DESVIO DE TRÁFEGO MALICIOSO DESTINADO A REDES DE PRODUÇÃO PARA UMA HONEYNET

Documentos relacionados
Honeypots, honeynets e honeytokens

Microcurso: Honeypots e Honeynets

SNORT. Sistema de Detecção de Intrusão de Rede. Amanda Argou Vilnei Neves REDES II

Firewalls. Carlos Gustavo A. da Rocha. ASSR

Firewalls Reginaldo Campos 1

HoneyPot e HoneyNet. Reginaldo Campos Segurança em Redes de Computadores

Sistemas de Detecção de Intrusão

DESCRIÇÃO E JUSTIFICATIVAS TECNICAS SOBRE A INFLUÊNCIA DO SISTEMA OPERACIONAL NA SEGURANÇA DOS SERVIÇOS IPS

Firewall. Prof. Marciano dos Santos Dionizio

CEA463 SEGURANÇA E AUDITORIA DE SISTEMAS

Os três principais tipos de firewall são o filtro de pacotes, o filtro de pacotes com estado e o proxy.

Sumário ARQUITETURA Arquitetura Gerenciamento Arquitetura - API Arquitetura - Interface

Segurança: Tendências Atuais e Recomendações do NBSO

Simulado Aula 01 INSS INFORMÁTICA. Prof. Márcio Hunecke

Tendências em Atividades Maliciosas na Internet Brasileira

Campus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini /

Arquitetura de um sistema integrado de defesa cibernética para detecção. de botnets

PIkit : A New Kernel-Independent Processor-Interconnect Rootkit

Ataque em Sistemas Distribuídos Site :

HLBR: Um IPS invisível para a segurança em redes de computadores. João Eriberto Mota Filho (Comando do Exército Brasileiro)

Firewall - Inspeção com estado. (Stateful Inspection)

Redes de Computadores

Alunos em técnico em Informática da EAFS: Leandro Cavalari, Maria Matos e Renata Rasche.

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Gerenciamento de Redes. Alan Santos

Covert channels: o que são, o que fazem e como se prevenir contra eles

SISTEMAS DE INFORMAÇÃO Redes de Computadores II. Firewall

Detecção de Intrusão. Intrusão. Intruso. É o processo pelo qual algo tenta violar uma sistema.

INTERNET E SEGURANÇA DOS DADOS. Introdução a Computação e Engenharia de Software. Profa. Cynthia Pinheiro

Permita o Preprocessor Inline da normalização e compreenda a inspeção PRE-ACK e Cargo-ACK

Protótipo de um software de segurança em redes para monitoração de pacotes em uma conexão TCP/IP

FACULDADE DE TECNOLOGIA SENAC GOIÁS

Data and Computer Network Endereçamento IP

Gerenciamento e Interoperabilidade de Redes

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA DO RIO GRANDE DO NORTE DEPARTAMENTO ACADÊMICO DE TECNOLOGIA DA INFORMAÇÃO

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

de Administração Guia Técnico Manual v6.1 - Alta-Disponibilidade

Rede de computadores Cliente- servidor. Professor Carlos Muniz

Sistemas de Detecção de Intrusão

CS-MARS: Adicionar o sensor do ips Cisco como um dispositivo de relatório ao exemplo de configuração CS-MARS

Introdução a Redes e a Internet. Introdução ao Computador 2010/01 Renan Manola

GERENCIADOR DE REDE NTOP

SISTEMAS DE LOG, TRATAMENTO DE ATAQUES E ERROS PROF.: PAULO RICARDO LISBOA DE ALMEIDA

TECNOLOGIA DA INFORMAÇÃO

4 o Fórum Brasileiro de CSIRTs 17 e 18 de setembro de 2015 São Paulo, SP

Honeypots - A segurança através do disfarce

MANUAL DE INSTALAÇÃO E PROGRAMAÇÃO CONVERSOR - IP / USB / SERIAL RV1

Fundamentos de Segurança da Internet. Cristine Hoepers, D.Sc. Klaus Steding-Jessen, D.Sc. 30/03/2016

INFO3M ARQ REDES. Prova 1 Bimestre. Obs: Questões RASURADAS são consideradas como ERRADAS GABARITO

Segurança e Auditoria. Auditoria Coleta de dados, Análise de dados, Auditoria preventiva. de Sistemas

Uso de Software de Monitoramento em Projetos Educacionais Metasys Monitor. Home

Redes de Computadores - 4º Período. Projeto Integrador

Utilização de Números de Porta FTP Não- Padrão com NAT

Camada de Transporte Protocolos TCP e UDP

IPS HLBR: aprimorando a segurança da sua rede

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar

Um Agente SNMP para Detecção de Intrusão Baseada na Interação de Protocolos

Guia de Segurança do Oracle Hardware Management Pack para Oracle Solaris 11.3

Lista de exercícios - 1º bimestre 2016 REDES

Comunicação de Dados II

Apostila 4. Ameaças e Contramedidas de Segurança no Host

Introdução à Computação

FUNDAMENTOS DE REDES DE COMPUTADORES Unidade 5 Camada de Transporte e Aplicação. Luiz Leão

Servidor DHCP Dynamic Host Configuration Protocol

Segurança da Informação

REDES DE COMPUTADORES

Configurando Interface de Rede. IPTABLES Firewall em Linux Kernel 2.4 em diante. Regras do Iptables. Iptables. Regras do Iptables. Comandos Principais

REDES DE COMPUTADORES

Preparação AV3 Fundamentos de Redes de Computadores

Redes de Computadores

Prof. Marcelo Cunha Parte 6

Sistema de Gerenciamento de Hotspots

Modelos de referência de arquiteturas de redes: OSI e TCP/IP Profsº Luciano / Roberto

Execícios de Revisão Redes de Computadores Edgard Jamhour. Proxy, NAT Filtros de Pacotes

ÍNDICE. Redes de Computadores - 1º Período de Cap 12 - Fls. 1

Apresentação, Metodologia. NBSO NIC Br Security Office

A CASA DO SIMULADO DESAFIO QUESTÕES MINISSIMULADO 62/360

Gerência de Redes de Computadores RMON. Prof. Alex Furtunato

Segurança da Informação

PROCESSO SELETIVO EDITAL 12/2018

Redes de Computadores

Modelo de Camadas. Redes de Computadores

Laboratório Usando Wireshark para Examinar Quadros Ethernet

IX Fórum Regional São Paulo, SP 10 de novembro de 2017

Redes de Computadores. Laboratório de Interconexão de Redes e Serviços - 4º Período

PROJETO INICIATIVA INTERNET SEGURA. Gilberto Zorello

Redes de Computadores Aula 23

Introdução em Segurança de Redes

Firewall. Andrei Jean Fabio Garzarella William Passig

A camada de enlace de dados executa diversas funções específicas. Dentre elas

Miriane Aparecida Batista Instituto Federal do Triângulo Mineiro Campus Paracatu Tecnólogo em Análises e Desenvolvimento de Sistemas. Cert.

Lista de Exercícios. Camada de Enlace de Dados

Transcrição:

DSVIO D TRÁFGO MALICIOSO DSTINADO A RDS D PRODUÇÃO PARA UMA HONYNT Lucio Henrique Franco e Antonio Montes Laboratório Associado de Computação e Matemática Aplicada Instituto Nacional de Pesquisas spaciais Av. dos Astronautas, 1758 122270-010 São José dos Campos, SP {lucio,montes}@lac.inpe.br RSUMO Com uma arquitetura de segurança em camadas, fazendo uso de firewalls, sistemas de detecção de intrusão, etc, pode-se identificar ou deter ataques as redes de computadores e sistemas de informação. stas medidas, porém, não possibilitam o acompanhamento de uma intrusão, o que, atualmente, pode ser realizado por meio de honeynets. O presente trabalho consiste na integração de um sistema de detecção de intrusão baseado em redes, de um firewall, de um sistema de reconstrução de sessões TCP/IP, de uma honeynet e de um módulo de controle, para identificar tráfego hostil destinado a uma rede protegida e desviá-lo para uma honeynet de forma transparente para o atacante e sem interrupção da sessão maliciosa. le também permite que o atacante retorne ao sistema comprometido ou que seja feito o desvio de tráfego para a honeynet de conexões destinadas a portas que não estão disponíveis na rede monitorada, visando monitorar novos ataques ou tentativas de acesso a backdoors deixadas pelo atacante no sistema invadido. Palavras-chave: honeypots, honeynets, sistemas de detecção de intrusão, firewalls Introdução Organizações mais bem informadas têm mostrado uma grande preocupação com a segurança de suas redes e sistemas conectados à Internet. Porém, muitas acreditam que a utilização de um firewall é suficiente para proteger uma rede contra qualquer tipo de ameaça, sem se dar conta que a segurança de um sistema de informação e das redes que o compõem não pode ser garantida por um único mecanismo de defesa [Cha02]. Dentre as metodologias adotadas para se garantir um bom nível de segurança, primeiramente está a criação de políticas de segurança, de senhas, a coleta e monitoração de logs, a utilização de firewall e de sistemas de detecção de intrusão. Dentro desta abordagem, o firewall é uma das ferramentas mais utilizadas atualmente para se proteger determinada rede, sendo que o tipo mais empregado é conhecido como filtro de pacotes. O qual realiza ações sobre os pacotes da rede, por exemplo, bloqueá-los, com base em regras definidas em sua configuração. ntretanto, firewalls, do tipo filtro de pacotes, não fornecem uma solução completa de segurança de sistemas. Uma de suas limitações consiste no fato de que estes não podem bloquear uma tentativa de intrusão ou abuso, que se aproveite de vulnerabilidades de serviços habilitados, para os quais o tráfego é permitido. Daí surge a necessidade de utilização de mecanismos que permitam detectar intrusões ou tentativas de intrusões. stes mecanismos são conhecidos como SDIs - Sistemas de Detecção de Intrusão - e desempenham a função de mais uma camada de defesa em um sistema de informação [Cha02]. Sistemas de detecção de intrusão são baseados na premissa de que o comportamento do atacante será diferente do comportamento de um usuário legítimo. A detecção de intrusão baseada em rede tenta deduzir o comportamento anômalo do atacante a partir de padrões dos pacotes enviados por ele para a rede [FV01]. sses sistemas são comumente usados para identificar ataques, gerando alertas e até mesmo, em alguns casos, interrompendo a sessão destes ataques e descartando os pacotes. Porém,

há situaões em que surge a necessidade de se monitorar determinados ataques com propósito de descobrir a sua origem, ferramentas utilizadas, entre outras questões [The01]. ntretanto, os SDIs atuais não oferecem tais funcionalidades para acompanhamento dos passos de um atacante, para isso são empregadas as honeynets. Honeynets são ferramentas de pesquisas que consistem de redes projetadas especificamente para serem comprometidas [The01, Spi00]. ssas redes são compostas de vários hosts chamados de honeypots [SR02], que são recursos de segurança preparados com a finalidade de serem sondados, atacados ou comprometidos e para registrar essas atividades [SR02]. Honeypots podem ser classificados como sendo de baixa e alta interatividade, quanto mais interativo, mais funcionalidades o honeypot terá [Spi02]. m [FAM + 02] foi descrito um histórico sobre as primeiras referências à implementação de mecanismos de acompanhamento das atividades de invasores e em [Spi02] foi apresentado algumas vantagens da utilização de honeypots e honeynets no auxílio à detecção de intrusão. Visando garantir segurança diversas camadas para as redes de computadores; monitorar e acompanhar ataques a elas com a finalidade de descobrir sua origem, as táticas dos invasores e as ferramentas utilizadas por eles, entre outras questões, o trabalho que está sendo desenvolvido, tem como função, redirecionar o tráfego malicioso destinado a uma rede de produção para uma honeynet. le consiste na integração de um sistema de detecção de intrusão baseado em redes, de um firewall, de um sistema de reconstrução de sessões TCP/IP, de uma honeynet e de um módulo de controle, para identificar tráfego hostil destinado a uma rede protegida e desviá-lo para uma honeynet de forma transparente para o atacante e sem interrupção da sessão maliciosa. le também permite que o atacante retorne ao sistema comprometido ou que seja feito o desvio de tráfego para a honeynet de conexões destinadas a portas que não estão disponíveis na rede monitorada, visando monitorar novos ataques ou tentativas de acesso a backdoors deixadas pelo atacante no sistema invadido. Descrição do Sistema Os pacotes do tráfego de rede destinados à rede monitorada são copiados para um módulo de reconstrução de sessões e examinados pelo módulo de detecção de intrusão. Caso o detector de intrusão constate a existência de conteúdo malicioso num pacote, o tráfego associado à sessão, da qual faz parte este pacote, é redirecionado desde o seu início até o término, pelo módulo de controle, para um honeypot que possui as mesmas características do host ao qual estava destinado este tráfego. Na Figura 1 é apresentado um diagrama de blocos do sistema. INTRNT INTRFAC 1 - INTRNT Honeypot 1 HONYNT Honeypot 2 I N T R F A C 3 - Snort-Inline Iptables H O N Y N T Honeypot 3 Honeypot N Módulo de Integração e Controle Módulo de Reconstrução de Sessões INTRFAC 2 - RD MONITORADA Figura 1: Diagrama de blocos do sistema. 2

Basicamente, quatro sub-conjuntos formam o sistema, são eles: o módulo constituído pelo sistema de detecção de intrusão (snort-inline) e pelo (iptables, o módulo de recontrução de sessões e por último um módulo de integração e controle, a honeynet para a qual o tráfego hostil será direcionado. stes sub-conjuntos são detalhados abaixo: Firewall Stateful - (iptables): No sistema o iptables é utilizado junto com o módulo ip queue do Linux, responsável por passar os pacotes do espaço de kernel para o espaço de usuário do sistema, como forma de interação com o sistema de detecção de intrusão baseado em redes (snort-inline). Sistema de Detecção de Intrusão - (snort-inline): O snort-inline compõe o sistema de detecção de intrusão utilizado no projeto. Sua funcionalidade é a análise de todo o tráfego da rede monitorada comparando-o com padrões (assinaturas) de ataques já conhecidos e que fazem parte de uma base de dados. As regras utilizadas pelo snort-inline, no projeto proposto, são configuradas de acordo com os serviços disponibilizados na rede a ser monitorada. sse sistema interage com o iptables indicando a ele a ação a ser realizada sobre cada pacote de rede analisado, podendo cancelar uma sessão identificada como hostil através do envio de um pacote TCP reset se o protocolo for TCP ou UDP ou um pacote ICMP port unreachable se o protocolo for UDP, para a origem do pacote. Sistema de Reconstrução de Sessões: Tem como base o RCON [Cha02]. Foram desenvolvidos mecanismos que permitiram o RCON trabalhar com pacotes de diversos tamanhos, envolvendo cabeçalho e conteúdo e foram previstos meios de controle como timeouts e tamanho das sessões armazenadas para tentar evitar situações de exaustão de recursos do sistema devido ao armazenamento do tráfego em memória, de forma conjunta às alterações, foi criada uma metodologia para o descarte das sessões finalizadas diminuindo-se a quantidade de memória utilizada para o armazenamento dos dados. Honeynet Utilizada: Para compor a arquitetura a qual o sistema foi projetado será utilizada uma honeynet baseada na arquitetura GenII [Spi00]. la estará isolada da rede que está sendo monitorada. la conterá diversos honeypots espelhos dos sistemas que estão sendo monitorados. O honeypots utilizados são de alta interatividade e permitem acesso dos atacantes ao sistema comprometido. stes honeypots poderão diferenciar-se das máquinas monitoradas, somente, quanto a arquitetura do hardware por motivos de custos, porém, conterão o mesmo sistema operacional, os mesmos processos e os mesmos serviços da rede protegida. Tentando, desta forma, iludir o atacante, fazendo-o imaginar que está invadindo a rede alvo e não uma honeynet [Spi03]. Módulo de Integração e Controle: É responsável pela interação do sistema de detecção de intrusão, com o módulo de reconstrução de sessões, e por realizar o controle do desvio das sessões hostis para um honeypot sem a interrupção desta. Nesta parte do sistema é feito o controle dos estados das sessões que foram desviadas para a honeynet. Podendo desta forma requisitar pacote a pacote da sessão maliciosa ao módulo de reconstrução de sessões e repassá-los através de um socket para o honeypot. Há implementados mecanismos de controles para verificação da quantidade de pacotes trocados e o descarte deles, entre o host do invasor, o sistema alvo, o módulo de integração e controle e o honeypot. Há neste módulo também uma funcionalidade para geração de alertas e logs de modo a avisar o administrador sobre as sessões hostis e seus comportamentos, registrar as informações para análise posterior e correlação com as informações capturadas na honeynet. Até o momento do desvio do tráfego malicioso, o sistema sob ataque poderá ter recebido alguns pacotes desta sessão, mas, constatado o ataque ao sistema monitorado, a sessão é interrompida 3

e a troca subseqüente de pacotes se dá através do honeypot, sob gerenciamento do módulo de integração e controle. O sistema é projetado para realizar a transferência da sessão hostil para o honeypot de forma transparente para o invasor. Para isto, o sistema armazena uma cópia dos pacotes destinados aos sistemas que estão sendo monitorados. Para o controle do desvio de tráfego hostil foi necessária a criação de uma tabela de estados das sessões armazenadas em memória e o mapeamento de todos os hosts da rede monitorada para o respectivo honeypot, espelho do sistema de produção, via arquivo de configuração do sistema. ste mapeamento envolve a definição do filtro a ser utilizado na captura de pacotes e informações para cada sessão, como: endereços IPs, máscara de rede, porta destino 1 e protocolo, todas opções do host que serão mapeadas para o honeypot espelho dele. Para controle do tempo e tamanho de cada sessão foram criadas regras, para cada mapeamento de serviço, definindo o número máximo de sessões ativas a serem armazenadas para o conjunto correspondente de porta/protocolo, tempo máximo, total e entre dois pacotes consecutivos, da sessão em segundos, tamanho máximo da sessão em bytes e em número de pacotes. ssas regras auxiliam no controle do número de requisições tratadas e tenta evitar que o sistema seja interrompido caso sofra algum ataque de negação de serviço. Outra funcionalidade do sistema é a possibilidade do desvio do tráfego para o honeypot de sessões, cuja, a conexão seja destinada à porta de um serviço de rede que não é disponível na rede monitorada. sta característica visa detectar novos ataques ou tentativas de acesso do atacante a outras aplicações servidoras instaladas no sistema comprometido durante o ataque inicial. Na próxima seção é apresentada a arquitetura do sistema e são analisados os itens que estão sendo empregados no desenvolvimento dele. Arquitetura e Componentes do Sistema O sistema foi projetado em módulos funcionais, que executam uma série de procedimentos visando a detecção de tráfego hostil e o seu desvio para um honeypot. A Figura 2 representa a arquitetura de rede para a qual o sistema foi projetado inicialmente e está sendo executado e testado. HONYNT Internet Honeypot 1 Honeypot 2 Rede Monitorada Host 1 Honeypot 3 Honeypot N Firewall Switch Host 2 Rede Interna Host NNN Figura 2: Arquitetura do sistema. 1 Por convenção será utilizado porta igual a 0 caso o protocolo seja ICMP 4

A rede a ser monitorada tem seus sistema instalados em hosts que ficam isolados da rede interna. Tipicamente, esta rede isolada é constituída pela DMZ (Desmilitarized Zone), uma subrede fortificada. O sistema é executado no Firewall e é um ponto único de entrada e saída dos dados entre a rede interna, rede observada e a Internet. O Firewall tem um endereço IP na interface de rede ligada à honeynet para permitir a comunicação entre o honeypot e o módulo de integração e controle. A Figura 3 apresenta o diagrama de blocos do módulo de integração e controle. Identificador de Sessões Receptor de Pacotes Hostis Detectados pelo Snort-Inline Controle de Desvio de Sessões Módulo de Alertas e Logs Figura 3: Diagrama de blocos do módulo de integração e controle. O módulo de integração e controle é composto de outros quatro sub-móduloes independentes que se comunicam para o gerenciamento de desvio de tráfego e geração de alertas e logs. Os módulos serão: Identificador de Sessões: Responsável pela comunicação com o módulo de reconstrução de sessões, localização e recebimento de pacotes/sessões; Receptor de Pacotes Hostis Detectados pelo Snort-Inline : Recebe os pacotes hostis detectados pelo snort-inline e os repassa para o identificador de sessões; Controle de Desvio de Sessões: Gerencia a transferência da sessão desde o seu início até o presente momento, coordenando-a até o seu término, responsável também pela transmissão dos pacotes ao honeypot e o controle de cabeçalho dos protocolos, caso seja necessário; Alertas/Logs: Geração de alertas e logs para os administradores com informações sobre os estados das sessões hostis e sua transferência para o honeypot, podendo realizar sumários e estatísticas do tráfego hostil. Trabalhos Futuros Será necessário efetuar testes exaustivos no sistema para que antes ele possa ser disponibilizado em ambientes reais de produção. stes testes buscam refinar o conjunto de regras do sistema de detecção de intrusão com relação a rede a ser monitorada, buscando por melhor desempenho. Sistema semelhante como o baitnswitch 2 que trabalham com o snort apresenta como desvantagem o baixo desempenho, visto que realiza uma ação por vez e acarreta a interrupção da sessão que foi estabelecida entre o atacante e o sistema alvo, podendo levar o atacante a deduzir que seu tráfego foi desviado para outro destino. Será criado um software complementar ao sistema que auxiliará a criação do arquivo de configuração relacionado ao mapeamento da rede. Neste software será possível especificar a quantidade de pacotes que serão capturados e/ou o tempo de captura, ao término da coleta ele analisará o tráfego coletado e terá como resultado uma sugestão das regras a serem utilizadas quanto a quantidade de sessões, tamanho dessas, protocolos, etc. 2 http://baitnswitch.sourceforge.net 5

Pretende-se também disponibilizar outros meios de monitoração de ambientes de produção com o auxílio de honeynets para casos em que o ataque envolve transmissões criptografadas, impossibilitando a análise do tráfego de rede. Nestes casos, devem ser empregados sistemas de detecção de intrusão híbridos, que avaliam o tráfego de rede e realizam o monitoramento no host buscando por anomalias para identificar ataques e diminuir os falsos positivos. Conclusão O trabalho em desenvolvimento cria metodologias para o redirecionamento de ataques utilizando aplicações de sistemas de detecção de intrusão, honeypots, honeynets, firewalls e a integração de tais. O desenvolvimento deste sistema exigirá poucos recursos, pois, utilizará softwares de código aberto já existentes, sendo necessária modificações, elaboração de outros módulos e a integração entre esses sistemas utilizando diversas técnicas de programação de redes segura.outros sistemas semelhantes estão sendo desenvolvidos, porém, até o presente momento não apresentaram as funcionalidades necessárias e resultados de testes em ambientes de produção. ste projeto baseia-se no conceito de arquiteturas de segurança em camadas, sendo possível empregá-lo de modo funcional em qualquer rede de produção. le é capaz de identificar uma sessão hostil e desviá-la para um honeypot sem ser interrompida, para que possa, assim, pesquisar e acompanhar o comportamento e ações dos invasores. Bibliografia [Cha02] Marcelo H. P. Caetano Chaves. Análise de stado de Tráfego de Redes TCP/IP para Aplicação em Detecção de Intrusão. Dissertação de mestrado, Instituto Nacional de Pesquisas spacias, Laboratório Associado de Computação e Matemática Aplicada LAC, Setembro 2002. [FAM + 02] Amândio Balcão Filho, Ana Sílvia M. S. Amaral, Antonio Montes, Cristine Hoepers, Klaus Steding-Jessen, Lucio Henrique Franco, and Marcelo H. P. Caetano Chaves. Honeynet.BR: Desenvolvimento e Implantação de um Sistema para Avaliação de Atividades Hostis na Internet Brasileira. In Anais do IV Simpósio sobre Segurança em Informática (SSI 2002), pages 19 25, São José dos Campos, SP, Novembro 2002. http://www.lac.inpe.br/security/ honeynet/papers/hnbr-ssi2002.pdf. [FV01] Mike Fisk and George Varghese. Fast content-based packet handling for intrusion detection. Technical report, University of California San Diego, May 2001. [Spi00] Lance Spitzner. Learning the Tools and the Tactics of the nemy with Honeynets. In Proceedings of the 12th Annual Computer Security Incident Handling Conference, Chicago, IL, USA, June 2000. [Spi02] Lance Spitzner. HOSUS (Honeypot Surveillance System). In ;login: - The Magazine of the USNIX Association, volume 27, December 2002. [Spi03] Lance Spitzner. Honeypot Farms. August 2003. http://www. securityfocus.com/infocus/1720. [SR02] Lance Spitzner and Marcus Ranum. Honeypots: Tracking Hackers. In SANS 2002 Annual Conference, Orlando, Florida, USA, April 2002. [The01] The Honeynet Project. Know Your nemy: Revealing the Security Tools, Tactics, and Motives of the Blackhat Community. Addison-Wesley, 1st edition, August 2001. ISBN 0-201-74613-1. 6

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback