***检测-蜜罐

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了***检测-蜜罐相关的知识,希望对你有一定的参考价值。

蜜罐

蜜罐是什么
蜜罐技术本质上是一种对***方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使***方对它们实施***,从而可以对***行为进行捕获和分析,了解***方所使用的工具与方法,推测***意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比是情报收集系统。蜜罐好像是故意让人***的目标,引诱***前来***。所以***者***后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的***和漏洞。还可以通过窃听***之间的联系,收集***所用的种种工具,并且掌握他们的社交网络。

蜜罐技术本质上是一种对***方进行欺骗的技术,通过布置一些作为诱饵的主机。

cowrie 被动方式

什么是cowrie

Cowrie是一款中度交互的SSH与Telnet蜜罐,它可以获取***者用于暴力破解的字典、输入的命令以及上传或下载的恶意文件。

特性:

  1. 伪装的文件系统可增加/移除文件;完整的文件系统搭配有Debian 5.0;
  2. 可增加文件内容,***者就能用cat命令查看如/etc/passwd等文件;系统中进包含最少的文件内容;
  3. 会话日志记录在UML兼容格式中,便于重演;
  4. Cowrie保存文件,下载用wget/curl,或者为后续检查——上传采用SFTP和scp;

安装运行cowrie

useradd cowrie
passwd cowrie
yum install -y git python-virtualenv bzip2-devel libffi-devel vim net-tools mysql-devel
yum groupinstall "Development Tools"
git clone https://github.com/cowrie/cowrie.git

创建虚拟环境
复制代码

virtualenv -p python2.7 cowrie-env
source cowrie-env/bin/activate

#Python虚拟环境执行
pip install six packaging appdirs
pip install -r requirements.txt

cp cowrie.cfg.dist cowrie.cfg
chown -R cowrie /opt/cowrie/

复制代码

端口环境配置
复制代码

vim /etc/ssh/sshd_config
...
#Port 22为Port 321

vim cowrie.cfg #文件修改
...
listen_port = 2222

复制代码

配置防火墙

firewall-cmd --permanent --add-port=321/tcp
firewall-cmd --zone=public --add-masquerade --permanent
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=2222 --permanent
firewall-cmd --permanent --list-all
firewall-cmd --reload
systemctl restart sshd

配置Mysql数据库

wget https://dev.mysql.com/get/mysql57-community-release-el7-11.noarch.rpm
yum localinstall mysql57-community-release-el7-11.noarch.rpm
yum install mysql-community-server
systemctl start mysqld
systemctl enable mysqld
systemctl daemon-reload

Python mysql包

. cowrie-env/bin/activate
pip install mysql-python

导入/opt/cowrie/docs/sql/mysql.sql

修改配置文件
复制代码

[output_mysql]
enabled = true
host = localhost
database = cowrie
username = cowrie
password = 123456
port = 3306

复制代码

Kali 测试***

hydra -l root -P ./password.txt -f ssh://IP

蜜罐 elastichoney

配置go环境

https://golang.google.cn/dl/

环境变量:
复制代码

vim ~/.bashrc
...
export GOROOT=/usr/local/go
export GOPATH=/opt/goblog
export PATH=$PATH:$GOPATH:/usr/local/go/bin

source /etc/profile

复制代码

下载环境

go get github.com/fw42/go-hpfeeds
git clone https://github.com/jordan-wright/elastichoney.git

在编译前需要修改配置:

https://ifconfig.co/ip

运行

go get github.com/fw42/go-hpfeeds
git clone https://github.com/jordan-wright/elastichoney.git

在编译前需要修改配置:

https://ifconfig.co/ip

下载环境

go build -o elastichoney
./elastichoney -config="config.json" -log="logs/elastichoney.log" -verbose=true

以上是关于***检测-蜜罐的主要内容,如果未能解决你的问题,请参考以下文章

(2020上半年第70天(红蓝对抗-蓝队主机流量蜜罐等监控检测))小迪网络安全笔记

(2020上半年第70天(红蓝对抗-蓝队主机流量蜜罐等监控检测))小迪网络安全笔记

(2020上半年第70天(红蓝对抗-蓝队主机流量蜜罐等监控检测))小迪网络安全笔记

(2020上半年第70天(红蓝对抗-蓝队主机流量蜜罐等监控检测))小迪网络安全笔记

StrutsHoneypot:Struts2的蜜罐

HFish 蜜罐安装及使用