https://kylingit.com/tags/honeypot/index.xml Recent content in Honeypot on 诗与胡说 Hugo -- gohugo.io zh_cn Copyright © 2021 Kylinking https://kylingit.com/blog/%E5%85%B3%E4%BA%8E-mhn-%E7%9A%84%E4%B8%80%E4%BA%9B%E9%83%A8%E7%BD%B2%E4%BB%8B%E7%BB%8D/ Fri, 30 Sep 2016 14:32:18 +0000 https://kylingit.com/blog/%E5%85%B3%E4%BA%8E-mhn-%E7%9A%84%E4%B8%80%E4%BA%9B%E9%83%A8%E7%BD%B2%E4%BB%8B%E7%BB%8D/ <script src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/pangu.js"></script> <h3 id="简介">简介</h3> <p><a href="https://itandsecuritystuffs.wordpress.com/2015/02/03/honeypot-networks/">MHN (Modern Honey Network)</a> 是一个开源软件，它集成了多种蜜罐，简化了蜜罐的部署，同时便于收集和统计蜜罐的数据。 它包括</p> <ul> <li><p>Sort: <a href="https://www.snort.org/">https://www.snort.org/</a></p></li> <li><p>Suricata: <a href="http://suricata-ids.org/">http://suricata-ids.org/</a></p></li> <li><p>Dionaea: <a href="http://dionaea.carnivore.it/">http://dionaea.carnivore.it/</a>, 它是一个低交互式的蜜罐，能够模拟MSSQL, SIP, HTTP, FTP, TFTP等服务 drops中有一篇介绍： <a href="http://drops.wooyun.org/papers/4584">http://drops.wooyun.org/papers/4584</a></p></li> <li><p>Conpot: <a href="http://conpot.org/">http://conpot.org/</a></p></li> <li><p>Kippo: <a href="https://github.com/desaster/kippo">https://github.com/desaster/kippo</a>, 它是一个中等交互的蜜罐，能够下载任意文件。 drops中有一篇介绍： <a href="http://drops.wooyun.org/papers/4578">http://drops.wooyun.org/papers/4578</a></p></li> <li><p>Amun: <a href="http://amunhoney.sourceforge.net/">http://amunhoney.sourceforge.net/</a>, 它是一个低交互式蜜罐，但是已经从2012年之后不在维护了。</p></li> <li><p>Glastopf： <a href="http://glastopf.org/">http://glastopf.org/</a></p></li> <li><p>Wordpot： <a href="https://github.com/gbrindisi/wordpot">https://github.com/gbrindisi/wordpot</a></p></li> <li><p>ShockPot： <a href="https://github.com/threatstream/shockpot">https://github.com/threatstream/shockpot</a>, 模拟的CVE-2014-6271，即破壳漏洞</p></li> <li><p>p0f： <a href="https://github.com/p0f/p0f">https://github.com/p0f/p0f</a></p></li> </ul> <p>具体的介绍可以看 WooYun Drops 的一篇文章 <a href="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/others/%E8%9C%9C%E7%BD%90%E7%BD%91%E7%BB%9C.html">蜜罐网络</a></p> <p>安装过程不再赘述，讲讲实际部署中遇到的一些问题</p> <!-- more --> <h3 id="一些注意点">一些注意点</h3> <h4 id="一">一</h4> <p>首先，MHN honeymap 是一个控制端，可以认为是“总部”，把它安装在一台机器上就好，它负责记录和显示所有子节点上的攻击数据，部署脚本也在这台机器上，想要部署一个蜜罐到多台服务器上，只要运行它提供的部署脚本就可以，安装和配置都会自动完成，结果会显示在这台控制端。</p> <p>先上一个正常运行的页面</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/HoneyMap.jpg" alt="HoneyMap" /></p> <p>因为部署了差不多100台蜜罐分布在全球不同的地区，这里看上去还是蛮壮观的。红色的代表正在发起攻击的 ip 地理位置，黄色的代表受攻击方，也就是蜜罐的 ip ，显示结果是实时的。</p> <p>这是统计信息，包括 TOP 5 IPs, TOP 5 ports, TOP 5 Honey Pots, TOP 5 Sensors, TOP 5 Attacks Signatures，所有记录都会保存在 Mongodb 数据库中，这里只是显示过去 24 小时的</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/Dashboard.jpg" alt="Dashboard" /></p> <h4 id="二">二</h4> <p>MHN 的 HoneyMap 显示页面使用的是 3000 端口，控制页面运行在 80 端口，80 端口需要验证登录，3000 端口是开放的，建议用 iptables 对端口进行一些保护，需要注意的是，当利用脚本部署不同的蜜罐时，需要从这台服务器下载脚本和配置文件，这时候 80 端口不能被设置成不允许访问，不然没法部署成功。</p> <h4 id="三">三</h4> <p>Map 页面就是显示的地图，这里一开始点击会显示说 404，需要在配置文件把页面地址更改一下 <code>vim /opt/mhn/server/config.py</code></p> <p>把 <code>HONEYMAP_URL = ':3000'</code></p> <p>改成 <code>HONEYMAP_URL = 'http://ip:3000'</code></p> <p>ip 即为该服务器 ip</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/map.jpg" alt="Map" /></p> <p>Deploy 页面即保存部署蜜罐的脚本，可以下拉选择不同的蜜罐，也可以自定义脚本。它提供的脚本不一定完全适用，有些情况需要自己更改一下。复制上面的 Deploy Command 到另外的机器上执行，完成后一般就会在 Sensors 显示新安装的蜜罐节点。</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/Deploy.jpg" alt="Deploy" /></p> <p>Attacks 页面显示的是具体的攻击情况，包括时间，节点，国家，源ip和源端口，使用的协议以及发生在哪个蜜罐上</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/Attacks.jpg" alt="Attacks" /></p> <p>Plyloads 页面显示一些攻击行为的 payload，包括 sql 注入，恶意扫描等，它会记录所有 url 访问</p> <p>Rules 页面可以自定义一些触发规则，一般保持默认就好</p> <p>Sensors 是各个蜜罐节点的情况，成功运行的蜜罐会在这里显示</p> <p>Charts 页面会显示 ssh 蜜罐收集到的用户名密码等，这里显示的是 cowrie 捕捉到的一些 ssh 尝试登录，以及 top 用户名和密码</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/passwd.jpg" alt="Charts" /></p> <h3 id="关于具体的蜜罐">关于具体的蜜罐</h3> <h4 id="cowrie">cowrie</h4> <p>这是一个中等交互的SSH蜜罐，关于它的介绍在 Freebuf 上有一篇 <a href="http://www.freebuf.com/articles/network/112065.html">文章</a>，如何安装如何配置在上面都有，不再赘述。 如果运行出错，查看日志发现问题 &gt; getDSAkeys - TypeError: must be long, not mpz</p> <p>这是由于 Twisted 库不兼容引起的，解决办法是</p> <pre><code>$ cd cowrie/data $ ssh-keygen -t dsa -b 1024 -f ssh_host_dsa_key </code></pre> <p>需要注意尽量不要将 22 端口暴露在公网，可以使用 iptables 转发到 cowrie 的运行端口，同时将正常的 ssh 服务运行在另外的端口。</p> <h4 id="dionaea">dionaea</h4> <p>这是一个低交互式的蜜罐，能够模拟MSSQL, SIP, HTTP, FTP, TFTP等服务，安装过程参考上面的文章 如果运行 &gt; supervisorctl status</p> <p>遇到问题</p> <pre><code>unix:///var/run/supervisor.sock refused connection </code></pre> <p>解决办法是</p> <pre><code>sudo supervisord -c /etc/supervisor/supervisord.conf sudo supervisorctl -c /etc/supervisor/supervisord.conf </code></pre> <h4 id="glastopf">glastopf</h4> <p>glastopf 是一款低交互式 Web 蜜罐，它能记录包括 sql 注入，XSS 攻击等常见的 Web 攻击类型</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/Payloads.jpg" alt="Payload" /></p> <h4 id="suricata">suricata</h4> <p>网络入侵检测和阻止引擎 这个蜜罐没有运行成功，后续解决掉问题可能会更新上来。</p> <p>目前部署的就这几个蜜罐，其它的可能会根据需要安装部署，有时间的话会更新。</p> <script>pangu.spacingPage();</script> https://kylingit.com/blog/ubuntu-16.04-%E5%AE%89%E8%A3%85-glastopf/ Fri, 22 Jul 2016 14:32:18 +0000 https://kylingit.com/blog/ubuntu-16.04-%E5%AE%89%E8%A3%85-glastopf/ <script src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/pangu.js"></script> <p><code>glastopf</code>是一个开源的低交互式Web应用蜜罐，用python编写，可以在各种操作系统上部署，可以方便监控和捕获恶意文件样本，攻击方式等，后期也有开源脚本利于统计分析，同时方便安装配置。</p> <h3 id="项目地址">项目地址</h3> <blockquote> <p><a href="https://github.com/mushorg/glastopf">https://github.com/mushorg/glastopf</a></p> </blockquote> <h3 id="安装依赖">安装依赖</h3> <p>python要求2.7+，pip要求2.7+</p> <!-- more --> <h4 id="pymongo">pymongo</h4> <p><code>pip2.7 install --upgrade pymongo</code></p> <h4 id="numpy-and-other-deps">numpy and other deps</h4> <pre><code>pip2.7 install numpy pip2.7 install chardet sqlalchemy lxml beautifulsoup pyOpenSSL requests MySQL-python pip2.7 install scipy </code></pre> <p>(be warned: pip installs software from alpha centauri so expect <em>some</em> delays. also compiling can take a while.)</p> <h4 id="antlr">antlr</h4> <pre><code>wget http://www.antlr3.org/download/antlr-3.1.3.tar.gz tar xzf antlr-3.1.3.tar.gz cd antlr-3.1.3/runtime/Python python2.7 setup.py install </code></pre> <h4 id="sklearn">SKLearn</h4> <pre><code>git clone git://github.com/scikit-learn/scikit-learn.git cd scikit-learn python2.7 setup.py install </code></pre> <h4 id="evnet">evnet</h4> <pre><code>git clone git://github.com/rep/evnet.git cd evnet python2.7 setup.py install </code></pre> <h3 id="或者直接安装">或者直接安装</h3> <pre><code>sudo apt-get update sudo apt-get install python2.7 python-openssl python-gevent libevent-dev python2.7-dev build-essential make sudo apt-get install python-chardet python-requests python-sqlalchemy python-lxml sudo apt-get install python-beautifulsoup mongodb python-pip python-dev python-setuptools sudo apt-get install g++ git php5 php5-dev liblapack-dev gfortran libmysqlclient-dev sudo apt-get install libxml2-dev libxslt-dev sudo pip install --upgrade distribute </code></pre> <h3 id="安装php-sandbox">安装PHP sandbox</h3> <pre><code>cd /opt sudo git clone git://github.com/mushorg/BFR.git cd BFR sudo phpize sudo ./configure --enable-bfr sudo make &amp;&amp; sudo make install </code></pre> <p>在<code>/etc/php/5/cli/php.ini</code>添加 <code>zend_extension = /usr/lib/php5/20090626+lfs/bfr.so</code> 或者 <code>zend_extension = /usr/lib64/php/modules/bfr.so</code></p> <h3 id="安装glastopf">安装Glastopf</h3> <p><code>sudo pip install glastopf</code> 或者编译安装</p> <pre><code>sudo git clone https://github.com/mushorg/glastopf.git cd glastopf sudo python setup.py install </code></pre> <h3 id="配置运行">配置运行</h3> <p><code>sudo glastopf-runner</code> 在目录下会产生db, data, log文件夹和一个glastopf.cfg配置文件，可以配置ip和端口，注意端口不要冲突 db存放本地sqlite数据库文件 运行<code>glastopf-runner</code> 浏览器访问Web 可以看到如下输出</p> <pre><code>2013-03-14 08:34:08,129 (glastopf.glastopf) Initializing Glastopf using &quot;/opt/myhoneypot&quot; as work directory. 2013-03-14 08:34:08,130 (glastopf.glastopf) Connecting to main database with: sqlite:///db/glastopf.db 2013-03-14 08:34:08,152 (glastopf.modules.reporting.auxiliary.log_hpfeeds) Connecting to feed broker. 2013-03-14 08:34:08,227 (glastopf.modules.reporting.auxiliary.log_hpfeeds) Connected to hpfeed broker. 2013-03-14 08:34:11,265 (glastopf.glastopf) Glastopf started and privileges dropped. 2013-03-14 08:34:32,853 (glastopf.glastopf) 192.168.10.85 requested GET / on 192.168.10.102 2013-03-14 08:34:32,960 (glastopf.glastopf) 192.168.10.85 requested GET /style.css on 192.168.10.102 2013-03-14 08:34:33,021 (glastopf.glastopf) 192.168.10.85 requested GET /favicon.ico on 192.168.10.102 </code></pre> <h3 id="参考">参考</h3> <blockquote> <p><a href="https://github.com/mushorg/glastopf/blob/master/docs/source/installation/installation_ubuntu.rst">https://github.com/mushorg/glastopf/blob/master/docs/source/installation/installation_ubuntu.rst</a> <a href="http://seccentral.blogspot.com/2013/02/how-to-install-glastopf-on-centos-6-in.html">http://seccentral.blogspot.com/2013/02/how-to-install-glastopf-on-centos-6-in.html</a></p> </blockquote> <script>pangu.spacingPage();</script>