Sebek简介

最新推荐文章于 2024-07-02 21:53:31 发布
最新推荐文章于 2024-07-02 21:53:31 发布
阅读量2.8k 收藏
点赞数 2
分类专栏: 网络安全 文章标签: 工具 character 网络 unix 破解 加密
  • 入侵者会使用加密工具来保护他们的传输通道,监视者如果没有密钥,基于网络的数据捕获工具将无法察看传输的数据,因此采用基于内核的Sebek来捕获数据。
    Sebek由客户端和服务端组成,客户端从蜜罐捕获数据并且输出到网络让服务端收集,Sebek使用udp进行通信。
  • Sebek改变系统调用表的函数指针使read系统调用调用自己定义的函数,新函数只是简单的调用老read()函数,并且把内容拷贝到一个数据包缓存,然后加上一个头,再把这个数据包发送到服务端。
  • 安装cleaner模块来隐藏Sebek模块,这个模块把Sebek从安装模块链表中删除记录,这样有两方面的效果。首先,用户将看不见Sebek被安装了。第二,如果已经安装,用户将无法卸载Sebek模块。
    Sebek修改内核使发到服务端的数据包不会被发现,每个read()调用请求Sebek都会产生一个或多个日志数据包,每个数据包都包含了一点关于这个调用内容的信息和这个调用访问的数据。每个包还包含了一个Sebek记录,这个记录包含一些产生调用的进程描述、调用产生的时间和记录数据的大小。这些报完全由Sebek产生,而不是使用TCP/IP协议栈来产生或发送数据包,所以系统无法看到或阻断这些数据包。当数据包创建好的时候就直接发送给驱动设备,这就绕过了原始套接字代码和包过滤代码。由于嗅探器是基于libpcap 的,而libpcap使用原始套接字接口来收集数据包,所以嗅探器不能看到运行Sebek主机上由Sebek产生的数据包。

    但是入侵者会在蜜罐A运行嗅探器来看到局域网上来自蜜罐B的Sebek数据包。为了解决这个问题,Sebek安装了自己的原始套接字实现,在Sebek数据包头定义了预先设定的目标UDP端口和固有的魔术数字来隐藏数据包。
    在Sebek客户端里决定对一个来自用户空间的数据包需要隐藏依据下面的标准:数据包必须使用UDP,UDP目标端口必须和预先定义值匹配,并且 Sebek头的Magic字段必须和预先设定的值匹配。如果只使用UDP目标端口的话将会被暴力破解方式识别出被隐藏的数据包,加上Magic值提高了暴力检测的难度,它和目标端口会产生281,000,000,000种组合。如果你有程序能够每秒检查500,000种组合,那么它需要花费6.5天的时间来测试。
    这个简单的实现不会对Sebek数据包有影响,只是丢弃它们并且移到队列里的下一个数据包,这使得入侵者即使使用嗅探器也无法捕获Sebek数据包。
  • 为了确保所有版本的Sebek能协同工作定义了一个通用的协议,Sebek客户端和服务端的通信通道是单向的,通道使用udp协议,每个数据包都包含一个记录,记录有不同长度的MTU和一个固定长度的头。这个48字节的头结构如下:

    这个头在IP/UDP头后面,其后跟随蜜罐活动表现的数据(攻击者的击键、文件、密码等)
    字段名       数据类型                 描述
    Magic        Unsigned 32 bit Int      前面是目标端口,Sebek使用Magic来识别
    那些数据包需要隐藏
    Version      Unsigned 16bit Int       Sebek协议版本,当前版本是"1"
    Type         Unsigned 16bit Int       记录的类型。读数据是0,写数据是1。目
    前只实现了读。
    Counter      Unsigned 32bit Int       PDU计数器,用来识别数据包什么时候
    丢失。刚安装时计数器是0
    Time_sec     Unsigned 32bit Int       蜜罐从UNIX纪元开始的秒数
    Time_usec    Unsigned 32bit Int       剩余的微秒数
    PID          Unsigned 32bit Int       进程ID
    UID          Unsigned 32bit Int       用户ID
    FD           Unsigned 32bit Int       文件描述符
    Com          12 Character Array       记录命令名字的前12个字符
    Length       Unsigned 32bit Int       8位PDU实体的长度
  • 如果数据长度大于MTU,会把读到的数据分成多个分片以适应局域网传输。每个分片都包含了完整的Sebek记录头。
  • 用于检查基于内核模块技术rootkit的检测工具可能会检测到Sebek,所以入侵者检测到使用这种系统的可能性也是挺大的。在未来,一个减少被检测到风险的方法是在服务端检测Sebek什么时候被攻击并且马上关闭客户端。
  • 作为一个非常棒的监视工具,Sebek可能被恶意用户不正当使用。比如入侵者在被攻陷的系统上用Sebek来获取口令和监视合法用户,但现在Sebek只对安装了Sebek的蜜罐进行隐藏,所以攻击者如果试图在自己攻陷的系统上安装Sebek,那么管理员可以在同网段其它主机上看到Sebek数据的传输,为了进一步减少被滥用的机会,我们还去除了Sebek的一些rootkit特性,所以入侵者没法使用一个单独的LKM来嗅探密码。
clangke
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sebek源码修正档(1)
EastCoke的笔记
05-31 1118
<br />antidetection中出现一个小问题,导致驱动加载时蓝屏。<br />还是FindPsModuleList的问题。源码使用了Edgar Barbosa的文章Finding some non-exported kernel variables in Windows XP中提到的方法,对代码做了如下填充:<br />#if (_WIN32_WINNT == 0x0500)  //windows 2000 ~by C0KE<br />         pModuleListStart = *(
Sebek学习笔记
可木的专栏
10-25 2678
1、Sebek是一个数据捕获工具。 2、Sebek是运行在内核空间的一段代码,记录系统用户存取的一些或者全部数据。     这个工具有这些功能:记录加密会话中击键,恢复使用SCP拷贝的文件,捕获远程系统被记录的口令,恢复使用 Burneye保护的二进制程序的口令还有其它的一些入侵分析任务相关的作用。     入侵者会使用加密工具来保护他们的传输通道,监视者如果没有密钥,基于网络的数据捕获工具
sebekclient
10-12
安装方法https://mp.csdn.net/mdeditor/83017338# Sebek是一个数据捕获工具。这种捕获工具是不容易被攻击者发现的。所有数据捕获工具的目的都是用捕获的数据准确的给我们重现蜜罐上的事件。
在Ubuntu7.1上安装sebek客户端
angyinyan0208的博客
10-12 783
首先还是要下载 sebek客户端安装包 然后通过SecureCRT把。gz文件给上传到虚拟机上,方法见该文档用SecureCRT将文件传到虚拟机上 然后 1.tar xvzf sebek-client.tar.gz 2.ls查看文件 如图 3.进入 sebek-lin26-3.2.0b-bin cd sebek-lin26-3.2.0b-bin 4.ls查看文件 如下图 即安装完成 ...
Sebek-Win32-3.0.5.zip
02-16
Sebek-Win32-latest.zip,可以用于honeywall的honeypot上,传回客户端的击键信息以及执行的命令
UDP协议实现socket
weixin_30660027的博客
09-10 98
UDP协议实现socket UDP协议的特点 UDP是无链接的,先启动哪一端都不会报错(不可靠) UDP协议是数据报协议,发空的时候也会自带报头,因此客户端输入空,服务端也能收到 因为自带包头,所以不会出现粘包现象,但是多余的内容不会接收,所以会丢包。 UDP的使用 UPD协议一般不用于传输大数据。 UDP套接字虽然没有粘包问题,但是不能替代TCP套接字,因为UPD协议有一个缺陷:...
sebek服务器文件
10-12
安装方法:https://blog.csdn.net/Winnycatty/article/details/83017097 Sebek是一个数据捕获工具。这种捕获工具是不容易被攻击者发现的。所有数据捕获工具的目的都是用捕获的数据准确的给我们重现蜜罐上的事件。
Sebek服务端源码
07-23
sebek 服务端源码。 该源码运行需要内核支持,内核版本在Linux 2.6.18(包含)以下。
sebek_win32客户端
04-24
"Sebek_win32客户端"是一款专为Windows 32位操作系统设计的监控工具,它在网络安全领域,特别是在蜜罐(honeypot)系统中扮演着重要角色。Sebek这个名字来源于古埃及神话中的猫神,象征着监视和保护。这款软件的主要...
在Ubuntu12.04上安装sebek服务器
Winnycatty的博客
10-11 500
**安装Sebek 服务器文件** 1.使用 ls 命令找到刚刚加进来的文件,例如 sebek-server.tar.gz 2.输入 tar xvzf sebek-server.tar.gz 3.然后使用ls 命令 应该可以看到如下图结果 4.使用 cd sebekd 进入 sebekd 5. 输入./configure 6. make 7. sudo make install 安装客户...
linux下安装sebek
figo1986的专栏
03-07 2373
下载sebek-linux26-3.2.0b.tar.gz 安装环境linux RedHat5 基本安装过程参考文献:《基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析》和http://blog.sina.com.cn/s/blog_4e706d1a0100s5re.html sbk_install.sh首先按照网上资料修改配置 进行安装: ./configure时发现缺
Windows下Sebek的安装与调试(1)
EastCoke的笔记
05-16 2190
Sebek属于蜜网计划(Honeynet project)的一部分,是用于高交互蜜罐系统的数据采集核心模块。Sebek能够捕获蜜罐系统的事件信息,准确再现攻击者在蜜罐系统中所做的行为,如键盘记录等。在加密网络环境中亦可使用。Sebek主要为Win32和Linux系统设计。
Sebek配置
xumesang的专栏
08-24 772
1. sbk_install.sh脚本有八个主要配置参数,配置文件决定了Sebek收集什么样的信息及发送信息的目的地等信息。 INTERFACE/接口:决定记录某个端口的数据,该接口不需要配IP地址。默认值是eth0。 DESTINATION IP/目标IP:指定Sebek生成的数据包中的目的IP地址。因为Sebek服务端在收集数据包的时候 并不查看数据包的目的地址,所以这里没有不要配置成S
Sebek协议分析。
EastCoke的笔记
05-18 1342
    为了保证sebek的通用性,在sebek 3中使用了一个重新设计的新协议,不兼容旧版本。数据包使用UDP通道,且只能 由客户端发送给服务端。    当发生read()系统调用的时候,sebek将会记录ppid,pid,uid,fd,inode和com等信息。
安装 sebek 错误集合:
Winnycatty的博客
03-04 267
bash: ./configure: /bin/sh^M: bad interpreter: No such file or directory 如果操作系统是windows,在windows下编辑的脚本,有可能有不可见字符。 脚本文件是DOS格式的,即每一行的行尾以\r\n来标识, 其ASCII码分别是0x0D, 0x0A。 解决方法: 检查 看这个文件是DOS格式的还是UNIX格式的, ...
简述什么是蜜罐?如何分辨一个系统是不是蜜罐.
qq_52029812的博客
04-14 2204
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。 蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具
2023-2024华为ICT大赛中国区 实践赛网络赛道 全国总决赛 理论部分真题
最新发布
gaogao0305的博客
07-02 576
本文为2023-2024华为ICT大赛 中国区 全国总决赛 实践赛 网络赛道 理论部分考试真题,涵盖数通模块10题、安全模块7题、WLAN模块3题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值