切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
329 低交互蜜罐 dionaea[复制链接]
发表于 2012-10-20 16:35:18 | 显示全部楼层 |!read_mode!
高 和 低 区别

高交互蜜罐是一部装有真正操作系统(非模拟),并可完全被攻破的系统。与攻击者进行交互的是一部包含了完整服务栈(service stack)的真实系统。该系统的设计目的是捕获攻击者在系统中详尽的活动信息。而低交互蜜罐只是模拟出了真正操作系统的一部分(如,网络堆栈、过程和服务),例如模拟某个版本的FTP(文件传输协议)服务,其中的代码存在漏洞。这可能会吸引蠕虫查找服务脆弱部分的漏洞,由此可以深入观察到蠕虫的行为。

不过,在你使用这两种蜜罐时,需要做出一些折中。用于网络安全的高交互蜜罐提供了真实操作系统的服务和应用程序,使其可以获得关于攻击者更可靠的信息,这是它的优势。它还可以捕获攻击者在被攻破系统上的大量信息。这一点可能会非常有帮助,比如说,在组织想要收集关于攻击者是如何找到攻破特定类型系统的详细真实数据,以便增加适当的防御的时候。另一方面,这些蜜罐系统部署和维护起来十分困难,而且需要承担很高的副作用风险:例如,被攻破的系统可能会被用来攻击互联网上其他的系统。

虽然低交互蜜罐容易建立和维护,且一般对攻击者产生了免疫,但模拟可能不足以吸引攻击者,还可能导致攻击者绕过系统发起攻击,从而使蜜罐在这种情况下失效。到底部署哪种蜜罐取决于你最终的目标是什么:如果目标是捕获攻击者与系统的详细交互情况,那么高交互蜜罐是一个更好的选择;如果目标是捕获针对某个有漏洞的服务版本的恶意软件样本,使用低交互蜜罐就足够了。

在你决定使用哪种蜜罐部署时,另一个需要考虑的重要因素是:蜜罐是安装在物理系统上,还是安装在物理系统的几台虚拟机上。这将直接影响到系统维护的工作量。虽然虚拟系统自身的确有一系列安全问题,但虚拟系统允许快速回复,并能显著缩短部署和重新部署的时间。

安装
  1. root@Dis9Team:~# add-apt-repository ppa:honeynet/nightly
  2. root@Dis9Team:~# apt-get update
  3. root@Dis9Team:~# apt-get install dionaea
复制代码
默认配置文件

/etc/dionaea/dionaea.conf.dist 需要移动下

  1. root@Dis9Team:~# mv /etc/dionaea/dionaea.conf.dist /etc/dionaea/dionaea.conf
复制代码
配置文件中指定了目录 例如:

  1. tftp = {
  2.                         root = "var/dionaea/wwwroot"
复制代码

TFTP服务的目录指定到了var/dionaea/wwwroot 建立目录 给权限

  1. root@Dis9Team:~# mkdir -p /var/dionaea/wwwroot
  2. root@Dis9Team:~# mkdir -p /var/dionaea/binaries
  3. root@Dis9Team:~# mkdir -p /var/dionaea/log
  4. root@Dis9Team:~# chown -R nobody:nogroup /var/dionaea/
复制代码

并且替换成绝对地址

  1. root@Dis9Team:~# sed -i 's/var\/dionaea\///g' /etc/dionaea/dionaea.conf
  2. root@Dis9Team:~# sed -i 's/log\//\/var\/dionaea\/log\//g' /etc/dionaea/dionaea.conf
  3. root@Dis9Team:~# cat /etc/dionaea/dionaea.conf | grep /var/di
  4.                 file = "/var/dionaea/log/dionaea.log"
  5.                 file = "/var/dionaea/log/dionaea-errors.log"
  6. root@Dis9Team:~#
复制代码

var 已经被替换成/var了 OK了,dionaea蜜罐不能以ROOT权限执行,当然为了安全你可以新建个用户启动dionaea,这里随便用个组吧启动:

  1. root@Dis9Team:~# dionaea -c /etc/dionaea/dionaea.conf -w /var/dionaea -u nobody -g nogroup -D

  2. Dionaea Version 0.1.0
  3. Compiled on Linux/x86 at Jun 28 2012 23:21:37 with gcc 4.5.2
  4. Started on Dis9Team running Linux/i686 release 2.6.38-8-generic

  5. [14102012 03:58:46] dionaea dionaea.c:245: User nobody has uid 65534

  6. [14102012 03:58:46] dionaea dionaea.c:264: Group nogroup has gid 65534

  7. root@Dis9Team:~#
复制代码

查看监听:
  1. root@Dis9Team:~# netstat -antp | grep dionaea
  2. tcp        0      0 192.168.71.129:5060     0.0.0.0:*               LISTEN      3445/dionaea   
  3. tcp        0      0 127.0.0.1:5060          0.0.0.0:*               LISTEN      3445/dionaea   
  4. tcp        0      0 192.168.71.129:5061     0.0.0.0:*               LISTEN      3445/dionaea   
  5. tcp        0      0 127.0.0.1:5061          0.0.0.0:*               LISTEN      3445/dionaea   
  6. tcp        0      0 192.168.71.129:3306     0.0.0.0:*               LISTEN      3445/dionaea   
  7. tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      3445/dionaea   
  8. tcp        0      0 192.168.71.129:1433     0.0.0.0:*               LISTEN      3445/dionaea   
  9. tcp        0      0 127.0.0.1:1433          0.0.0.0:*               LISTEN      3445/dionaea   
  10. tcp6       0      0 fe80::20c:29ff:fef:5060 :::*                    LISTEN      3445/dionaea   
  11. tcp6       0      0 ::1:5060                :::*                    LISTEN      3445/dionaea   
  12. tcp6       0      0 fe80::20c:29ff:fef:5061 :::*                    LISTEN      3445/dionaea   
  13. tcp6       0      0 ::1:5061                :::*                    LISTEN      3445/dionaea   
  14. tcp6       0      0 fe80::20c:29ff:fef2:135 :::*                    LISTEN      3445/dionaea   
  15. tcp6       0      0 ::1:135                 :::*                    LISTEN      3445/dionaea   
  16. tcp6       0      0 fe80::20c:29ff:fef:3306 :::*                    LISTEN      3445/dionaea   
  17. tcp6       0      0 fe80::20c:29ff:fef2::42 :::*                    LISTEN      3445/dionaea   
  18. tcp6       0      0 ::1:3306                :::*                    LISTEN      3445/dionaea   
  19. tcp6       0      0 ::1:42                  :::*                    LISTEN      3445/dionaea   
  20. tcp6       0      0 fe80::20c:29ff:fef2::80 :::*                    LISTEN      3445/dionaea   
  21. tcp6       0      0 ::1:80                  :::*                    LISTEN      3445/dionaea   
  22. tcp6       0      0 fe80::20c:29ff:fef2::21 :::*                    LISTEN      3445/dionaea   
  23. tcp6       0      0 ::1:21                  :::*                    LISTEN      3445/dionaea   
  24. tcp6       0      0 fe80::20c:29ff:fef:1433 :::*                    LISTEN      3445/dionaea   
  25. tcp6       0      0 ::1:1433                :::*                    LISTEN      3445/dionaea   
  26. tcp6       0      0 fe80::20c:29ff:fef2:443 :::*                    LISTEN      3445/dionaea   
  27. tcp6       0      0 ::1:443                 :::*                    LISTEN      3445/dionaea   
  28. tcp6       0      0 fe80::20c:29ff:fef2:445 :::*                    LISTEN      3445/dionaea   
  29. tcp6       0      0 ::1:445                 :::*                    LISTEN      3445/dionaea   
  30. root@Dis9Team:~#
复制代码
伪造了很多服务 支持IP6伪造服务
  1. root@Dis9Team:~# nmap -sT 127.0.0.1 -T4

  2. Starting Nmap 5.51 ( http://nmap.org ) at 2012-10-14 04:01 PDT
  3. Nmap scan report for localhost (127.0.0.1)
  4. Host is up (0.00065s latency).
  5. Not shown: 971 closed ports
  6. PORT      STATE SERVICE
  7. 21/tcp    open  ftp
  8. 22/tcp    open  ssh
  9. 25/tcp    open  smtp
  10. 42/tcp    open  nameserver
  11. 80/tcp    open  http
  12. 110/tcp   open  pop3
  13. 135/tcp   open  msrpc
  14. 139/tcp   open  netbios-ssn
  15. 143/tcp   open  imap
  16. 443/tcp   open  https
  17. 445/tcp   open  microsoft-ds
  18. 465/tcp   open  smtps
  19. 631/tcp   open  ipp
  20. 993/tcp   open  imaps
  21. 995/tcp   open  pop3s
  22. 1023/tcp  open  netvenuechat
  23. 1025/tcp  open  NFS-or-IIS
  24. 1433/tcp  open  ms-sql-s
  25. 2103/tcp  open  zephyr-clt
  26. 2105/tcp  open  eklogin
  27. 2107/tcp  open  msmq-mgmt
  28. 3306/tcp  open  mysql
  29. 3372/tcp  open  msdtc
  30. 5000/tcp  open  upnp
  31. 5060/tcp  open  sip
  32. 5061/tcp  open  sip-tls
  33. 5432/tcp  open  postgresql
  34. 6129/tcp  open  unknown
  35. 10000/tcp open  snet-sensor-mgmt

  36. Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds
  37. root@Dis9Team:~#
复制代码





操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2020-11-1 00:44

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部