***检测-蜜罐

蜜罐

蜜罐是什么
蜜罐技术本质上是一种对***方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使***方对它们实施***,从而可以对***行为进行捕获和分析,了解***方所使用的工具与方法,推测***意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比是情报收集系统。蜜罐好像是故意让人***的目标,引诱***前来***。所以***者***后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的***和漏洞。还可以通过窃听***之间的联系,收集***所用的种种工具,并且掌握他们的社交网络。

蜜罐技术本质上是一种对***方进行欺骗的技术,通过布置一些作为诱饵的主机。

cowrie 被动方式

什么是cowrie

Cowrie是一款中度交互的SSH与Telnet蜜罐,它可以获取***者用于暴力破解的字典、输入的命令以及上传或下载的恶意文件。

特性:

  1. 伪装的文件系统可增加/移除文件;完整的文件系统搭配有Debian 5.0;
  2. 可增加文件内容,***者就能用cat命令查看如/etc/passwd等文件;系统中进包含最少的文件内容;
  3. 会话日志记录在UML兼容格式中,便于重演;
  4. Cowrie保存文件,下载用wget/curl,或者为后续检查——上传采用SFTP和scp;

安装运行cowrie

useradd cowrie
passwd cowrie
yum install -y git python-virtualenv bzip2-devel libffi-devel vim net-tools mysql-devel
yum groupinstall "Development Tools"
git clone https://github.com/cowrie/cowrie.git

创建虚拟环境
复制代码

virtualenv -p python2.7 cowrie-env
source cowrie-env/bin/activate

#Python虚拟环境执行
pip install six packaging appdirs
pip install -r requirements.txt

cp cowrie.cfg.dist cowrie.cfg
chown -R cowrie /opt/cowrie/

复制代码

端口环境配置
复制代码

vim /etc/ssh/sshd_config
...
#Port 22为Port 321

vim cowrie.cfg #文件修改
...
listen_port = 2222

复制代码

配置防火墙

firewall-cmd --permanent --add-port=321/tcp
firewall-cmd --zone=public --add-masquerade --permanent
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=2222 --permanent
firewall-cmd --permanent --list-all
firewall-cmd --reload
systemctl restart sshd

配置Mysql数据库

wget https://dev.mysql.com/get/mysql57-community-release-el7-11.noarch.rpm
yum localinstall mysql57-community-release-el7-11.noarch.rpm
yum install mysql-community-server
systemctl start mysqld
systemctl enable mysqld
systemctl daemon-reload

Python mysql包

. cowrie-env/bin/activate
pip install mysql-python

导入/opt/cowrie/docs/sql/mysql.sql

修改配置文件
复制代码

[output_mysql]
enabled = true
host = localhost
database = cowrie
username = cowrie
password = 123456
port = 3306

复制代码

Kali 测试***

hydra -l root -P ./password.txt -f ssh://IP

蜜罐 elastichoney

配置go环境

https://golang.google.cn/dl/

环境变量:
复制代码

vim ~/.bashrc
...
export GOROOT=/usr/local/go
export GOPATH=/opt/goblog
export PATH=$PATH:$GOPATH:/usr/local/go/bin

source /etc/profile

复制代码

下载环境

go get github.com/fw42/go-hpfeeds
git clone https://github.com/jordan-wright/elastichoney.git

在编译前需要修改配置:

https://ifconfig.co/ip

运行

go get github.com/fw42/go-hpfeeds
git clone https://github.com/jordan-wright/elastichoney.git

在编译前需要修改配置:

https://ifconfig.co/ip

下载环境

go build -o elastichoney
./elastichoney -config="config.json" -log="logs/elastichoney.log" -verbose=true

原文地址:https://blog.51cto.com/865516915/2426103

时间: 2024-10-23 22:01:41

***检测-蜜罐的相关文章

入.侵检测-蜜罐

原文地址:https://blog.51cto.com/10945453/2399346

C&C控制服务的设计和侦测方法综述——DDoS攻击,上传从宿主机偷窃的到的信息,定时给感染机文件加密勒索等。

这篇文章总结了一些我在安全工作里见到过的千奇百怪的C&C控制服务器的设计方法以及对应的侦测方法,在每个C&C控制服务先介绍黑帽部分即针对不同目的的C&C服务器设计方法,再介绍白帽部分即相关侦测办法,大家来感受一下西方的那一套.这里的白帽部分有一部分侦测方法需要一些数据和统计知识,我也顺便从原理上简单讨论了一下用数据进行安全分析的方法,从数学和数据原理上思考为什么这么做,可以当作数据科学在安全领域的一些例子学习一下. 0x00 什么是C&C服务器 C&C服务器(又称C

入侵检测技术综述-蜜罐(1)

一.burpsuite pro 版本下载地址https://pan.baidu.com/s/1pMoBYVh   密码bq42 二.入侵检测技术 1.计算机系统面临的威胁 拒绝服务 概念---->目标服务器不能提供正常的服务, 引发缘由 服务请求超载,在短时间内向服务器发送大量请求,是目标服务器来不及处理,最终导致服务器奔溃, SYN洪水,利用TCP协议在短时间内向服务器发送大量半开链接服务,即只发送SYN/ACK报文,而不发送最后的ACK报文,使得目标服务器保留链接资源,希望收到可能传送的报文

虚拟机检测技术剖析

作者:riusksk (泉哥)主页:http://riusksk.blogbus.com 前言在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛.这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的.运行在一个完全隔离环境中的完整计算机系统.通过虚拟机软件(比如VMware,Virtual PC ,VirtualBox),你可以在一台物理计算机上模拟

基于第三代蜜罐网关ROO,简单搭建攻防网络环境。

课程需要搭建网络攻防环境,在过程中,总结问题,并进行解决,现将经验总结如下. 蜜罐网关概述 蜜网网关的目的是搜集安全威胁的信息,以发现新的入侵工具.测定攻击模式.研究攻击者的动机,利用Honeynet搜集的信息可以更好地理解和对付来自内部和外部的威胁.它通过构造一个有着明显安全漏洞的系统来引诱入侵者对其进行攻击,让攻击者将时间和精力都费在蜜网中,从而使他们远离真正的网络.蜜网技术提供了一套完整的.能够发现并深入分析网络安全威胁的体系框架,并具备了许多主动安全防御的特性,如能够消耗攻击者的时间,获

虚拟机检测技术攻防

前言 在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛.这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的.运行在一个完全隔离环境中的完整计算机系统.通过虚拟机软件(比如VMware,Virtual PC ,VirtualBox),你可以在一台物理计算机上模拟出一台或多台虚拟的计算机,这些虚拟机完全就像真正的计算机那样进行工作,例如你可以安装操作

蜜罐系列2 dionaea

1 Dionaea背景 Dionaea设计的目的主要用于捕获恶意软件的样本,它通过模拟网络中带有漏洞的服务用来trap恶意软件.Dionaea作为nepenthes的替代者,通过使用libemu检测shellcodes.目前模拟支持网络服务包括: SMB 监听445端口 支持文件上传,主要目的吸引蠕虫 (services/smb.yaml) FTP 监听21端口 支持创建目录.上传和下载文件 (services/ftp.yaml) TFTP 监听69端口 支持udp连接请求 (services/

JavaScript数据类型检测

一.JavaScript 数据类型 1.基本数据类型(6种) Undefined Null Boolean Number String Symbol (ES6新增) 2.引用数据类型: Object 二.数据类型检测 1. typeof 可以检测除null 外的基本类型.null 和所有对象的typeof都是"object", 不能用于检测用户自定义类型. 比如Date, RegExp, Array, DOM Element的类型都是"object". var s

Android App退出检测

app的退出检测是很难的,但是获取app“要退出”的状态就容易多了,退出的瞬间并不是真的退出了,ActivityManager要销毁activity,也需要一些时间和资源的. 先见下面的运行效果:  gif做的比价粗啊, 两个activity的界面就不介绍了,主要是在APP启动的时候开启一个服务,application代码如下: public class MyApplication extends Application { @Override public void onCreate() {