#说在前面
蜜罐(Honeypot)技术在安全圈子里算是一种主动助御技术,其实早在20年前就已经存在,是入侵检测技术的一个重要发展方向。当时,一帮荷兰黑客尝试黑进大名鼎鼎的贝尔实验室的系统(此时在想,这帮人里面有没有我最喜欢的荷兰足球运动员戴维斯^-^)
开个玩笑,继续接回来!而当时贝尔实验的研究团队就将这伙荷兰黑客引导到他们自己的创建的一个“数字形式的沙盒”,这个沙盒被认为是第一个蜜罐技术的落地。
蜜罐是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人而设计的,蜜罐系统是一个包含漏洞的诱骗系统,它通过摸拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务,因此所有试图与其进行连接的行为均可认为是可疑的,同时让攻击者在蜜罐上浪费时间,延缓对真正自标的攻击,从而使目标系统得到保护。以下是蜜罐的常规部署:
由于蜜罐技术的特性和原理,使得它可以对入侵的取证提供重要的信息和有用的线索,便于研究入侵者的攻击行为。从这个意义上讲,蜜罐是一个"诱捕"攻击者的陷阱。虽然蜜罐不会直接提高计算机网络安全,但它却是其他安全策略不可替代的一种主动防御技术。通过触发实时告警,就可以让安全人员及时知道已经有攻击者渗透到内网,并知道在哪台服务器已被控制以及攻击者在蜜罐上做了哪些动作和行为。
#Kippo开源蜜罐技术
Kippo是一款交互式的SSH蜜罐工具,具有很强的互动性,当攻击者拿到了蜜罐的SSH口令后可以登录到蜜罐服务器执行一些常见的Linux命令,与此同时,记录了黑客执行的全部shell交互。
Kippo代码的官方托管地址:git clone https://github.com/desaster/kippo.git
#Kippo特点
模仿了类似Debian系列安全后的文件系统,但都是假的文件系统,具有新增和删除文件的能力。也具有类似cat查看的能力,这样攻击者可以cat /etc/shadow等蜜罐中所谓的重要文件。
日志方面,兼容UML格式存储,更易于以原始的实践记录戳进行重放。
具有较高的欺骗性,如使用ssh时,好像可以连接到一台真正的系统中。
#Kippo捕获入侵
通过安装python以及相关的pip库文件,下载Kippo源码部署好后,模拟交互登录,假设真实ServerIP为192.168.190.130,通过修改sshd_config文件更改ssh端口为8222,同时关联Kippo蜜罐的端口2222。进行如下登录:
ssh root@192.168.190.130 –p 2222,当SSH登录成功并创建了交互式Shell,那shell的日志会被重放。以下是进入到蜜罐后,执行的命令cat /etc/passwd 和rm -rf /
宿主机端的kippo.log中同时记录出蜜罐里所执行的哪些命令。
到这里,一个蜜罐环境就此搭建成功,后期可以可通过splunk实现自动告警,把端口转发(rinetd.log)和蜜罐(kippo.log)这两份日志实时同步至splunk服务器。
