Niels Provos，谷歌高级工程师，他开发了Honeyd蜜罐系统——一个开源的虚拟蜜罐系统，这个系统获得了Network World颁发的最高发明奖，他还是OpenSSH的创建者之一，他获得了汉堡大学数学博士学位，密歇根大学计算机科学与工程学博士学位。<br>    Thorsten Holz，德国曼海姆大学分布式系统可靠性实验室博士生，他是德国蜜网项目的奠基者之一，也是蜜网研究联盟指导委员会成员。

    《虚拟蜜罐：从僵尸网络追踪到入侵检测》全面而详细地介绍蜜罐技术的概念、分类及应用，及低交互蜜罐、高交互蜜罐、混合蜜罐以及客户端蜜罐的实现机理与部署应用方式；结合具体的工具，尤其是开源工具，阐述各类蜜罐的建立、配置和应用；介绍蜜罐在恶意软件捕获、僵尸网络追踪中的应用；通过案例分析，结合实际讨论蜜罐的作用与应用效果。此外，《虚拟蜜罐：从僵尸网络追踪到入侵检测》还介绍了攻击者识别蜜罐的方法。上述内容有利于我们了解恶意软件、僵尸网络的工作机理和过程，有助于理解蜜罐技术在网络防御中的作用，把握与敌手对抗过程中使用蜜罐的优势与不足，为我们构建坚实的主动网络防御系统提供非常有益的指南。<br>    不论是对网络安全研究者来讲，还是对于网络安全管理者来讲；不论是对网络安全感兴趣准备涉足这一领域的初学者，还是对长期从事网络安全管理工作的资深工程师，《虚拟蜜罐：从僵尸网络追踪到入侵检测》确实是一部难得的宝典。

    这是当今最好的蜜罐技术参考资料，从低交互蜜罐，到僵尸网络，再到恶意软件，Niels Provos和Tborstea Hoiz通过本书，分享了他们在网络安全尖端领域之专业的知识、深刻的见解，以及令人叹为以止的才智。如果您想学习最新的蜜罐技术，了解它们到底是什么、如何工作以及它到底能为您带来什么，至少是现在，没有比这本书更好的了。<br>    ——蜜网项目创始人Lances Spitzner<br><br>    Provos和Holz写的这本书，坏家伙们肯定不希望你们阅读。然而，任何对网络安全技术持有严肃态度的人，书架上绝不会没有这本书。<br>    ——Aviel D.Rubin，博士，约翰霍普金斯大学计算机科学教授，信息安全研究所技术总监，独立安全评估公司创始人和总裁<br><br>    “专业、见解深刻并充满才智的一本书，为读者揭开了蜜罐世界的面纱，”<br>    ——Lenny Zeltser， Gemini系统公司信息安全业务部负责人<br><br>    “这是本年度必读的安全书籍之一。”<br>    ——Cyrus Peiukari， Airscanner移动安全公司CEO《安全卫生》一书的作者<br><br>    “无疑这是蜜罐领域最具权威的著作之一，它内容全面，文笔流畅，作者从-个行家的视角来审视虚拟蜜罐，帮助我们建立和理解原本很复杂的技术，”<br>    ——Stufan Kelm， Secorvo安全顾问<br><br>    “无论是收集用于研究和防御的信息，还是隔离企业内部爆发的恶意软件，或者出于兴趣在家里观察黑客活动，在这本书里你会发现很多实际的骗术，展现了蜜罐的神奇！”<br>    ——Dugsong，Arbor网络首席安全架构师<br><br>    “Provos和Holz写的这本书，坏家伙们不希望你们阅读，对蜜罐详实而全面的讨论为我们提供了一步一步的指示——抓住攻击者的破绽，识破他们的把戏，并哄骗他们对安全产生一种错觉，不管你是一个从业者、一个教育工作者或是一名学生，这本书提供了大量的有价值的东西，本书涵盖了蜜罐的基本理论，但主要内容还是指导你如何做——建立蜜罐，配置它们，最有效地使用陷阱，同时保持实际系统的安全，自从发明防火墙以来，还没有一个像它一样有用的工具，在无休止的攻防竞赛中为安全专家提供了保护计算机系统安全的优势，《虚拟蜜罐》是一本必读书，应放在任何认真对待安全问题的人的书架上，”<br>    ——Aviel D.Rubin，博士，约翰霍普金斯大学计算机科学教授，信息安全研究所技术总监，独立安全评估公司创始人和总裁

译者序<br>前言<br>致谢<br>作者简介<br>第1章 蜜罐和网络背景<br>1.1 TCP／IP协议简介<br>1.2 蜜罐背景<br>1.2.1 高交互蜜罐<br>1.2.2 低交互蜜罐<br>1.2 3物理蜜罐<br>1.2.4 虚拟蜜罐<br>1.2.5 法律方面<br>1.3 商业工具<br>1.3.1 tcpdump<br>1.3.2 Wireshark<br>1.3.3 Nmap<br><br>第2章 高交互蜜罐<br>2.1 优点和缺点<br>2.2 VMware<br>2.2.1 不同的VMware版本<br>2.2.2 VMware虚拟网络<br>2.2.3 建立一个虚拟高交互蜜罐<br>2.2.4 创建一个虚拟蜜罐<br>2.2.5 添加附加监视软件<br>2.2.6 把虚拟蜜罐连接到互联网<br>2.2.7 建立一个虚拟高交互蜜网<br>2.3 用户模式Linux<br>2.3.1 概述<br>2.3.2 安装和设置<br>2.3.3 运行时标志和配置<br>2.3.4 监视基于UML的蜜罐<br>2.3.5 把虚拟蜜罐连接到Internet<br>2.3.6 建立一个虚拟高交互蜜网<br>2.4 Argos<br>2.4.1 概述<br>2.4.2 安装和设置Argos蜜罐<br>2.5 保护你的蜜罐<br>2.5.1 蜜墙概述<br>2.5.2 蜜墙的安装<br>2.6 小结<br><br>第3章 低交互蜜罐<br>3.1 优点和缺点<br>3.2 欺骗工具包<br>3.3 LaBrea<br>3.3.1 安装和设置<br>3.3.2 观察<br>3.4 TinyHoneypot<br>3.4.1 安装<br>3.4.2 捕获日志<br>3.4.3 会话日志<br>3.4.4 Netfilter日志<br>3.4.5 观察<br>3.5 GHH——Google入侵蜜罐<br>3.5.1 一般安装<br>3.5.2 设置透明链接<br>3.5.3 访问日志<br>3.6 PHP .HoP——一个基于Web的欺骗架构<br>3.6.1 安装<br>3.6.2 Hip Hop<br>3.6.3 Php My Admin<br>3.7 保护你的低交互蜜罐<br>3.7.1 chroot“禁闭室<br>3.7.2 Systrace<br>3.8 小结<br><br>第4章 Itoneyd——基础篇<br>4.1 概述<br>4.1.1 特性<br>4.1.2 安装和设置<br>4.2 设计概述<br>4.2.1 仅通过网络交互<br>4.2.2 多IP地址<br>4.2.3 欺骗指纹识别工具<br>4.3 接收网络数据<br>4.4 运行时标志<br>4.5 配置<br>4.5.1 create<br>4.5.2 set<br>4.5.3 add<br>4.5.4 bind<br>4.5.5 delete<br>4.5.6 include<br>4.6 Itoneyd实验<br>4.6.1 本地Itoneyd实验<br>4.6.2 把Honeyd整合到生产网络中<br>4.7 服务<br>4.8 日志<br>4.8.1 数据包级日志<br>4.8.2 服务级日志<br>4.9 小结<br><br>第5章 Honeyd——高级篇<br>5.1 高级配置<br>5.1.1 set<br>5.1.2 tarpit<br>5.1.3 annotate<br>5.2 模拟服务<br>5.2.1 脚本语言<br>5.2.2 SMTP<br>5.3 子系统<br>5.4 内部Python服务<br>5.5 动态模板<br>5.6 路由拓扑<br>5.7 Honeydstats<br>5.8 Honeyctl<br>5.9 Honeycomb<br>5.10 性能<br>5.11 小结<br><br>第6章 用蜜罐收集恶意软件<br>6.1 恶意软件入门<br>6.2 Nepenthes——一个收集恶意软件的蜜罐解决方案<br>6.2.1 Nepenthes体系结构<br>6.2.2 局限性<br>6.2.3 安装和设置<br>6.2.4 配置<br>6.2.5 命令行标志<br>6.2.6 分配多个IP地址<br>6.2.7 灵活的部署<br>6.2.8 捕获新的漏洞利用程序<br>6.2.9 实现漏洞模块<br>6.2.1 0结果<br>6.2.1 1经验体会<br>6.3 Honeytrap<br>6.3.1 概述<br>6.3.2 安装和配置<br>6.3.3 运行Honeytrap<br>6.4 获得恶意软件的其他蜜罐解决方案<br>6.4.1 Multlpot<br>6.4.2 Honey BOT<br>6.4.3 Billy Goat<br>6.4.4 了解恶意网络流量<br>6.5 小结，<br><br>第7章 混合系统<br>7.1 黑洞<br>7.2 Potemkin<br>7.3 RolePlayer<br>7.4 研究总结<br>7.5 构建自己的混合蜜罐系统<br>7.5.1 NAT和高交互蜜罐<br>7.5.2Honeyd和高交互蜜罐<br>7.6 小结<br><br>第8章 客户端蜜罐<br>8.1 深入了解客户端的威胁<br>8.1.1 详解MS04.040<br>8.1.2 其他类型客户端攻击<br>8.1.3 客户端蜜罐<br>8.2 低交互客户端蜜罐<br>8.2.1 了解恶意网站<br>8.2.2.HoneyC<br>8.3 高交互客户端蜜罐<br>8.3.1 高交互客户端蜜罐的设计<br>8.3.2 Honev Client：<br>8.3.3 Capture-HPC<br>8.3.4 Honey Monkey<br>8.4 其他方法<br>8.4.1 互联网上间谍软件的研究<br>8.4.2 Spy Bye<br>8.4.3 Site Advisor<br>8.4.4 进一步的研究<br>8.5 小结<br><br>第9章 检测蜜罐<br>9.1 检测低交互蜜罐<br>9.2 检测高交互蜜罐<br>9.2.1 检测和禁用Sebek<br>9.2.2 检测蜜墙<br>9.2.3 逃避蜜网记录<br>9.2.4 VMware和其他虚拟机<br>9.2.5 OEMU<br>9.2.6 用户模式Linux<br>9.3 检测Rootkits<br>9.4 小结<br><br>第10章 案例研究<br>10.1 Blast-o-Mat：使用Nepenthes检测被感染的客户端<br>10.1.1 动机<br>10.1.2 Nepenthes作为入侵检测系统的一部分<br>10.1.3 降低被感染系统的威胁<br>10.1.4 一个新型木马：Haxdoor<br>10.1.5 使用Blast-o-Mat的经验<br>10.1.6 基于Nepenthes的轻量级入侵检测系统<br>10.1.7 SURFnet IDS<br>10.2 搜索蠕虫<br>10.3 对RedHat8.0的攻击<br>10.3.1 攻击概述<br>10.3.2 攻击时间表<br>10.3.3 攻击工具<br>10.3.4 攻击评价<br>10.4 对Windows2000的攻击<br>10.4.1 攻击概述<br>10.4.2 攻击时间表<br>10.4.3 攻击工具<br>10.4.4 攻击评价<br>10.5 对SUSE9.1的攻击<br>10.5.1 攻击概述<br>10.5.2 攻击时间表<br>10.5.3 攻击工具<br>10.5.4 攻击评价<br>10.6 小结<br><br>第11章 追踪僵尸网络<br>11.1 僵尸程序和僵尸网络<br>11.1.1 僵尸程序举例<br>11.1.2 僵尸程序形式的间谍软件<br>11.1.3 僵尸网络控制结构<br>11.1.4 僵尸网络引起的DDAS攻击<br>11.2 追踪僵尸网络<br>11.3 案例研究<br>11.3.1 Mocbot和MS06.040<br>11.3.2 其他的观察结果<br>11.4 防御僵尸程序<br>11.5 小结<br><br>第12章 使用CW Sandbox分析恶意软件<br>12.1 CW Sandbox概述<br>12.2 基于行为的恶意软件分析<br>12.2.1 代码分析<br>12.2.2 行为分析<br>12.2.3 API拦截<br>12.2.4 代码注入<br>12.3 CW Sandbox——系统描述<br>12.4 结果<br>12.4.1 实例分析报告<br>12.4.2 大规模分析<br>12.5 小结<br>参考文献