网络安全-蜜罐学习笔记

Posted lady_killer9

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络安全-蜜罐学习笔记相关的知识,希望对你有一定的参考价值。

目录


什么是蜜罐?

蜜罐的概念

蜜罐(Honeypot):在现实世界中,原本是抓熊的,通过伪装成“食物”,引诱熊来享用。在网络安全中,蜜罐是一种入侵诱饵,引诱黑客进行攻击,进而浪费黑客的时间和资源,收集黑客的信息,保留证据。是具有单个诱饵节点的蜜罐系统形态,是蜜罐系统最原始的表现形态。
蜜饵:一般是一个文件,工作原理和蜜罐类似,也是诱使攻击者打开或下载。当黑客看到“XX下半年工作计划.docx”、“XX环境运维手册.pdf”、“员工薪酬名单-20210630.xslx”这种文件时,往往难以忍住下载的欲望,这样就落入了防守方的陷阱。
蜜标:是一种特殊的蜜饵,它不是任何的主机节点,而是一种带标记的数字实体。它被定义为不用于常规生产目的的任何存储资源,例如文本文件,电子邮件消息或数据库记录。蜜标必须是特有的,能够很容易与其他资源进行区分,以避免误报。
蜜网(Honeynet):是在同一网络中配置多个诱饵节点的蜜罐系统形态。简单的说:“蜜网就是一大片蜜罐,连成了网”,但是这张“网”需要和业务强相关。
蜜场(Honeyfarm):蜜场是通过代理的方式扩展诱饵节点部署范围的蜜罐系统形态。蜜网虽好,使用起来仍然有一些麻烦,不仅需要大量的管理和维护工作,而且还要防止蜜罐被攻破、攻击者从蜜罐里跑出来继续做坏事。采用了重定向技术的蜜场就应运而生。

蜜罐的分类

根据部署,蜜罐可能被归类为:

  • 生产蜜罐:易于使用,仅捕获有限的信息,主要由公司使用。生产蜜罐被组织放置在生产网络内与其他生产服务器一起,以改善其整体安全状态。通常生产蜜罐是低交互蜜罐,更易于部署。与研究蜜罐相比,它们提供的攻击或攻击者信息较少。
  • 研究蜜罐:是为了收集有关针对不同网络的黑客社区的动机和策略的信息。这些蜜罐不会为特定组织增加直接价值; 相反,它们用于研究组织面临的威胁,并学习如何更好地防范这些威胁。研究蜜罐的部署和维护非常复杂,可以捕获大量信息,主要用于研究、军事或政府组织。

根据设计标准,蜜罐可分为:

  • 纯蜜罐:拥有完整的生产系统。通过使用已安装在蜜罐的网络链接上的点击来监视攻击者的活动。不需要安装其他软件。即使纯蜜罐是有用的,防御机制的隐秘性也可以通过更加可控的机制来确保。
  • 高交互蜜罐:模仿托管各种服务的生产系统的活动,因此,攻击者可能会被许多服务浪费时间。通过使用虚拟机,可以在单个物理机器上托管多个蜜罐。因此,即使蜜罐受到损害,它也可以更快地恢复。通常,高交互蜜罐通过难以检测提供更高的安全性,但维护起来很昂贵。如果虚拟机不可用,则必须为每个蜜罐维护一台物理计算机,这可能过于昂贵。高交互蜜罐也称作为蜜网
  • 低交互蜜罐:只模拟攻击者经常请求的服务。由于它们消耗的资源相对较少,因此可以在一个物理系统上轻松托管多个虚拟机,虚拟系统的响应时间短,所需的代码更少,从而降低了虚拟系统安全性的复杂性。

蜜罐的历史

  • 1990年 ,《The cuckoo’s egg》 提出蜜罐概念
  • 1997年,第一个被公开发布出来的蜜罐工具包是由著名的安全专家Fred Cohen创建的DTK(Deception Toolkit)。DTK的0.1版本在1997年11月发布,是一种免费提供的蜜罐解决方案。
  • 1998年,随着蜜罐的价值更加受到重视,第一个商业蜜罐产品CyberCop Sting正式现身。该产品最初由Secure Network Inc.的Alfred Huger开发,于1998年被NAI购买。
  • 1999年,HoneyNet项目的创建可以说为蜜罐在安全领域的地位打下了非常坚实的基础。这是由几十名安全专家发展的一个非赢利性质的项目,在这个项目中提出了的HoneyNet是一种高级的蜜罐形式。
  • 从2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追踪侵入到蜜网中的黑客,并对他们的攻击行为进行分析。

开源蜜罐

说几个开源蜜罐,按star数量排序

cowrie(3.9k)

owrie 是一个中高交互 SSH 和 Telnet 蜜罐,旨在记录暴力攻击和攻击者执行的 shell 交互。在中等交互模式(shell)下,它在 Python 中模拟 UNIX 系统,在高交互模式(代理)下,它充当 SSH 和 telnet 代理,以观察攻击者对另一个系统的行为。

安装使用

有docker,很方便

输出

  • 时间戳
  • 攻击者ip、端口
  • 目的ip、端口
  • 账号密码
  • 公钥及类型
  • 上传的文件
  • 命令行的输入

以上为部分输出,更多请看参考的链接,找到cowrie的手册
另外,可以将输出作为ELK、Splunk的输入,方便安全运营人员进行分析。

tpotce(3.2k)

多合一蜜罐平台,包含cowrie、elasticpot、honeytrap等开源蜜罐,很多都在蜜罐整理项目awsome-honeypots中。

安装使用

没有docker,使用iso,github上有提供。安装后有图形化管理界面。
架构

图形化界面

Hfish(3.1k)

HFish是一款安全、简单可信赖的跨平台蜜罐软件,允许商业和个人用户免费使用。基于 Golang 开发,跨平台多功能主动攻击型蜜罐钓鱼平台框架系统。

  • 多功能 不仅仅支持 HTTP(S) 钓鱼,还支持 SSH、SFTP、Redis、mysql、FTP、Telnet、暗网等
  • 扩展性 提供 API 接口,使用者可以随意扩展钓鱼模块 ( WEB、PC、APP )
  • 便捷性 使用 Golang 开发,使用者可以在 Win + Mac + Linux 上快速部署一套钓鱼平台

特点

  • 安全可靠:主打低中交互蜜罐,简单有效;云端高交互蜜罐,方便安全。
  • 功能丰富:含有43种高低交互蜜罐,支持基本网络服务、OA系统、CRM系统、NAS存储系统、Web服务器、运维平台、无线AP、交换机/路由器、邮件系统、IoT设备等40多种蜜罐服务,支持用户制作自定义Web蜜罐,支持用户进行流量牵引到云蜜网、可开关的扫描感知能力、支持可自定义的蜜饵配置;
  • 开放透明:支持对接微步在线X社区API、五路syslog输出、支持邮件、钉钉、企业威胁、飞书、自定义WebHook告警输出;
  • 快捷管理:支持单个安装包批量部署,支持批量修改端口和服务;
  • 跨平台:支持Linux x32/x64/ARM、Windows x32/x64平台、国产操作系统、龙芯、海光、飞腾、鲲鹏、腾云、兆芯硬件;

安装使用

支持docker、windows、linux部署

国内蜜罐产品

知道创宇 - 创宇蜜罐

内网防御蜜罐,具有黑客画像、溯源、蜜饵投递、报表等功能

关键词

迷惑、诱捕、溯源

用户痛点

  • 0day漏洞攻击无法识别,未知风险难以抵御
  • 入侵者进入内网后无法及时发觉
  • 入侵者成功内网防御无纵深,真实内网信息一览无遗
  • 入侵者来去无踪, 被动且无法取证

解决方案

  • 基于攻击行为分析, 捕获0day未知攻击
  • 感知攻击行为和攻击事件
  • 构建内网迷墙, 吸引攻击者进入,延缓攻击
  • 捕获攻击者信息,匹配攻击者自然人身份

使用




不能加下划线哈

蜜罐类型:OA类(然之OA)、开发应用类(hadoop)、客户管理系统(JSHEPP)、访问控制系统(webmin)、中间件(structs2)、数据库(Mogoexpress)、其他(Discuzz)
需要联系工作人员审核…那就算了


虽然是官网给的一个测试的,但也不至于就直接把手机号全显示了吧…敏感信息,隐私保护还是要时时刻刻考虑的。

长亭科技 - 谛听

关键词

伪装 感知 捕获 追溯

用户痛点与解决方案

使用

可以申请使用,我没有申请,不过有白皮书

观安 - 魅影

主要功能

应用场景

锦行科技 - 幻云

需要申请使用,没找到白皮书

其他的还有

  • 幻盾、幻阵(默安)
  • 蜃景(360)
  • 有影、有饵(元支点)
  • 春秋云阵(永信至诚)
  • 幻云(锦行科技)
  • 捕风(安天)
  • 明鉴迷网(安恒)
  • 御阵(腾讯)
  • 潜听(天融信)
  • 听无声、戍将(经纬信安)
  • 幻影(非凡安全)安全牛-基于蜜罐实现拟态仿真与主动欺骗防御
  • 天燕(启明星辰)
  • 幻境(卫达)

一些思考

有哪些功能?

能模拟大多数常见协议、能够模拟影响面广泛的应用协议和漏洞、能够在TCP/UDP全端口捕获未知的恶意扫描、蜜罐便于协议扩展、蜜罐结果的数据格式简单便于分析。

单节点?

需要支持分布式

便捷性?

方便部署,最好一键部署

扩展性?

模块化,方便增删

个性化?

提供个性化定制,更加逼真,与企业业务混淆,迷惑黑客

诱捕?

结合WAF恶意流量转发,无感进入蜜罐

参考

GitHub-awesome-honeypots
Github-cowrie
GitHub-tpotce
GitHub-HFish
知道创宇 - 创宇蜜罐
观安 - 魅影
长亭科技 - 谛听
锦行科技 - 幻云
安全牛-这四张图帮你了解基于蜜罐技术的幻云
先知社区-蜜罐项目-端口流量转发(透传ip)方案调研
先知社区-蜜罐调研与内网安全
FreeBuf-HFish蜜罐使用心得
FreeBuf-开源蜜罐T-Pot
Freebuf-开源蜜罐测评报告
FreeBuf-从零编写一个自己的蜜罐系统
FreeBuf-用免费蜜罐工具配置Modbus工控蜜罐
FreeBuf-基于docker的自制蜜罐
安全牛-DeepDig智能蜜罐:把黑客变成免费渗透测试服务人员
安全牛-Honware:可以检测零日漏洞的物联网蜜罐
安全牛-沙箱、蜜罐和欺骗防御的区别

以上是关于网络安全-蜜罐学习笔记的主要内容,如果未能解决你的问题,请参考以下文章

***检测-蜜罐

蜜罐技术

网络安全-蜜罐学习笔记

Hfish蜜罐的搭建与测试

蜜罐对企业安全的作用

逻辑陷阱型蜜罐合约