صورت كلي اطلاعات در مورد هكرها به ابزارهاي مورد استفاده آن ها محدود مي شود. اطلاعات بسيار مهم ديگري از قبيل انگيزه آنها در حملات، زمان حملات هكرها به سيستم و فعاليت هاي آنها در زمان نفوذ و بعد از نفوذ به يك سيستم در اين پروژه تهيه مي شود. اين اطلاعات معمولاً از طريق whitepaper هاي Know Your Enemy و challenge هاي Scan of the Month ارائه مي شوند.
- ابزارها (Tools): براي سازمان هايي كه تمايل دارند تحقيقات را در مورد تهديدات سايبري ادامه دهند، ابزارها و تكنيك هايي كه در اين پروژه توسعه يافتهاند، در اختيار آنها قرار مي گيرد. بسياري از اين ابزارها در بخش پروژه هاي سايت هانينت در دسترس هستند. براي مثال ميتوان به CaptureBAT، Google Hack Honey Pot، Honeyd و Tracker اشاره كرد. در ادامه برخي از ابزارهاي مذكور شرح داده خواهند شد.
برخي ابزارهاي ارائه شده در پروژه بين المللي هانينت
- Capture BAT
اين يك ابزار تحليل رفتار برنامه هاي كاربردي طراحي شده براي سيستم عامل هاي خانواده Win 32 است. اين ابزار قادر است وضعيت سيستم را در زمان اجراي يك نرمافزار و پردازش فايل ها نظارت كند كه اين موضوع به تحليلگر حتي در صورت عدم وجود كد منبع، ديدي در مورد چگونگي عملكرد نرمافزار مي دهد. Capture BAT تغييرات وضعيت را در سطح پايين هسته سيستم عامل نظاره مي كند و مي تواند به راحتي در نسخه هاي مختلف سيستم عامل هاي win 32 مورد استفاده قرار گيرد. اين نرمافزار توسط Christian Seifert از زير مجموعه NZ پروژه هانينت، ايجاد شده و نگهداري مي شود. براي دريافت ابزار و كد آن به آدرس هاي زير مراجعه فرماييد:
http://www.mcs.vuw.ac.nz/~cseifert/Capture-BAT/CaptureBAT-Setup-2.0.0-5574.exe
http://www.mcs.vuw.ac.nz/~cseifert/Capture-BAT/CaptureBAT-Setup-2.0.0-5574-src.zip
- Capture-HPC
اين ابزار يك چارچوب كلاينت براي هانيپاتهاي با تعامل بالا است. ابزار Capture-HPC سرورهاي خرابكار را به وسيله تعامل با سرورهاي مظنون به خرابكاري با استفاده از يك ماشين مجازي اختصاصي و مشاهده تغيير وضعيت هاي غير مجاز در آن، شناسايي مي كند. اين ابزار در زيرگروه نيوزلند طراحي شده است. براي دريافت ابزار مذكور به آدرس زير مراجعه فرماييد:
https://projects.honeynet.org/capture-hpc/attachment/wiki/Releases/CaptureClient-Setup-3.0.0.exe
- o High Interaction هانيپات Analysis Toolkit –HIHAT
اين ابزار برنامه هاي كاربردي PHP را به هانيپاتهاي با تعامل بالا منتقل مي كند. اين ابزار داراي يك واسط كاربر گرافيكي است كه به صورت بصري پروسه نظارت هانيپات و تحليل دادههاي به دست آمده را نمايش مي دهد. به علاوه، ابزار مذكور يك نگاشت جغرافيايي مبتني بر IP را از مبدآ حملات توليد كرده و دادههاي آماري گسترده اي را فراهم مي كند. ابزار مذكور را مي توانيد از آدرس زير دريافت كنيد.
https://sourceforge.net/project/showfiles.php?group_id=199856
- Honeysnap
اين ابزار اصلي براي استخراج و تحليل دادههاي از فايل هاي pcap كه شامل ارتباطات IRC هم مي شود، است و توسط زيرگروه انگلستان طراحي شده و نگهداري مي شود. در آدرس زير مي توانيد فايل هاي دانلود اين ابزار را دريافت كنيد:
https://projects.honeynet.org/honeysnap
- Honeywall CDROM
اين ابزار، اساسي ترين ابزار تعامل بالاي پروژه هانينت براي گيرانداختن، كنترل و تحليل حملات است. البته اين ابزار داراي يك معماري است كه به شما اجازه مي دهد هم هانيپاتهاي با تعامل پايين و هم هانيپاتهاي با تعامل بالا را راه اندازي كنيد، اما اساساً براي هانيپاتهاي با تعامل بالا طراحي شده است.
https://projects.honeynet.org/honeywall/attachment/wiki/WikiStart/roo-1.4.hw-20080424215740.iso
- PicViz - Data Visualization Tool
يك پلاتر موازي است كه مي تواند اطلاعات را از ورودي هاي مختلف همچون tcpdump، syslog، iptables logs، apache logs و غيره بگيرد و آن را به صورت بصري نمايش بدهد. به اين ترتيب مي توان فعاليت هاي خرابكارانه را به راحتي از بين ميليون ها فعاليت عادي تشخيص داد. براي دريافت اين ابزار به آدرس زير مراجعه فرماييد:
http://www.wallinfire.net/picviz/downloads/index.html
- Sebek
يك ماژول هسته است كه بر روي هانيپاتهاي با تعامل بالا براي جمع آوري گسترده اطلاعات، نصب مي شود. اين ابزار به مديران شبكه اجازه مي دهد اطلاعات فعاليت هايي همچون ضربات صفحه كليد كاربران را حتي در محيط هاي رمزنگاري شده، جمع آوري كنند. ابزار مذكور براي سيستم هاي win32 و لينوكس طراحي شده است. ابزار مذكور را مي توانيد از آدرس زير دريافت كنيد.
https://project.honeynet.org/sebek/attachment/wiki/WikiStart/Sebek-Win32-latest.zip
- Tracker
اين ابزار تشخيص فعاليت هاي غير عادي DNS را تسهيل مي كند. ابزار مذكور دامنه هايي را پيدا مي كند كه در مدت زمان كوتاهي به IP هاي زيادي نگاشت مي شوند، سپس شروع به دنبال كردن نگاشت هاي hostname à IP مي كند تا زماني كه يا hostname ديگر جواب ندهد و يا كاربر عمليات را متوقف سازد. اين ابزار توسط زيرگروه استراليا طراحي شده است. براي دريافت اين ابزار به آدرس زير مراجعه فرماييد:
- 2