蜜罐網絡

時間 2019-11-30

標籤蜜罐網絡欄目系統網絡简体版

原文原文鏈接

我是壯丁 · 2015/05/07 10:29php

0x00 前言

From: https://itandsecuritystuffs.wordpress.com/2015/02/03/honeypot-networks/html

PS：測試過程當中有的忘記截圖了，就直接用的原文章的圖片。翻譯過程當中作了少許的修改，英語好的能夠直接看原文。前端

這篇文章中，主要討論蜜罐和蜜罐網絡，以及如何使用它們保護真實的系統，咱們稱之爲這個系統爲MHN(Modern Honey Network，現代蜜網)，它能夠快速部署、使用，也可以快速的從節點收集數據。python

0x01 什麼是蜜罐

蜜罐是存在漏洞的，暴露在外網或者內網的一個虛假的機器,具備如下這些特徵：git

1.其中重要的一點機器是虛假的，攻擊者須要花費時間攻破。在這段時間內，系統管理員可以鎖定攻擊者同時保護真正的機器。github

2.可以學習攻擊者針對該服務的攻擊技巧和利用代碼。web

3.一些蜜罐可以捕獲惡意軟件，利用代碼等等，可以捕獲攻擊者的0day,同時能夠幫助逆向工程師經過分析捕獲的惡意軟件來提升自身系統的安全性sql

4.在內網中部署的蜜罐能夠幫助你發現內網中其餘機器可能存在的漏洞。mongodb

蜜罐是把雙刃劍，若是不能正確的使用，有可能遭受更多的攻擊，模擬服務的軟件存在問題，也會產生新的漏洞。shell

蜜罐分爲幾下幾類：

１．低交互式：低交互式模擬常規的服務，服務存在漏洞，可是模擬的這些漏洞沒法被利用，開發和維護這種類型的蜜罐比較容易。

２．高交互式：高交互式使用的是真實的服務，有助於發現服務存在的新漏洞，同時可以記錄全部的攻擊，可是，部署困難、維護成本高，一旦服務上存在的漏洞被利用，容易引起新的安全問題。

３．粘性蜜罐(Tarpits)：這種類型的蜜罐，使用新的IP來生成新的虛擬機，模擬存在服務的漏洞，來作誘餌。所以攻擊者會花費長時間來攻擊，就有足夠的時間來處理攻擊，同時鎖定攻擊者。

還有其餘類型的蜜罐，好比專門捕獲惡意軟件的，數據庫漏洞利用程序和垃圾郵件等等。當部署兩個或者兩個以上蜜罐時能夠稱之爲蜜網。

網上關於蜜罐的一些定義：

1.什麼是蜜罐：

http://www.sans.org/security-resources/idfaq/honeypot3.php

2.蜜網：

http://www.honeynet.org/

3.蜜罐項目：

https://www.projecthoneypot.org/，攻擊者的ＩＰ和攻擊者的一些數據統計。

4.蜜罐的wiki：

http://en.wikipedia.org/wiki/Honeypot_(computing)

0x02 現代密網(MHN)

MHN是一個開源軟件，它簡化了蜜罐的部署，同時便於收集和統計蜜罐的數據。用ThreatStream（http://threatstream.github.io/mhn/）來部署，MHN使用開源蜜罐來收集數據，整理後保存在Mongodb中，收集到的信息也能夠經過web接口來展現或者經過開發的API訪問。

MHN可以提供多種開源的蜜罐，能夠經過web接口來添加他們。一個蜜罐的部署過程很簡單，只須要粘貼，複製一些命令就能夠完成部署，部署完成後，能夠經過開源的協議hpfeeds來收集的信息。

MHN支持如下蜜罐：

1.Sort:https://www.snort.org/

2.Suricata:http://suricata-ids.org/

3.Dionaea:http://dionaea.carnivore.it/,它是一個低交互式的蜜罐，可以模擬MSSQL, SIP, HTTP, FTP, TFTP等服務 drops中有一篇介紹：http://drops.wooyun.org/papers/4584

4.Conpot:http://conpot.org/

5.Kippo:https://github.com/desaster/kippo，它是一箇中等交互的蜜罐，可以下載任意文件。 drops中有一篇介紹：http://drops.wooyun.org/papers/4578

6.Amun:http://amunhoney.sourceforge.net/，它是一個低交互式蜜罐，可是已經從2012年以後不在維護了。

7.Glastopf：http://glastopf.org/

8.Wordpot：https://github.com/gbrindisi/wordpot

9.ShockPot：https://github.com/threatstream/shockpot，模擬的CVE-2014-6271，即破殼漏洞

10.p0f：https://github.com/p0f/p0f

0x03 MHN的硬件要求

MHN服務器：

4 GB Ram
Dual Core Processor
40 Gb Drive
複製代碼

蜜罐：

512 Mb – 1 Gb
Dual Core CPU
20 Gb Drive
複製代碼

具體部署時取決以蜜罐所在的位置，在防火牆後面或者在直接暴露在互聯網上，被攻擊次數不一樣，消耗的資源確定也不一樣。若是隻是測試着玩256M的內存就足夠了。

0x04 MHN的安裝

由於ThreatStream有部署腳本，因此安裝MHN很簡單，咱們在只安裝了OpenSSH的Ubuntu 14.04 LTS (64 bits)上進行測試，安裝步驟以下：

#!bash    
sudo apt-get update && sudo apt-get upgrade
sudo apt-get install git
cd /opt
sudo git clone https://github.com/threatstream/mhn
cd /opt/mhn/scripts
複製代碼

新版本中已經作了修改，安裝前能夠作一下檢查

#!bash
sudo vim install_mnemosyne.sh
複製代碼

找到修改CHANNELS，添加shockpot.events 修改爲下面的樣子

#!bash
CHANNELS=’amun.events,conpot.events,thug.events,beeswarm.hive,dionaea.capture,dionaea.connections,thug.files,beeswarn.feeder,cuckoo.analysis,kippo.sessions,glastopf.events,glastopf.files,mwbinary.dionaea.sensorunique,snort.alerts,wordpot.events,p0f.events,suricata.events,shockpot.events’

sudo ./install_hpfeeds.sh
sudo ./install_mnemosyne.sh 
sudo ./install_honeymap.sh
複製代碼

安裝完成後執行sudo supervisorctl status看到四個服務起來了

機器位於公網，就能夠跳過這一步，若是隻是放在內網裏面，則須要配置mnemosyne的配置文件

#!bash
sudo vim /opt/mnemosyne/mnemosyne.cfg
ignore_rfc1918 = False
複製代碼

容許節點使用私有地址和服務器進行通訊

重啓服務

#!bash
sudo supervisorctl restart mnemosyne
複製代碼

運行最後一個腳本，對MHN進行配置

#!bash
sudo ./install_mhnserver.sh

    ===========================================================

MHN Configuration

===========================================================

Do you wish to run in Debug mode?: y/n n

Superuser email: [email protected]
Superuser password: 

Superuser password: (again): 

Server base url [「http://1.2.3.4″]: http://192.168.5.3

Honeymap url [http://1.2.3.4:3000]: http://192.168.5.3:3000

Mail server address [「localhost」]: 

Mail server port [25]: 

Use TLS for email?: y/n y

Use SSL for email?: y/n y

Mail server username [「」]:  

Mail server password [「」]: 

Mail default sender [「」]: 

Path for log file [「mhn.log」]: 
複製代碼

這個過程須要比較長的時間，須要初始化數據庫，同時還要插入Snort/Suricata規則，腳本運行結束後，直接訪問配置中定義的base url，登陸後就能夠配置

0x06 MHN服務器安裝

一旦安裝了基礎的服務，就可以部署蜜罐節點了，經過web來展現相關數據等等，能夠根據具體的境況作一些簡單的調整。

例如要非匿名的將收集到得攻擊數據回傳到ThreatStream，要作如下操做

#!bash
cd /opt/mhn/scripts
sudo ./disable_collector.sh
複製代碼

執行enable_collector.sh能夠開啓

若是想修改smtp服務的配置，能夠編輯config.py，

絕對路徑

#!bash
/opt/mhn/server/config.py 
cd /opt/mhn/server
sudo vim config.py 
sudo supervisorctl restart mhn-uwsgi
複製代碼

儘可能不要使用超級管理員來配置，能夠從web頁面中添加其餘的用戶，可是全部用戶都是超級用戶，沒有任何區別，當你刪除用戶的時候，實際上並無吧該用戶刪除，只是在數據庫中標記爲"not active",同時該用戶不能再次被使用，除非更改數據庫。

也能夠從終端去直接更改用戶的密碼

#!bash
sudo su
cd /opt/mhn/
source env/bin/activate
cd server
python manual_password_reset.py
deactivate
exit
複製代碼

0x07 排錯

若是發現服務不正常，你可使用一些命令和排查一些日誌來來判斷問題出在哪裏，第一個命令就是supervisorctl，能夠看到那些進程出問題了，那些在正常的運行

#!bash    
supervisorctlv status

#列出全部進程的狀態
supervisorctl　restart [process|all]
#重啓單個或者所有進程
supervisorctl start [process|all]
#開始單個進程或者所有進程
supervisorctl stop [process|all]
#中止單個進程或者所有進程
複製代碼

若是你發現一個進程的狀態爲ERROR或者FATAL，就需在 /etc/supervisor/conf.d/找到對應進程的配置文件，查看日誌進行分析 https://github.com/threatstream/mhn/wiki/MHN-Troubleshooting-Guide，尋求幫助遇到的問題：

1.honeymap在安裝的時候報錯

#!bash
hg clone http://code.google.com/p/go.net/    
mv go.net/ /opt/honeymap/server/src/code.google.com/p/
go build
supervisorctl restart honeymap
複製代碼

0x08 MHN的web接口

MHN的web接口是很簡潔明瞭的，第一次訪問web截面時，須要輸入帳戶名和密碼，登陸成功後會看見一個總結性的頁面

1.在最近24小時內有多少攻擊着攻擊

2.攻擊次數排在前五的IP

3.被攻擊端口排在前五的端口

4.top 5的攻擊簽名

還有一些菜單選項能夠進行配置或者獲取更多的攻擊細節

Map:查看攻擊者的IP在全球的分佈

Deploy:添加，編輯和使用蜜罐的部署腳本

Attacks:全部攻擊者的列表

Payloads:全部攻擊的payload，其實只有三種蜜罐能夠收集payload(snort,dionaea.glastofp)

Rules:全部的snort和suricata規則

Seneors:有安裝蜜罐節點操做的相關記錄

Settings:MHN服務的設置

攻擊來源全球的分佈圖,運行在3000端口，是不須要驗證就能看到的，能夠作ACL開控制訪問。

0x09 蜜罐節點

這一節中，主要討論蜜罐，如何安裝，多麼容易操做，以及會出現的問題，是否須要在進行特殊的配置等等。也會進行一些測試，看攻擊者如何攻擊，蜜罐對攻擊行爲的記錄。最後會討論MHN如何收集信息，以及web所展示的數據。

9.1 安裝蜜罐節點

安裝蜜罐節點很容易，全部的節點都基於一樣的平臺，MHN上對每一個蜜罐都有對應的安裝腳本，因此安裝起來是很是容易的，只須要一個服務器去安裝。

咱們在Ubuntu 14.04 LTS 上進行測試。建議經過ssh去訪問，若是不能夠，請安裝ssh，修改對應的22端口，同時加防火牆保護

安裝ssh

#!bash
sudo apt-get update && sudo apt-get upgrade && sudo apt-get install openssh-server
複製代碼

修改端口爲2222

#!bash    
vim /etc/ssh/sshd_config

Port 2222
複製代碼

重啓服務

#!bash    
sudo service ssh restart
複製代碼

定義的安裝腳本在MHN服務器的web界面中，在"Deploy"這個選項下有全部蜜罐的安裝腳本。

http://192.168.5.11/ui/manage-deploy/?script_id=11
複製代碼

安裝完成後能夠經過如下命令來檢查

#!bash
sudo netstat –tunlp
＃產看當前的網絡鏈接狀況
supervisorctl status
#查看運行狀態
複製代碼

9.2 Wordpot

首先，安裝一個wordpress蜜罐在Ubuntu 14.04 LTS上，安裝完成後 sudo netstat –tunlp查看80端口是否打開， sudo supervisorctl status能夠查看服務的運行狀態。訪問後該ip,看到下圖

若是想更改wp的插件和相關設置，

#!bash
vim /opt/wordpot/wordpot.conf
複製代碼

使用nmap掃描該80端口

#!bash
nmap -A -Pn -p80 192.168.10.21
複製代碼

經過nmap識別80看到的是wordpress 2.8，運行的http版本是0.96,識別出來的python 2.7.6的版本。這種端口掃描不會被記錄，回傳到MHN服務。

使用wpscan進行掃描

#!bash
wpscan –url http://ip/
複製代碼

9.3 p0f被動指紋識別系統

p0f是一個被動的系統指紋識別工具，藉助它能夠快速識別操做系統的類型和其餘的信息，它在MHN中部署也是很容易的，p0f有能夠根據已有的指紋，可以快速的匹配，雖然不是一個精確計算，可是識別度很高。

經過netstat命令的輸出能夠看到沒有p0f沒有去新建新的進程來實現網絡監聽。

若是所要保護的ssh端口處於防火牆後或者前端有一個IPS/IDS，獲取這些數據的時候就比較麻煩。

若是咱們在安裝了wordpot的機器上安裝p0f，一個訪問wordpot的80端口的請求不會觸發wordpot的報警，可是p0f會觸發，MHN只是可以顯示攻擊者攻擊的端口，可是不能顯示關於操做系統類型，uptime和其餘的信息。p0f的日誌是純文本的，分析和收集數據不是太容易，還好p0f存在API，還有一些其餘的工具，能夠幫助咱們快速分析。

若是須要正在進行攻擊的系統系統的信息，能夠從/var/log/p0f.out中提取，可使用python、bash、sed、grep等來幫助你快速的獲取想要的信息。想要獲取相關ip的系統信息，可使用如下這個命令

#!bash
grep -n 「\[ 192.168.10.151.*\(syn\)\|os\s*=」 /var/log/p0f.out
複製代碼

若是想要得到更多關於p0f的信息，訪問 http://www.sans.org/security-resources/idfaq/p0f.php，查看相關接口信息https://github.com/p0f/p0f/blob/master/docs/README，還有很重要的一點，p0f把攻擊的信息保存在MHN服務的mongodb中，其餘的一些信息，如操做系統類型等信息沒有展示出來，有可能下一個版本會對這些信息進行展現。

9.4 kippo蜜罐

kippo是一箇中等交互式的ssh蜜罐，安裝它很容易，可是要注意如下

1.ssh服務默認監聽的是22端口，/etc/ssh/sshd_config爲默認配置文件，要想正常運行，須要修改監聽端口到2222。

2.安裝完成後須要重啓服務。

3.supervisor可使kippo程序運行，可是不可以中止它，這須要修改部署腳本

進入web的deploy界面，選擇kippo,在部署腳本後添加下面這些東西

#!bash
command=/opt/kippo/start.sh #modify this command for the line below

command=su kippo -c 「authbind –deep twistd -n -y /opt/kippo/kippo.tac -l /opt/kippo/log/kippo.log –pidfile /opt/kippo/kippo.pid」

stopsignal=QUIT #Modify this line for the line below

stopasgroup=true
複製代碼

編輯完成後點擊update保存，安裝完成後就能夠看到kippo監聽在22端口,ssh服務在2222端口，下次ssh登陸的服務器的時候須要指定ssh -p 2222 ip，不然登陸的爲kippo。

如下是一些關於kippo的介紹，包括如何配置以及工做原理：

1.默認的ssh登陸帳戶名密碼爲root/12345,也能夠進行配置，配置的路徑在 /opt/kippo/data/userdb.txt，同時當攻擊者登錄後，使用useradd和passwd添加帳戶和密碼的時候也會保存在這個文件裏面．

2.當攻擊者下載文件時，下載的文件會被保存在/opt/kippo/dl

3.能夠設置蜜罐中命令執行後的返回值，也能夠添加命令．例如來修改ifconfig命令的輸出，能夠編輯/opt/kippo/txtcmds/sbin/ifconfig這個文本文件。

4.有一個特色就是，當攻擊者輸入exit想退出的時候，其實沒有退出，只是顯示退出，給攻擊者一個假象，覺得回到的他的本機，他接下來的操做仍是會被記錄到日誌中。

5.你能夠更改/opt/kippo/honeyfs，裏面保存模擬的系統的文件等內容，使蜜罐更像真實環境。

6.log存儲在/opt/kippo/log/kippo.log，你也能夠修改配置，把log存儲到數據庫中，數據庫的表結構在 /opt/kippo/doc/sql目錄中。

7.每一次登陸成功後的操做都會把日誌單獨再存儲一份，存儲的路徑在/opt/kippo/log/tty,能夠經過在/opt/kippo/utils中的playlog.py腳本，來重現這個操做過程。
複製代碼

安裝和配置kippo後，若是有人嘗試登陸，會被記錄登陸所使用的用戶名和密碼。

咱們用nmap來掃描，看到如下信息

根據nmap的輸出，咱們看到22端口已經被識別爲ssh服務，其中輸出的ssh版本可以在kippo.cfg中被修改，這種簡單的掃描是不會在MHN服務上產生記錄的若是咱們使用hydra(https://www.thc.org/thc-hydra/),去進行暴力破擊(hydra -l root -P darkc0de.lst ssh://192.168.10.21),hydra在鏈接的時候會出現一些問題，可是咱們使用 medusa(http://foofus.net/goons/jmk/medusa/medusa.html)時，暴力破解的命令以下

#!bash
medusa -u root -P darkc0de.lst -M ssh -h 192.168.10.21
複製代碼

每進行一次嘗試登陸，都會產生一條掃描記錄，若是想更瞭解kippo，能夠參考http://edgis-security.org/honeypot/kippo/

9.5 Suricata網絡入侵檢測和阻止引擎

Suricata的部署腳本沒有問題，直接執行就行了，部署完成後須要重啓服務。Suricata是一個IDS,監聽的接口爲eth0,規則是經過crontab中的/etc/cron.daily/update_suricata_rules.sh腳本，天天都從MHN服務更新的(能夠開啓或者關閉規則)

正如supervisor顯示的，只有一個進程，沒有生成其餘的服務，由於他只是一個IDS,若是咱們使用nmap進行掃描，只看到一個ssh服務，這側掃描會被記錄，同時在MHN中顯示

Sensor Log:

MHN Server:

Suricata只會把攻擊報告給MHN服務，可是攻擊細節存儲在Suricata的日誌中，不會被顯示

1./var/log/suricata.log:日誌記錄了Suricata進程相關的信息，如啓動報錯，錯誤的規則等等，這份日誌由supervisor產生
2./var/log/suricata/：設計到suricata操做的輸入日誌，報警日誌，http請求日誌，dns請求日誌等等
3./var/log/suricata/http.log：http請求，不是報警
4./var/log/suricata/fast.log：一行存儲一個報警
5./var/log/suricata/eve.json：格式爲json，包含報警和相關的事件
6./var/log/suricata/unified2.alert：報警文件爲Barnyard2格式
（http://www.forensicswiki.org/wiki/Barnyard2）
複製代碼

Suricata的配置文件

1./opt/suricata/etc/suricata/classification.config :報警的優先級
2./opt/suricata/etc/suricata/reference.config ：使用的漏洞數據庫
3./opt/suricata/etc/suricata/suricata.yaml ：suricata的配置文件
4./opt/suricata/etc/suricata/reference.config ：經過配置來減小報警的數量，例如不想記錄全部ICMP請求的來源爲同樣的ＩＰ
複製代碼

IDS/IPS配置是很複雜的，這裏只是簡單的說明，須要詳細瞭解suricata的，訪問這裏http://suricata-ids.org/docs/

9.6 snort

snort是像Suricata同樣的IDS/IPS，和Suricata使用相似的規則，同時工做方式也很像，一樣部署腳本沒有問題，經過crontab.daily來更新規則庫，不會其餘用來監聽鏈接的服務

它的配置文件和Suricata使用的suricata.yaml很像，它的配置文件爲snort.conf，日誌存儲在/var/log/snort/alert目錄下.

想更加了解snort，訪問https://www.snort.org/

9.7 Amun

Amun蜜罐已經很久沒有更新了，這裏不作過多的討論。

9.8 Shockpot

Shockpot是一個web蜜罐，用來模擬破殼漏洞,CVE-2014-6271 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271,破殼漏洞是一個影響很普遍的漏洞，影響Mac OsX,Linux和Unix，這個漏洞產生在GNU Bash(shell)上，容許遠程命令執行，雖然已經出現了補丁，但不是全部的機器都有更新。使用這個蜜罐，能夠用來捕獲這個漏洞的利用代碼，

關於這個漏洞的詳情https://shellshocker.net/

部署腳本有一些問題，進入Deploy頁面，選擇Shockpot對期作一點修改,在＂#Config for supervisor. ＂和＂EOF＂中加入一下代碼

[fetch_public_ip]

enabled = false

urls = [「http://api.ipify.org",」
http://bot.whatismyipaddress.com/」]
複製代碼

若是服務器有公網IP，就加入上面這一段．

安裝完成後重啓服務

看到如下運行的進程，有一個新的服務在80上監聽

若是經過瀏覽器去訪問http://ip ，會看到"It Works!"這個默認的Apache頁面

telnet ip 80
GET / HTTP/1.0
複製代碼

返回如下頭部

顯示這是一個Debian服務器，使用了PHP和OpenSSL

nmap -A -p80 192.168.10.21
複製代碼

上面的這些操做MHN是不會記錄的，下面咱們來攻擊蜜罐

#!bash
curl -H 「User-Agent: () { :; }; /bin/ping -c 1 TARGET_HOST_IP」 http://SHOCKPOT_IP     
複製代碼

我看看到日誌裏輸出/var/log/shockpot/shockpot.log report

MHN中的記錄

更多關於破殼的利用https://blog.cloudflare.com/inside-shellshock/

9.9 Conpot

Conpot是一個工業控制系統和Scada蜜罐，針對這些類型的攻擊是在近幾年快速增加，是由於安全在工業系統中要求較低，才形成了如今這種場面，安全專家們也在想辦法保護這些脆弱的系統。

安裝簡單，安裝完成後須要重啓服務，使用supervisorctl status 能夠看到一個進程，可是使用netsta 能夠看到好幾個監聽的端口。

Conpot使用了一些模塊，可以提供如下服務

MODBUS TCP —> tcp/502
HTTP —> tcp/80
SNMP —> udp/161
S7COMM —> tcp/102
複製代碼

使用nmap掃描

nmap -A -p1-1000 192.168.10.21
複製代碼

#!bash
nmap -sU -p161–script snmp-sysdescr 192.168.10.21
複製代碼

產生的記錄

9.10 Glastopf

Glastopf是最好的web蜜罐，它模擬了不少漏洞，特別是遠程文件包含漏洞，能夠捕獲到攻擊只插入的文件．部署依舊很簡單，安裝完成後重啓服務，你會看到一個進程

netstat 會有如下輸出

模擬的http,mongodb只在本地監聽．

#!bash
nmap -A -p80 192.168.10.21
複製代碼

你能看到模擬的是apache，咱們使用web漏洞掃瞄器像niko(https://cirt.net/Nikto2) nikto -h 192.168.10.21

nikto報告了5536個項目，顯然蜜罐對攻擊者頗有吸引力，咱們到MHN的web界面上看到全部的攻擊報告，可是若是咱們點擊Payload，選擇glastopf.events,咱們能夠看到不少記錄，在「Regex term」中輸入"rfi"會看到下面這些

對於這些被下載的文件，咱們可以看到它們的md5值，這些文件都保存在/opt/glastopf/data
Glastopf是很好配置的，/opt/glastopf/glastopf.cfg配置文件，日誌/opt/glastopf/log/glastopf.log.

官網

https://www.honeynet.org/sites/default/files/files/KYT-Glastopf-Final_v1.pdf

9.11 dionaea

dionaea將有漏洞的服務暴露出來，容許攻擊者發送保存任何文件，安裝簡單

看到下面

暴露的服務

服務列表

#!bash
tcp/5060 —> SIP Protocol
tcp/5061 —> SIP Protocol over TLS
tcp/135 —>  Remote procedure Call RPC
tcp/3306 —> MySQL Database
tcp/42 —>  WINS Protocol
tcp/21 —> FTP Protocol
tcp/1433 —> MSSQL
tcp/445 —> SMB over TCP
udp/5060 —> SIP Protocol
udp/69 —> TFTP

nmap -sS -sV -p1-65535 192.168.10.21
複製代碼

在掃描結果中，咱們看到ftp和smb服務的指紋是＂Dionaea Honeypot＂，這種掃描產生的記錄都被記錄了，掃描UDP

#!bash
nmap -sU -sV -p69,5060 192.168.10.21
複製代碼

咱們沒有修改banner，會被nmap識別，若是須要修改，編輯 /usr/lib/dionaea/python/dionaea這個python文件，須要更加了解他，訪問http://www.securityartwork.es/2014/06/05/avoiding-dionaea-service-identification/?lang=en，配置文件在 /etc/dionaea/dionaea.conf,日誌保存在/var/dionaea/log/dionaea.log

使用nessus進行掃描，發現了53個問題，45個info，３個緊急

咱們看到有MS04-007漏洞，這個漏洞可以執行任意代碼，經過向主機發送ASN.1編碼後的數據包，Metasploit中使用的模塊是「MS04-007 Microsoft ASN.1 Library Bitstring Heap Overflow」，使用Metasploit發起攻擊，會返回「The SMB server did not reply to our request」，這種攻擊會報告給mhn,攻擊的細節保存在/var/dionaea/bistreams/.

0x10 總結

咱們已經大概瞭解了mhn的整體概況，怎麼安裝和怎麼去部署蜜罐節點，還有這些蜜罐大概的一些狀況。若是你清楚你想作的，部署蜜網是頗有用的．能夠獲取攻擊者更準確的信息，而後來作防護。

在部署蜜罐節點是，儘量的根據具體狀況來組合部署，這樣能夠是攻擊者花費更多的時間，從中獲取更多的信息，爭取到更多的響應時間。

例如snort,Glastopf,Dionaea和kippo，在具體部署以前先要好好測試，避免在真實環境中出現意想不到的問題。

我的的見解：曾經作過相似的一個東西，不過相比這個來講就有些粗糙了，MHN中支持的開源蜜罐種類不少，基本已經涵蓋了現有全部的開源蜜罐，能夠根據具體的業務場景來組合。也能夠根據具體的場景來作二次開發，由於回傳的數據有些簡單了。若是是放置在內網中，報警功能就頗有必要性，內網中得蜜罐只是爲了可以延緩攻擊的進度，以及及時發現入侵，從而切斷入口。

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。