clangke的专栏

入侵者会使用加密工具来保护他们的传输通道，监视者如果没有密钥，基于网络的数据捕获工具将无法察看传输的数据，因此采用基于内核的Sebek来捕获数据。<br />Sebek由客户端和服务端组成，客户端从蜜罐捕获数据并且输出到网络让服务端收集，Sebek使用udp进行通信。<br />Sebek改变系统调用表的函数指针使read系统调用调用自己定义的函数，新函数只是简单的调用老read()函数，并且把内容拷贝到一个数据包缓存，然后加上一个头，再把这个数据包发送到服务端。<br />安装cleaner模块来隐藏Se

<br />蜜墙主要任务:数据捕捉：蜜网内的所有活动和进出蜜网的信息，能够在攻击者不知道被监视的情况下被捕获。<br />通过Sebek工具进行监视，将监视信息发到Sebek服务器--通常是蜜墙--存储数据并允许数据分析。数据控制：控制进出蜜网的可疑流量，进一步地，该机制必须确保一旦蜜网中的蜜罐被攻陷，所有的恶意活动必须限制在蜜网内。<br />1.通过限制连接，例如允许每小时有20个TCP连接、20个UDP数据包交换、50个ICMP数据包和20个其他连接<br />2.某些特殊攻击限制连接没效果，要使用入

侵入机器，使其成为肉鸡。肉鸡选材:网络好，性能好，安全差将肉鸡分成两类--控制机和攻击机，一台控制机控制几十台攻击机，之所以安排控制机是为了让入侵者不被发现:入侵者侵入一台机器后一般会做两件事--留后门和清理日志(这里还要上传DDoS攻击程序)，清理与自己相关的日志是个繁琐的事情，有些人甚至将所有日志全部清除(这样受害者只知道被侵入了但不知道是谁侵入的)。那么多肉鸡，万一哪个日志没清除干净受害者就会根据遗留下来的线索找到上一级计算机，如果上一级机器是入侵者的机器那就完了，如果是控制机那仍然安全，而且控制机数

WebScarab具有大量的功能，因而可能会让新用户有一种无从下手之感。为求简单起见，拦截和修改浏览器和HTTP/S服务器的请求和响应可以作为初学者很好的入门课，因为这无需学习太多的内容就可以完成。首先，我们假定您能够自由访问因特网，也就是说，您并非位于一个代理之后。为简单起见，我们还假定您使用的浏览器是Internet Explorer。 图7上面是WebScarab启动后的截图，其中有几个主要的区域需要介绍一下。首先要介绍的是工具栏，从这里可以访问各个插件，摘要窗口(主视图）和消息窗口。摘要窗口分成两个