020055f814d86b673a6a95e07c57983.jpg (9.07 KB, 下載次數(shù): 198)
下載附件
2021-09-13 15:26 上傳
#說在前面蜜罐(Honeypot)技術(shù)在安全圈子里算是一種主動助御技術(shù),其實(shí)早在20年前就已經(jīng)存在,是入侵檢測技術(shù)的一個重要發(fā)展方向。當(dāng)時,一幫荷蘭黑客嘗試黑進(jìn)大名鼎鼎的貝爾實(shí)驗(yàn)室的系統(tǒng)(此時在想,這幫人里面有沒有我最喜歡的荷蘭足球運(yùn)動員戴維斯^-^)
圖片1.png (992.37 KB, 下載次數(shù): 186)
下載附件
2021-09-13 15:27 上傳
開個玩笑,繼續(xù)接回來!而當(dāng)時貝爾實(shí)驗(yàn)的研究團(tuán)隊就將這伙荷蘭黑客引導(dǎo)到他們自己的創(chuàng)建的一個“數(shù)字形式的沙盒”,這個沙盒被認(rèn)為是第一個蜜罐技術(shù)的落地。 蜜罐是專門為吸引并誘騙那些試圖非法闖入他人計算機(jī)系統(tǒng)的人而設(shè)計的,蜜罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng),它通過摸擬一個或多個易受攻擊的主機(jī)和服務(wù),給攻擊者提供一個容易攻擊的目標(biāo)。由于蜜罐并沒有向外界提供真正有價值的服務(wù),因此所有試圖與其進(jìn)行連接的行為均可認(rèn)為是可疑的,同時讓攻擊者在蜜罐上浪費(fèi)時間,延緩對真正自標(biāo)的攻擊,從而使目標(biāo)系統(tǒng)得到保護(hù)。以下是蜜罐的常規(guī)部署:
圖片2.jpg (33.05 KB, 下載次數(shù): 186)
下載附件
2021-09-13 15:28 上傳
由于蜜罐技術(shù)的特性和原理,使得它可以對入侵的取證提供重要的信息和有用的線索,便于研究入侵者的攻擊行為。從這個意義上講,蜜罐是一個"誘捕"攻擊者的陷阱。雖然蜜罐不會直接提高計算機(jī)網(wǎng)絡(luò)安全,但它卻是其他安全策略不可替代的一種主動防御技術(shù)。通過觸發(fā)實(shí)時告警,就可以讓安全人員及時知道已經(jīng)有攻擊者滲透到內(nèi)網(wǎng),并知道在哪臺服務(wù)器已被控制以及攻擊者在蜜罐上做了哪些動作和行為。 #Kippo開源蜜罐技術(shù)Kippo是一款交互式的SSH蜜罐工具,具有很強(qiáng)的互動性,當(dāng)攻擊者拿到了蜜罐的SSH口令后可以登錄到蜜罐服務(wù)器執(zhí)行一些常見的Linux命令,與此同時,記錄了黑客執(zhí)行的全部shell交互。 #Kippo特點(diǎn)模仿了類似Debian系列安全后的文件系統(tǒng),但都是假的文件系統(tǒng),具有新增和刪除文件的能力。也具有類似cat查看的能力,這樣攻擊者可以cat /etc/shadow等蜜罐中所謂的重要文件。 日志方面,兼容UML格式存儲,更易于以原始的實(shí)踐記錄戳進(jìn)行重放。 具有較高的欺騙性,如使用ssh時,好像可以連接到一臺真正的系統(tǒng)中。 #Kippo捕獲入侵通過安裝python以及相關(guān)的pip庫文件,下載Kippo源碼部署好后,模擬交互登錄,假設(shè)真實(shí)ServerIP為192.168.190.130,通過修改sshd_config文件更改ssh端口為8222,同時關(guān)聯(lián)Kippo蜜罐的端口2222。進(jìn)行如下登錄: ssh root@192.168.190.130 –p 2222,當(dāng)SSH登錄成功并創(chuàng)建了交互式Shell ,那shell 的日志會被重放。以下是進(jìn)入到蜜罐后,執(zhí)行的命令cat /etc/passwd 和rm -rf /
圖片3.jpg (155.09 KB, 下載次數(shù): 189)
下載附件
2021-09-13 15:28 上傳
宿主機(jī)端的kippo.log中同時記錄出蜜罐里所執(zhí)行的哪些命令。
圖片4.jpg (296.44 KB, 下載次數(shù): 184)
下載附件
2021-09-13 15:28 上傳
到這里,一個蜜罐環(huán)境就此搭建成功,后期可以可通過splunk實(shí)現(xiàn)自動告警,把端口轉(zhuǎn)發(fā)(rinetd.log)和蜜罐(kippo.log)這兩份日志實(shí)時同步至splunk服務(wù)器。
|