點亮個人攻擊地圖：樹莓派蜜罐節點部署實戰

時間 2019-11-05

原文原文鏈接

Part1 蜜罐網絡簡介

詳情請見： [http://drops.wooyun.org/papers/5968][url1-1] (蜜罐網絡) [url1-1]: http://drops.wooyun.org/papers/5968linux

採用MHN中心服務器和樹莓派蜜罐終端的方式主要考慮以下幾點git

MHN中心服務器可部署在獨立ip的遠程VPS上，部署簡單，支持多種蜜罐
樹莓派蜜罐終端成本低，部署也比較容易，部署好後能夠即插即用
MHN中心服務器彙總數據，展現；使得蜜罐終端能夠靈活部署在內外網，只要網絡能鏈接到MHN中心服務器便可

MHN簡介：github

MHN是一個開源軟件，它簡化了蜜罐的部署，同時便於收集和統計蜜罐的數據。用ThreatStream（http://threatstream.github.io/mhn/）來部署，MHN使用開源蜜罐來收集數據，整理後保存在Mongodb中，收集到的信息也能夠經過web接口來展現或者經過開發的API訪問。
MHN可以提供多種開源的蜜罐，能夠經過web接口來添加他們。一個蜜罐的部署過程很簡單，只須要粘貼，複製一些命令就能夠完成部署，部署完成後，能夠經過開源的協議hpfeeds來收集的信息。web

搭建好後，訪問3000端口，就會看到默認的世界地圖準備就緒（沒有數據來源的狀況下空白狀態）：shell

首先看MHN中心服務器支持的蜜罐終端的類型（仍是很豐富）:windows

這裏咱們選擇比較簡單的「Raspberry Pi-Dionaea」，就是樹莓派上的Dionaea蜜罐，Dionaea是個低交互蜜罐。
Dionaea簡介：api

Dionaea(捕蠅草) 低交互式蜜罐是 Honeynet Project 的開源項目，起始於 Google Summer of Code 2009，是Nepenthes(豬籠草)項目的後繼。Honeynet Project 是成立於 1999 年的國際性非盈利研究組織，致力於提升因特網的安全性，在蜜罐技術與互聯網安全威脅研究領域具備較大的影響力。
Dionaea 蜜罐的設計目的是誘捕惡意攻擊，獲取惡意攻擊會話與惡意代碼程序樣本。它經過模擬各類常見服務，捕獲對服務的攻擊數據，記錄攻擊源和目標IP、端口、協議類型等信息，以及完整的網絡會話過程，自動分析其中可能包含的 shellcode 及其中的函數調用和下載文件，並獲取惡意程序。
有別於高交互式蜜罐採用真實系統與服務誘捕惡意攻擊，Dionaea 被設計成低交互式蜜罐，它爲攻擊者展現的全部攻擊弱點和攻擊對象都不是真正的產品系統，而是對各類系統及其提供的服務的模擬。這樣設計的好處是安裝和配置十分簡單，蜜罐系統幾乎沒有安全風險，不足之處是不完善的模擬會下降數據捕獲的能力，並容易被攻擊者識別。安全

詳情見：http://drops.wooyun.org/tips/640 （Dionaea低交互式蜜罐部署詳解）bash

爲何用樹莓派呢？
樹莓派，沒玩過的能夠簡單理解爲一個微型計算機主機。百度百科:[樹莓派][url1-4] [url1-4]:http://baike.baidu.com/link?url=6sDixIpkBXPAm9Zz7ZjEYDHI5oP3SYtdNkAfZOb_QuZ5RqC3C0EiRx-EQaLEyf0uLpoXkcmM3k7luHUWWW1bfFKLQGusvJWA9dOYo7zMnxe 爲何選用樹莓派做爲終端呢？服務器

這兩年樹莓派軟硬件發展，社區建設也比較迅速，學習和使用比較便捷
成本低：一個樹莓派主體 + 電源 + SD卡不超過300元。
便攜，樹莓派很小，搭建好以後便於攜帶，即插即用。配合移動電源還能夠實現短期獨立供電。

Part2 樹莓派搭建Dionaea蜜罐實戰

本地搭建蜜罐終端前提：MHN已在遠程VPS搭建好且運行正常（其實蜜罐終端也可獨立部署，而後經過訪問查看捕獲到的攻擊數據和攻擊地圖展現，這裏說的不是這種模式）那麼開始搭建樹莓派蜜罐吧，讓地圖閃動起來~

樹莓派部署Dionaea參考教程（放輕鬆，姿式正常的話會很順利）： [https://github.com/threatstream/mhn/wiki/Deploying-Dionaea-on-a-Raspberry-Pi][url2-1] [url2-1]:https://github.com/threatstream/mhn/wiki/Deploying-Dionaea-on-a-Raspberry-Pi 爲了少出錯誤，基本按照官方教程來。

工具和軟件準備

在Windows7下進行工具的下載和樹莓派SD卡的處理（此次用的是一個16GB的SD卡，用讀卡器鏈接到電腦上）用到的工具（前兩個）

工具下載連接：
[SDFromatter][url2-2]
[NOOBS_lite][url2-3] [url2-2]:https://www.sdcard.org/downloads/formatter_4/ [url2-3]:http://downloads.raspberrypi.org/NOOBS_lite_latest 用「SDFromatter」軟件格式化SD卡，直接用Windows格式化應該也能夠，注意下磁盤格式，考慮到後邊樹莓派裝的linux系統。
把「NOOBS_lite」下載，解壓後以下圖，整個拷貝到SD卡中。

樹莓派聯網安裝所需操做系統

而後準備工做就作好了，能夠把SD卡插到樹莓派中，給樹莓派鏈接上網線（保證樹莓派可以穩定上網就行），啓動，就進入安裝界面，按照教程一步步操做就行了。注意：這個安裝實際上是安裝的操做系統，邊下載邊安裝，很慢，我安裝的時候，整整等了12個小時才安好...（安裝的是Debian GNU/Linux system）

而後就能夠重啓進入樹莓派系統了。

幾個建議作的樹莓派初始化設置

首次啓動的設置，用戶及密碼設置

首次啓動將出現系統初始配置的界面，這個界面在也能夠在以後的終端窗口中經過sudo raspi-config 激活選擇2 Change User Password ，改一下pi用戶的密碼，初始密碼爲空或者raspberry。
root用戶默認沒開啓，從新開啓root帳號，可由pi用戶登陸後，在命令行下執行
sudo passwd root
執行此命令後系統會提示輸入兩遍的root密碼，輸入你想設的密碼便可，而後在執行
sudo passwd --unlock root
這樣就能夠解鎖root帳戶了。

讓樹莓派支持中文

終端中輸入（一般須要root權限）：
sudo apt-get install ttf-wqy-zenhei
將安裝文泉驛的開源中文字體
輸入法呢？ Linux 下早就有，叫 SCIM （ Smart Common Input Method ），輸入：
sudo apt-get install scim-pinyin

時間設置

部署的MHN的中心服務器在國外，默認是是格林尼治時間（世界時間）：
Greenwich Mean Time(GMT): 10/22/2015 08:52:41 Thursday(星期四)
想把樹莓派設置成國內的本地時間，
使用時區設置，sudo dpkg-reconfigure tzdata
試了幾種，最後選擇time zone「Asia/Chita」就對了

網絡設置

默認設置是DHCP，根據須要修改，可改爲靜態ip。
設置樹莓派爲靜態ip的方法和debian linux修改是同樣的，
只須要修改文件sudo vi /etc/network/interfaces文件便可。

開啓SSH服務

終端裏，sudo raspi-config 。選項8
8-4-ssh enable 。打開ssh服務。
遠程鏈接putty和winscp，直接root登陸默認是禁止的。
putty的ssh能夠，普通用戶接入，而後su，改爲root用戶。

在樹莓派上安裝和部署Dionaea蜜罐，和中心服務器進行鏈接

前提是樹莓派已經接入了局域網，爲了方便，能夠在電腦上SSH鏈接樹莓派，root權限下經過執行命令安裝Dionaea。
首先Web登陸遠程的MHN中心服務器：

複製這條命令執行便可，
wget "http://MHN服務器的ip/api/script/?text=true&script_id=10" -O deploy.sh && sudo bash deploy.sh http://MHN服務器的ip d5xofICf

等幾分鐘，蜜罐就部署好了，中心服務器就能看到這個節點了。

之後只要把這個樹莓派通電，連上網就能夠自動工做了。服務會開機自啓動的。

幾個須要解決的問題

部署在局域網的蜜罐如何檢測外網攻擊?

部署在局域網內的樹莓派蜜罐，只能檢測到內網的掃描行爲，你會發現那個攻擊地圖啥也沒有，並且一般狀況下，通常的單位被攻擊到內網的狀況比較少。想部署在外網呢？不少人又沒這個條件，成本也高。
因此，若是你的外網是ADSL或者電信寬帶，有獨立外網IP的話，能夠經過在出口路由器設置端口映射的方式。

端口映射出去，會給內網帶來必定的風險。可是Dionaea 被設計成低交互式蜜罐，它爲攻擊者展現的全部攻擊弱點和攻擊對象都不是真正的產品系統，而是對各類系統及其提供的服務的模擬，網絡配置適當的話，風險仍是比較小的。
這樣就可以檢測外網攻擊了。

如何快速批量地部署多個終端?

上述，安裝操做系統的時候須要聯網等待12個小時，仍是過久了。因此，推薦的解決辦法，是對一個安裝好操做系統，基本配置完成的樹莓派的SD卡進行鏡像克隆成img文件。而後就能夠方便地還原到新的SD卡中，還原後只須要執行最後一步安裝蜜罐的那條命令就行了。
試了幾種方法，各有利弊，可是推薦一種傻瓜式的方法，windows下使用win32diskimager軟件克隆，或者linux下使用dd命令克隆效果是同樣的。
但須要注意的是：這個克隆是全盤克隆，意思是說，我此次安裝的時候用的是16GB的SD卡，雖然安裝好後實際只用了4GB多，可是克隆後的img文件足足有14GB多，這樣的話，拿一個小於等於16GB的SD卡來進行還原，每每就會由於空間不足還原不了。
因此，強烈建議首次安裝的時候用小於等於8GB的SD卡，而後克隆成img鏡像，之後批量部署，就能夠方便地把這個img鏡像，還原到16GB大小的SD卡上直接使用了。（其實就複製4GB的方法也有，要麻煩些）

嘗試「win32diskimager-binary.rar」工具：
注意：爲了不奇葩的錯誤，請使用英文路徑，且路徑不要有空格。
先本身先創建一個後綴爲img的文件，例如miguan.img，要否則以後操做時會提示文件不存在。
而後以管理員身份運行這個程序，必要時關閉殺軟。

選中這個空的文件，而後用read命令，製做鏡像。

樹莓派Dionaea 蜜罐終端的穩定性問題?

試運行幾天後，我發現這個樹莓派Dionaea 蜜罐終端運行幾天後就捕捉不到攻擊行爲了，重啓後就能夠立馬恢復正常。或者是樹莓派蜜罐忽然斷網，網絡恢復後有時也會出現捕獲不到攻擊了。一個解決思路就是定時重啓。這樣能夠持續穩定運行。提及來容易，折騰了一夜才解決。
給出最簡單的解決方法：
藉助crontab定時任務，設定天天8點執行，比較常見的就是，echo命令能夠很順利執行，結果reboot命令，怎麼都不執行。權限問題。
試了好久，各類姿式。
最後發現，想要執行重啓，在root用戶下，必須把命令寫到 /etc/crontab 文件中，並且格式必須對，只要報錯就說明命令格式不對。
00 08 * * * root reboot 這個命令就能夠正常執行了天天8點重啓

nano編輯器也不錯

Ctrl + X 退出,而後Y保存
改動後
service cron restart 重啓服務
而後
service cron status 不報錯，就ok了

cron命令詳解：
[https://www.raspberrypi.org/documentation/linux/usage/cron.md][url2-4]
[url2-4]:https://www.raspberrypi.org/documentation/linux/usage/cron.md