mysql防止攻击层面该如何设计蜜罐?

 


      我们可以在这个挑战包中获得许多有用的信息,比如通信协议版本,数据库版本,线程ID

,加密盐,认证插件,数据库权限标志,数据库状态标志,数据库扩展权限标志。Hfish蜜罐

识别就是基于这个挑战包来进行识别的:在普通数据库中,ThreadId非常大,并且几乎增长

迅速。
 
 
 
但蜜罐的情况并非如此,我们通过GetServerInfo多次发现Hfish的ThreadId没有改变。有时

候ThreadId的边缘遗忘数据库增长缓慢,但这并不表示该数据库是一个蜜罐。根据这一特征

,我们可以确定。在普通数据库中,Salt(data)每次请求都会发生更改。而且部分蜜罐并没

有这种所谓的更改,每次请求都一样。当您遇到多次相同的请求Salt(data)时,您应该注意

,这个数据库100%是一个蜜罐。某个塔楼和官网上安装的Mysql,默认连接错误被删除的

次数是20次。
 
 
当连接错误的次数达到20时,请再次请求Mysql服务器,它将发送错误代码:1113。精确

度:与ThreadId配合可以达到80%。一些实现不完美的协议,会将随意键入的用户名和密

码当作正确的值。通常,Mysql读取客户机的随意文件,而不实现认证:其特点是,键入

随意的用户名和密码都会显示登录成功。
 
 
精确度:100%。很多蜜罐通过读取客户的随意文件来识别攻击者,而将客户执行的第一

个命令返回为一个读取客户文件的包。不仅仅是Hfish,很多交互式蜜罐也是如此。精确

度:100%。对于mysql5.6或更多,mysql引入了sys库。

 
sys库的主要功能就是分析sql语句的执行效率,当然sys还包括其他一些信息。蜜罐装好

后,蓝方通常会去连接测试数据库的正常功能,从而判断蜜罐是否正常运行。
 
 
看一下所有曾经连接过数据库的IP,总连接次数SELECThost,total_connectionsFROMsy

s.host_summary,通过这个命令,我们可以看到所有曾经连接过该数据的ip,以及部分

内部/外部IP连接次数判断出连接次数。通过蜜罐测试,我们可以判断在何时部署蜜罐的

运营IP。精确度:百分之七十。辨识蜜罐似乎并不那么困难,对于较强的攻击者来说,

蜜罐的一部分更像是一种装饰。
分享: