speakerhom-jayhomdate20xx0513

speakerhom-jayhomdate20xx0513内容摘要：

ntrollers Bot controller DNS query check 當 botmaster想檢查某 DNS server是否被劫持， IP是否被從新導向其他地方時： botmaster可透過某 bot不斷去查詢此 DNS的 IP 再對照其他 DNS IP list 既可得知此 server是否已經被劫持。 2020/11/29 12 Bot controller mand channel check 上述 DNS查詢檢查是一種有效的方法來檢測 DNS的定向，但如果偵測人員隱身監測，實際捕捉和監控在這種情況下， DNS查詢檢查將為無效。 要偵測此類型的方法可利用先前所介紹的方式來測試，既是用指令去測試此 bot controller是否被監控。 例如發動 1000台 bot做 DDoS攻擊 (但目標是錯誤的 )此時受監控的 controller必定不敢妄動發送命令給 bot。 或進行極少用到的指令 (既使指令為無害的 ) 2020/11/29 13 Discussions 因 honeypot的檢測程序使感染的電腦造成延遲但這並不影響 bot本身，因為大多 bot將作為長期的攻擊工具。 因此，它不是 botmasters重要的考慮問題。 當部署一個偵測 honeypot的 sensor bot時通常只要求發送其一（如垃圾郵件，病毒代碼的副本）到 sensor以防止流量被發現或阻塞。 當連續使用的 DNS查詢，以測試 controller是否被劫持，這些 DNS查詢請求可能被判定為異常的 DNS查詢行為。 所以為防止這類事件： （ 1）減慢查詢的次數。 （ 2）使用多個 sensor進行查詢。 （ 3）發送 DNS查詢到許多網路上的 DNS server。 2020/11/29 14 Experiment work system introduction 使用標準的 GenII honey： 實驗封閉對外連線，且模仿 bot感染途徑，非使用真的 bot 2020/11/29 15 IP Tables + Snort_inline Honeypot detection—IPTables IPTables on the honeywall log： 2020/11/29 16 Honeypot被感染 開始 對外連線 bot controller 通信狀態 TCP 6 已達 IPTable門檻 Honeypot detection—Snort inline Snort_inline是用來偵測對外流量，及制定規則 使用 Code Red II 並將。