本文主要討論蜜罐和蜜罐網絡,以及如何使用它們保護真實的系統,我們稱之為這個系統為MHN(Modern Honey Network,現代蜜網),它可以快速部署、使用,也能夠快速的從節點收集數據。
一、什么是蜜罐
蜜罐是存在漏洞的,暴露在外網或者內網的一個虛假的機器,具有以下這些特征:
1 其中重要的一點機器是虛假的,攻擊者需要花費時間攻破。在這段時間內,系統管理員能夠鎖定攻擊者同時保護真正的機器。
2 能夠學習攻擊者針對該服務的攻擊技巧和利用代碼。
3 一些蜜罐能夠捕獲惡意軟件,利用代碼等等,能夠捕獲攻擊者的0day,同時可以幫助逆向工程師通過分析捕獲的惡意軟件來提高自身系統的安全性。
4 在內網中部署的蜜罐可以幫助你發現內網中其他機器可能存在的漏洞。
蜜罐是把雙刃劍,如果不能正確的使用,有可能遭受更多的攻擊,模擬服務的軟件存在問題,也會產生新的漏洞。
蜜罐分為幾下幾類:
1.低交互式:低交互式模擬常規的服務,服務存在漏洞,但是模擬的這些漏洞無法被利用,開發和維護這種類型的蜜罐比較容易。
2.高交互式:高交互式使用的是真實的服務,有助於發現服務存在的新漏洞,同時能夠記錄所有的攻擊,但是,部署困難、維護成本高,一旦服務上存在的漏洞被利用,容易引發新的安全問題。
3.粘性蜜罐(Tarpits):這種類型的蜜罐,使用新的IP來生成新的虛擬機,模擬存在服務的漏洞,來做誘餌。因此攻擊者會花費長時間來攻擊,就有足夠的時間來處理攻擊,同時鎖定攻擊者。
還有其他類型的蜜罐,比如專門捕獲惡意軟件的,數據庫漏洞利用程序和垃圾郵件等等。當部署兩個或者兩個以上蜜罐時可以稱之為蜜網。
網上關於蜜罐的一些定義:
1.什么是蜜罐:
http://www.sans.org/security-resources/idfaq/honeypot3.php
2.蜜網:
http://www.honeynet.org/
3.蜜罐項目:
https://www.projecthoneypot.org/,攻擊者的IP和攻擊者的一些數據統計。
4.蜜罐的wiki:
http://en.wikipedia.org/wiki/Honeypot_(computing)
二、現代密網(MHN)
MHN是一個開源軟件,它簡化了蜜罐的部署,同時便於收集和統計蜜罐的數據。用ThreatStream(http://threatstream.github.io/mhn/)來部署,MHN使用開源蜜罐來收集數據,整理后保存在Mongodb中,收集到的信息也可以通過web接口來展示或者通過開發的API訪問。
MHN能夠提供多種開源的蜜罐,可以通過web接口來添加他們。一個蜜罐的部署過程很簡單,只需要粘貼,復制一些命令就可以完成部署,部署完成后,可以通過開源的協議hpfeeds來收集的信息。
MHN支持以下蜜罐:
1.Sort:https://www.snort.org/
2.Suricata:http://suricata-ids.org/
3.Dionaea:http://dionaea.carnivore.it/,它是一個低交互式的蜜罐,能夠模擬MSSQL, SIP, HTTP, FTP, TFTP等服務 drops中有一篇介紹:http://drops.wooyun.org/papers/4584
4.Conpot:http://conpot.org/
5.Kippo:https://github.com/desaster/kippo,它是一個中等交互的蜜罐,能夠下載任意文件。 drops中有一篇介紹:http://drops.wooyun.org/papers/4578
6.Amun:http://amunhoney.sourceforge.net/,它是一個低交互式蜜罐,但是已經從2012年之后不在維護了。
7.Glastopf:http://glastopf.org/
8.Wordpot:https://github.com/gbrindisi/wordpot
9.ShockPot:https://github.com/threatstream/shockpot,模擬的CVE-2014-6271,即破殼漏洞
10.p0f:https://github.com/p0f/p0f
三、MHN的硬件要求
MHN服務器:
4 GB Ram Dual Core Processor 40 Gb Drive
蜜罐:
512 Mb – 1 Gb Dual Core CPU 20 Gb Drive
具體部署時取決以蜜罐所在的位置,在防火牆后面或者在直接暴露在互聯網上,被攻擊次數不同,消耗的資源肯定也不同。如果只是測試着玩256M的內存就足夠了。
四、MHN的安裝
因為ThreatStream有部署腳本,所以安裝MHN很簡單,我們在只安裝了OpenSSH的Ubuntu 14.04 LTS (64 bits)上進行測試,安裝步驟如下:
1 2 3 4 5 |
sudo
apt-get update &&
sudo
apt-get upgrade
sudo
apt-get
install
git
sudo
git clone https:
//github
.com
/threatstream/mhn
cd
/opt/mhn/scripts
|
新版本中已經做了修改,安裝前可以做一下檢查
1 |
sudo
vim install_mnemosyne.sh
|
找到修改CHANNELS,添加shockpot.events 修改成下面的樣子
1 2 3 4 |
sudo
.
/install_hpfeeds
.sh
sudo
.
/install_mnemosyne
.sh
sudo
.
/install_honeymap
.sh
|
安裝完成后執行sudo supervisorctl status看到四個服務起來了
機器位於公網,就可以跳過這一步,如果只是放在內網里面,則需要配置mnemosyne的配置文件
1 2 |
sudo
vim
/opt/mnemosyne/mnemosyne
.cfg
ignore_rfc1918 = False
|
允許節點使用私有地址和服務器進行通信
重啟服務
1 |
sudo
supervisorctl restart mnemosyne
|
運行最后一個腳本,對MHN進行配置
1 2 3 4 5 6 7 8 9 10 11 12 |
sudo
.
/install_mhnserver
.sh
===========================================================
MHN Configuration
===========================================================
Do you wish to run
in
Debug mode?: y
/n
n
Superuser email: name@example.com
/* <![CDATA[ */!
function
(){try{var t=
"currentScript"
in
document?document.currentScript:
function
(){
for
(var t=document.getElementsByTagName(
"script"
),e=t.length;e--;)
if
(t[e].getAttribute(
"cf-hash"
))
return
t[e]}();
if
(t&&t.previousSibling){var e,r,n,i,c=t.previousSibling,a=c.getAttribute(
"data-cfemail"
);
if
(a){
for
(e=
""
,r=parseInt(a.substr(0,2),16),n=2;a.length-n;n+=2)i=parseInt(a.substr(n,2),16)^r,e+=String.fromCharCode(i);e=document.createTextNode(e),c.parentNode.replaceChild(e,c)}}}catch(u){}}();/* ]]> */
Superuser password:
Superuser password: (again):
Server base url [“http:
//1
.2.3.4″]: http:
//192
.168.5.3
Honeymap url [http:
//1
.2.3.4:3000]: http:
//192
.168.5.3:3000
Mail server address [“localhost”]:
Mail server port [25]:
Use TLS
for
email?: y
/n
y
Use SSL
for
email?: y
/n
y
Mail server username [“”]:
Mail server password [“”]:
Mail default sender [“”]:
Path
for
log
file
[“mhn.log”]:
|
這個過程需要比較長的時間,需要初始化數據庫,同時還要插入Snort/Suricata規則,腳本運行結束后,直接訪問配置中定義的base url,登錄后就可以配置
五、MHN服務器安裝
一旦安裝了基礎的服務,就能夠部署蜜罐節點了,通過web來展示相關數據等等,可以根據具體的境況做一些簡單的調整。
例如要非匿名的將收集到得攻擊數據回傳到ThreatStream,要做以下操作
1 2 |
cd
/opt/mhn/scripts
sudo
.
/disable_collector
.sh
|
執行enable_collector.sh可以開啟
如果想修改smtp服務的配置,可以編輯config.py,
絕對路徑
1 2 3 4 |
/opt/mhn/server/config
.py
cd
/opt/mhn/server
sudo
vim config.py
sudo
supervisorctl restart mhn-uwsgi
|
盡量不要使用超級管理員來配置,可以從web頁面中添加其他的用戶,但是所有用戶都是超級用戶,沒有任何區別,當你刪除用戶的時候,實際上並沒有吧該用戶刪除,只是在數據庫中標記為"not active",同時該用戶不能再次被使用,除非更改數據庫。
也可以從終端去直接更改用戶的密碼
1 2 3 4 5 6 7 |
cd
/opt/mhn/
source
env
/bin/activate
cd
server
python manual_password_reset.py
deactivate
|
六、排錯
如果發現服務不正常,你可以使用一些命令和排查一些日志來來判斷問題出在哪里,第一個命令就是supervisorctl,可以看到那些進程出問題了,那些在正常的運行
1 2 3 4 5 6 7 8 |
supervisorctlv status
supervisorctl restart [process|all]
supervisorctl start [process|all]
supervisorctl stop [process|all]
|
如果你發現一個進程的狀態為ERROR或者FATAL,就需在 /etc/supervisor/conf.d/找到對應進程的配置文件,查看日志進行分析 https://github.com/threatstream/mhn/wiki/MHN-Troubleshooting-Guide,尋求幫助 遇到的問題:
1.honeymap在安裝的時候報錯
1 2 3 4 |
hg clone http:
//code
.google.com
/p/go
.net/
mv
go.net/
/opt/honeymap/server/src/code
.google.com
/p/
go build
supervisorctl restart honeymap
|
七、MHN的web接口
MHN的web接口是很簡潔明了的,第一次訪問web截面時,需要輸入賬戶名和密碼,登錄成功后會看見一個總結性的頁面
1.在最近24小時內有多少攻擊着攻擊
2.攻擊次數排在前五的IP
3.被攻擊端口排在前五的端口
4.top 5的攻擊簽名
還有一些菜單選項可以進行配置或者獲取更多的攻擊細節
Map:查看攻擊者的IP在全球的分布
Deploy:添加,編輯和使用蜜罐的部署腳本
Attacks:所有攻擊者的列表
Payloads:所有攻擊的payload,其實只有三種蜜罐可以收集payload(snort,dionaea.glastofp)
Rules:所有的snort和suricata規則
Seneors:有安裝蜜罐節點操作的相關記錄
Settings:MHN服務的設置
攻擊來源全球的分布圖,運行在3000端口,是不需要驗證就能看到的,可以做ACL開控制訪問。
八、蜜罐節點
主要討論蜜罐,如何安裝,多么容易操作,以及會出現的問題,是否需要在進行特殊的配置等等。也會進行一些測試,看攻擊者如何攻擊,蜜罐對攻擊行為的記錄。最后會討論MHN如何收集信息,以及web所展現的數據。
8.1 安裝蜜罐節點
安裝蜜罐節點很容易,所有的節點都基於同樣的平台,MHN上對每個蜜罐都有對應的安裝腳本,所以安裝起來是非常容易的,只需要一個服務器去安裝。
我們在Ubuntu 14.04 LTS 上進行測試。建議通過ssh去訪問,如果不可以,請安裝ssh,修改對應的22端口,同時加防火牆保護
安裝ssh
1 |
sudo
apt-get update &&
sudo
apt-get upgrade &&
sudo
apt-get
install
openssh-server
|
修改端口為2222
1 2 |
vim
/etc/ssh/sshd_config
Port 2222
|
重啟服務
1 |
sudo
service
ssh
restart
|
定義的安裝腳本在MHN服務器的web界面中,在"Deploy"這個選項下有所有蜜罐的安裝腳本。
http://192.168.5.11/ui/manage-deploy/?script_id=11
安裝完成后可以通過以下命令來檢查
1 2 3 4 |
sudo
netstat
–tunlp
#產看當前的網絡連接情況
supervisorctl status
|
8.2 Wordpot
首先,安裝一個wordpress蜜罐在Ubuntu 14.04 LTS上,安裝完成后 sudo netstat –tunlp查看80端口是否打開, sudo supervisorctl status可以查看服務的運行狀態。 訪問后該ip,看到下圖
如果想更改wp的插件和相關設置,
1 |
vim
/opt/wordpot/wordpot
.conf
|
使用nmap掃描該80端口
1 |
nmap -A -Pn -p80 192.168.10.21
|
通過nmap識別80看到的是wordpress 2.8,運行的http版本是0.96,識別出來的python 2.7.6的版本。這種端口掃描不會被記錄,回傳到MHN服務。
使用wpscan進行掃描
1 |
wpscan –url http:
//ip/
|
8.3 p0f被動指紋識別系統
p0f是一個被動的系統指紋識別工具,借助它可以快速識別操作系統的類型和其他的信息,它在MHN中部署也是很容易的,p0f有可以根據已有的指紋,能夠快速的匹配,雖然不是一個精確計算,但是識別度很高。
通過netstat命令的輸出可以看到沒有p0f沒有去新建新的進程來實現網絡監聽。
如果所要保護的ssh端口處於防火牆后或者前端有一個IPS/IDS,獲取這些數據的時候就比較麻煩。
如果我們在安裝了wordpot的機器上安裝p0f,一個訪問wordpot的80端口的請求不會觸發wordpot的報警,但是p0f會觸發,MHN只是能夠顯示攻擊者攻擊的端口,但是不能顯示關於操作系統類型,uptime和其他的信息。p0f的日志是純文本的,分析和收集數據不是太容易,還好p0f存在API,還有一些其他的工具,可以幫助我們快速分析。
如果需要正在進行攻擊的系統系統的信息,可以從/var/log/p0f.out中提取,可以使用python、bash、sed、grep等來幫助你快速的獲取想要的信息。 想要獲取相關ip的系統信息,可以使用以下這個命令
1 |
grep
-n “\[ 192.168.10.151.*\(syn\)\|os\s*=”
/var/log/p0f
.out
|
如果想要獲得更多關於p0f的信息,訪問 http://www.sans.org/security-resources/idfaq/p0f.php,查看相關接口信息https://github.com/p0f/p0f/blob/master/docs/README,還有很重要的一點,p0f把攻擊的信息保存在MHN服務的mongodb中,其他的一些信息,如操作系統類型等信息沒有展現出來,有可能下一個版本會對這些信息進行展示。
8.4 kippo蜜罐
kippo是一個中等交互式的ssh蜜罐,安裝它很容易,但是要注意以下
1.ssh服務默認監聽的是22端口,/etc/ssh/sshd_config為默認配置文件,要想正常運行,需要修改監聽端口到2222。
2.安裝完成后需要重啟服務。
3.supervisor可以使kippo程序運行,但是不能夠停止它,這需要修改部署腳本
進入web的deploy界面,選擇kippo,在部署腳本后添加下面這些東西
1 2 3 |
command
=
/opt/kippo/start
.sh
command
=
su
kippo -c “authbind –deep twistd -n -y
/opt/kippo/kippo
.tac -l
/opt/kippo/log/kippo
.log –pidfile
/opt/kippo/kippo
.pid”
stopsignal=QUIT
stopasgroup=
true
|
編輯完成后點擊update保存,安裝完成后就可以看到kippo監聽在22端口,ssh服務在2222端口,下次ssh登錄的服務器的時候需要指定ssh -p 2222 ip,否則登錄的為kippo。
以下是一些關於kippo的介紹,包括如何配置以及工作原理:
1.默認的ssh登錄賬戶名密碼為root/12345,也可以進行配置,配置的路徑在 /opt/kippo/data/userdb.txt,同時當攻擊者登陸后,使用useradd和passwd添加賬戶和密碼的時候也會保存在這個文件里面. 2.當攻擊者下載文件時,下載的文件會被保存在/opt/kippo/dl 3.可以設置蜜罐中命令執行后的返回值,也可以添加命令.例如來修改ifconfig命令的輸出,可以編輯/opt/kippo/txtcmds/sbin/ifconfig這個文本文件。 4.有一個特點就是,當攻擊者輸入exit想退出的時候,其實沒有退出,只是顯示退出,給攻擊者一個假象,以為回到的他的本機,他接下來的操作還是會被記錄到日志中。 5.你可以更改/opt/kippo/honeyfs,里面保存模擬的系統的文件等內容,使蜜罐更像真實環境。 6.log存儲在/opt/kippo/log/kippo.log,你也可以修改配置,把log存儲到數據庫中,數據庫的表結構在 /opt/kippo/doc/sql目錄中。 7.每一次登錄成功后的操作都會把日志單獨再存儲一份,存儲的路徑在/opt/kippo/log/tty,可以通過在/opt/kippo/utils中的playlog.py腳本,來重現這個操作過程。
安裝和配置kippo后,如果有人嘗試登錄,會被記錄登錄所使用的用戶名和密碼。
我們用nmap來掃描,看到以下信息
根據nmap的輸出,我們看到22端口已經被識別為ssh服務,其中輸出的ssh版本能夠在kippo.cfg中被修改,這種簡單的掃描是不會在MHN服務上產生記錄的 如果我們使用hydra(https://www.thc.org/thc-hydra/),去進行暴力破擊(hydra -l root -P darkc0de.lst ssh://192.168.10.21),hydra在連接的時候 會出現一些問題,但是我們使用 medusa(http://foofus.net/goons/jmk/medusa/medusa.html)時,暴力破解的命令如下
1 |
medusa -u root -P darkc0de.lst -M
ssh
-h 192.168.10.21
|
每進行一次嘗試登錄,都會產生一條掃描記錄,如果想更了解kippo,可以參考http://edgis-security.org/honeypot/kippo/
8.5 Suricata網絡入侵檢測和阻止引擎
Suricata的部署腳本沒有問題,直接執行就好了,部署完成后需要重啟服務。Suricata是一個IDS,監聽的接口為eth0,規則是通過crontab中的/etc/cron.daily/update_suricata_rules.sh腳本,每天都從MHN服務更新的(可以開啟或者關閉規則)
正如supervisor顯示的,只有一個進程,沒有生成其他的服務,因為他只是一個IDS,如果我們使用nmap進行掃描,只看到一個ssh服務,這側掃描會被記錄,同時在MHN中顯示
Sensor Log:
MHN Server:
Suricata只會把攻擊報告給MHN服務,但是攻擊細節存儲在Suricata的日志中,不會被顯示
1./var/log/suricata.log:日志記錄了Suricata進程相關的信息,如啟動報錯,錯誤的規則等等,這份日志由supervisor產生 2./var/log/suricata/:設計到suricata操作的輸入日志,報警日志,http請求日志,dns請求日志等等 3./var/log/suricata/http.log:http請求,不是報警 4./var/log/suricata/fast.log:一行存儲一個報警 5./var/log/suricata/eve.json:格式為json,包含報警和相關的事件 6./var/log/suricata/unified2.alert:報警文件為Barnyard2格式 (http://www.forensicswiki.org/wiki/Barnyard2)
Suricata的配置文件
1./opt/suricata/etc/suricata/classification.config :報警的優先級 2./opt/suricata/etc/suricata/reference.config :使用的漏洞數據庫 3./opt/suricata/etc/suricata/suricata.yaml :suricata的配置文件 4./opt/suricata/etc/suricata/reference.config :通過配置來減少報警的數量,例如不想記錄所有ICMP請求的來源為一樣的IP
IDS/IPS配置是很復雜的,這里只是簡單的說明,需要詳細了解suricata的,訪問這里http://suricata-ids.org/docs/
8.6 snort
snort是像Suricata一樣的IDS/IPS,和Suricata使用類似的規則,同時工作方式也很像,同樣部署腳本沒有問題,通過crontab.daily來更新規則庫,不會其他用來監聽連接的服務
它的配置文件和Suricata使用的suricata.yaml很像,它的配置文件為snort.conf,日志存儲在/var/log/snort/alert目錄下.
想更加了解snort,訪問https://www.snort.org/
8.7 Amun
Amun蜜罐已經好久沒有更新了,這里不做過多的討論。
8.8 Shockpot
Shockpot是一個web蜜罐,用來模擬破殼漏洞,CVE-2014-6271 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271,破殼漏洞是一個影響很廣泛的漏洞,影響Mac OsX,Linux和Unix,這個漏洞產生在GNU Bash(shell)上,允許遠程命令執行,雖然已經出現了補丁,但不是所有的機器都有更新。使用這個蜜罐,可以用來捕獲這個漏洞的利用代碼,
關於這個漏洞的詳情https://shellshocker.net/
部署腳本有一些問題,進入Deploy頁面,選擇Shockpot對期做一點修改,在"#Config for supervisor. "和"EOF"中加入一下代碼
[fetch_public_ip] enabled = false urls = [“http://api.ipify.org",” http://bot.whatismyipaddress.com/”]
如果服務器有公網IP,就加入上面這一段.
安裝完成后重啟服務
看到以下運行的進程,有一個新的服務在80上監聽
如果通過瀏覽器去訪問http://ip ,會看到"It Works!"這個默認的Apache頁面
telnet ip 80 GET / HTTP/1.0
返回以下頭部
顯示這是一個Debian服務器,使用了PHP和OpenSSL
nmap -A -p80 192.168.10.21
上面的這些操作MHN是不會記錄的,下面我們來攻擊蜜罐
1 |
curl -H “User-Agent: () { :; };
/bin/ping
-c 1 TARGET_HOST_IP” http:
//SHOCKPOT_IP
|
我看看到日志里輸出/var/log/shockpot/shockpot.log report
MHN中的記錄
更多關於破殼的利用https://blog.cloudflare.com/inside-shellshock/
8.9 Conpot
Conpot是一個工業控制系統和Scada蜜罐,針對這些類型的攻擊是在近幾年快速增長,是因為安全在工業系統中要求較低,才造成了現在這種場面,安全專家們也在想辦法保護這些脆弱的系統。
安裝簡單,安裝完成后需要重啟服務,使用supervisorctl status 可以看到一個進程,但是使用netsta 可以看到好幾個監聽的端口。
Conpot使用了一些模塊,能夠提供以下服務
MODBUS TCP —> tcp/502 HTTP —> tcp/80 SNMP —> udp/161 S7COMM —> tcp/102
使用nmap掃描
nmap -A -p1-1000 192.168.10.21
1 |
nmap -sU -p161–script snmp-sysdescr 192.168.10.21
|
8.10 Glastopf
Glastopf是最好的web蜜罐,它模擬了很多漏洞,特別是遠程文件包含漏洞,可以捕獲到攻擊只插入的文件.部署依舊很簡單,安裝完成后重啟服務,你會看到一個進程
模擬的http,mongodb只在本地監聽.
1 |
nmap -A -p80 192.168.10.21
|
你能看到模擬的是apache,我們使用web漏洞掃瞄器像niko(https://cirt.net/Nikto2) nikto -h 192.168.10.21
nikto報告了5536個項目,顯然蜜罐對攻擊者很有吸引力,我們到MHN的web界面上看到所有的攻擊報告,但是如果我們點擊Payload,選擇glastopf.events,我們可以看到很多記錄,在“Regex term”中輸入"rfi"
對於這些被下載的文件,我們能夠看到它們的md5值,這些文件都保存在/opt/glastopf/dataGlastopf是很好配置的,/opt/glastopf/glastopf.cfg配置文件,日志/opt/glastopf/log/glastopf.log.
官網
https://www.honeynet.org/sites/default/files/files/KYT-Glastopf-Final_v1.pdf
8.11 dionaea
dionaea將有漏洞的服務暴露出來,允許攻擊者發送保存任何文件,安裝簡單
服務列表
1 2 3 4 5 6 7 8 9 10 11 |
tcp
/5060
—> SIP Protocol
tcp
/5061
—> SIP Protocol over TLS
tcp
/135
—> Remote procedure Call RPC
tcp
/3306
—> MySQL Database
tcp
/42
—> WINS Protocol
tcp
/21
—> FTP Protocol
tcp
/1433
—> MSSQL
tcp
/445
—> SMB over TCP
udp
/5060
—> SIP Protocol
udp
/69
—> TFTP
nmap -sS -sV -p1-65535 192.168.10.21
|
在掃描結果中,我們看到ftp和smb服務的指紋是"Dionaea Honeypot",這種掃描產生的記錄都被記錄了,掃描UDP
1 |
nmap -sU -sV -p69,5060 192.168.10.21
|
我們沒有修改banner,會被nmap識別,如果需要修改,編輯 /usr/lib/dionaea/python/dionaea這個python文件,需要更加了解他,訪問http://www.securityartwork.es/2014/06/05/avoiding-dionaea-service-identification/?lang=en,配置文件在 /etc/dionaea/dionaea.conf,日志保存在/var/dionaea/log/dionaea.log
使用nessus進行掃描,發現了53個問題,45個info,3個緊急
我們看到有MS04-007漏洞,這個漏洞能夠執行任意代碼,通過向主機發送ASN.1編碼后的數據包,Metasploit中使用的模塊是 “MS04-007 Microsoft ASN.1 Library Bitstring Heap Overflow”,使用Metasploit發起攻擊,會返回“The SMB server did not reply to our request”,這種攻擊會報告給mhn,攻擊的細節保存在/var/dionaea/bistreams/.
九、總結
我們已經大概了解了mhn的總體概況,怎么安裝和怎么去部署蜜罐節點,還有這些蜜罐大概的一些情況。如果你清楚你想做的,部署蜜網是很有用的.可以獲取攻擊者更准確的信息,然后來做防御。
在部署蜜罐節點時,盡可能的根據具體情況來組合部署,這樣可以是攻擊者花費更多的時間,從中獲取更多的信息,爭取到更多的響應時間。
例如snort,Glastopf,Dionaea和kippo,在具體部署之前先要好好測試,避免在真實環境中出現意想不到的問題。
MHN中支持的開源蜜罐種類很多,基本已經涵蓋了現有所有的開源蜜罐,可以根據具體的業務場景來組合。也可以根據具體的場景來做二次開發,因為回傳的數據有些簡單了。如果是放置在內網中,報警功能就很有必要性,內網中得蜜罐只是為了能夠延緩攻擊的進度,以及及時發現入侵,從而切斷入口。