0*00 前言
首先给大家介绍一下蜜罐, 蜜罐最为重要的功能是对系统中所有操作和行为进行监视和记录, 他可以帮助我们追踪溯源. 简单的说蜜罐就是一个 "假目标", 故意暴露一个网络中的弱点给攻击者, 攻击者会对这个 "假目标" 发起攻击, 在攻击的过程中殊不知自己的 IP 地址和操作等信息都被一一记录下来. 过研究和分析这些信息, 可以分析出攻击者采用的攻击工具, 攻击手段, 攻击目的和攻击水平等信息. 在企业内部在不同网络内搭建多个蜜罐诱捕节点可以大大帮助我们提高攻击追踪溯源的能力. 蜜罐的作用大小取决于蜜罐的真实性, 越 "真" 越能欺骗到攻击者 "上当".
Kippo 是一款强大的 SSH 蜜罐工具, 它具有很强的互动性, 当攻击者拿到了蜜罐的 SSH 口令后可以登录到蜜罐服务器执行一些常见的 Linux 命令.
0*01 搭建
在搭建 Kippo 之前首先给大家介绍一个蜜罐系统 --HoneyDrive,HoneyDrive 是一个运行在 Linux 下的蜜罐系统, 在 HoneyDrive 上具有几十个各种各样的蜜罐程序, 如 Dionaea,Amun malware honeypots,Wordpot 等 ,Kippo 是 HoneyDrive 上比较典型的蜜罐. HoneyDrive 就是一个 Xubuntu 的虚拟机系统, 把虚拟机导入到 vmware 或 VMbox 中就可以运行了.
我们可以在 HoneyDrive 中运行以下命令来运行 Kippo.
/honeydrive/kippo/start.sh
当运行成功后, 我们可以使用 SSH 工具, 如 XSHELL 来连接我们创建的蜜罐.
在蜜罐中可以执行基本的 Linux 的命令, 他都会有回复, 如 ifconfig,ps 等命令. 如下如, 当然了, 这个显示的 IP 地址是虚假的地址.
我们如何查看是谁连接我的蜜罐呢? 执行了什么操作呢? 可以在 HoneyDrive 中使用这个命令来查看:
cat /honeydrive/kippo/log/kippo.log
0*02 图形化界面
Kippo 还带有图形化界面, 可以在浏览器中查看登录的 IP, 操作, 及统计报表. 可在浏览器中使用以下 URL 进行访问:
http://IP/kippo-graph/
来源: http://www.tuicool.com/articles/fAvMJbV