蜜罐的部署和识别

蜜罐的部署和识别

一、蜜罐技术的原理

蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

二、蜜罐的简单部署

1)镜像的拉取

docker pull imdevops/hfish

服务器提前已拉取

图1

2)运行容器

docker run -d -it -p 2100:21 -p 2200:22 -p 2300:23 -p 69:69 -p 3306:3306 -p 5900:5900 -p 6379:6379 -p 8080:8080 -p 8081:8081 -p 8989:8989 -p 9000:9000 -p 9001:9001 -p 9200:9200 -p 11211:11211 82eb5b672835

图2

端口如果占用,重启服务器:reboot

然后重新运行,运行成功

图3

3)访问系统

http://ip:9001/dashboard password:admin/admin

图4
图5

部署完成,经过一段时间从数据看出,攻击行为晚上时间较多

图6

可以简单的看出攻击者的ip、攻击行为

图7

但是蜜罐也存在安全隐患,如果没有隔离好,也会成为攻击源头

三、蜜罐的识别

1)攻击者也会尝试对蜜罐进行识别。比较容易的识别的是低交互的蜜罐,尝试一些比较复杂且少见的操作能比较容易的识别低交互的蜜罐。相对困难的是高交互蜜罐的识别,因为高交互蜜罐通常以真实系统为基础来构建,和真实系统比较近似。对这种情况,通常会基于虚拟文件系统和注册表的信息、内存分配特征、硬件特征、特殊指令等来识别。

2)针对WEB蜜罐的简单识别

(1)特性识别

1、判断当前网页是否有跨域请求,且有黑白名单,黑名单主要就是蜜罐常用的jsonp劫持接口,匹配到则报蜜罐 下载地址——https://github.com/cnrstar/anti-honeypot

不足之处:如果黑名单量不足则检测不出来

2、主要通过匹配js名称及内容来检测常见的蜜罐 下载地址——-https://github.com/iiiusky/AntiHoneypot-Chrome-simple

不足之处:如果js匹配不足也会有漏网之鱼

(2)识别插件工具使用

打开:chrome://extensions/

选择:加载已解压的扩展程序

图8

打开插件,访问蜜罐的页面则会弹窗识别网站

图9

Armor蜜罐检测插件

Armor判断当前网页是否有跨域请求,且有黑白名单,黑名单主要就是蜜罐常用的jsonp劫持接口以及匹配js名称及内容来检测常见的蜜罐二者合一

图10

链接:https://pan.baidu.com/s/141xJw9ufHSIps51Dc9Af5A
提取码:brce

参考文章:

https://www.cnblogs.com/TheTh1nk3r/articles/14453427.html#:~:text=%E8%9C%9C%E7%BD%90%E6%8A%80%E6%9C%AF%E4%BB%8E%E6%9C%AC%E8%B4%A8%E4%B8%8A,%E7%9A%84%E5%AE%89%E5%85%A8%E9%98%B2%E6%8A%A4%E8%83%BD%E5%8A%9B%E3%80%82

发表回复

您的电子邮箱地址不会被公开。