#说在前面
蜜罐(Honeypot)技术在安全圈子里算是一种主动助御技术,其实早在20年前就已经存在,是入侵检测技术的一个重要发展方向。当时,一帮荷兰黑客尝试黑进大名鼎鼎的贝尔实验室的系统(此时在想,这帮人里面有没有我最喜欢的荷兰足球运动员戴维斯-)
开个玩笑,继续接回来!而当时贝尔实验的研究团队就将这伙荷兰黑客引导到他们自己的创建的一个“数字形式的沙盒”,这个沙盒被认为是第一个蜜罐技术的落地。
蜜罐是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人而设计的,蜜罐系统是一个包含漏洞的诱骗系统,它通过摸拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务,因此所有试图与其进行连接的行为均可认为是可疑的,同时让攻击者在蜜罐上浪费时间,延缓对真正自标的攻击,从而使目标系统得到保护。以下是蜜罐的常规部署:
由于蜜罐技术的特性和原理,使得它可以对入侵的取证提供重要的信息和有用的线索,便于研究入侵者的攻击行为。从这个意义上讲,蜜罐是一个"诱捕"攻击者的陷阱。虽然蜜罐不会直接提高计算机网络安全,但它却是其他安全策略不可替代的一种主动防御技术。通过触发实时告警,就可以让安全人员及时知道已经有攻击者渗透到内网,并知道在哪台服务器已被控制以及攻击者在蜜罐上做了哪些动作和行为。
#Kippo开源蜜罐技术
Kippo是一款交互式的SSH蜜罐工具,具有很强的互动性,当攻击者拿到了蜜罐的SSH口令后可以登录到蜜罐服务器执行一些常见的Linux命令,与此同时,记录了黑客执行的全部shell交互。
Kippo代码的官方托管地址:git clone https://github.com/desaster/kippo.git
#Kippo特点
模仿了类似Debian系列安全后的文件系统,但都是假的文件系统,具有新增和删除文件的能力。也具有类似cat查看的能力,这样攻击者可以cat /etc/shadow等蜜罐中所谓的重要文件。
日志方面,兼容UML格式存储,更易于以原始的实践记录戳进行重放。
具有较高的欺骗性,如使用ssh时,好像可以连接到一台真正的系统中。
#Kippo捕获入侵
通过安装python以及相关的pip库文件,下载Kippo源码部署好后,模拟交互登录,假设真实ServerIP为192.168.190.130,通过修改sshd_config文件更改ssh端口为8222,同时关联Kippo蜜罐的端口2222。进行如下登录:
ssh root@192.168.190.130 –p 2222,当SSH登录成功并创建了交互式Shell,那shell的日志会被重放。以下是进入到蜜罐后,执行的命令cat /etc/passwd 和rm -rf /
宿主机端的kippo.log中同时记录出蜜罐里所执行的哪些命令。
扣裙11372462进群领取更多Linux技术资料
到这里,一个蜜罐环境就此搭建成功,后期可以可通过splunk实现自动告警,把端口转发(rinetd.log)和蜜罐(kippo.log)这两份日志实时同步至splunk服务器。

Kippo开源蜜罐技术-尚文网络xUP楠哥相关推荐

  1. 一次初始化Kubernetes集群遇到的磕磕绊绊-尚文网络xUP楠哥

    #说在前面 Kubernetes,IT江湖上又被称为K8s,是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes是为了让部署容器化的应用简单并且高效:Kubernetes提供了 ...

  2. srm安全擦除Linux敏感文件,你受得了吗?-尚文网络xUP楠哥

    进Q群11372462领取专属报名福利! #说在前面 当你刚接触 Linux 时,你会经常遇到这样的建议:永远不要运行 sudo rm -rf /.在 Linux 世界里,更是围绕着 sudo rm ...

  3. 这!就是数据安全-尚文网络xUP楠哥

    进Q群11372462领取专属报名福利! # 说在前面 数据安全是目前IT行业中安全领域下一个风口,随着全球数据泄漏数量激增,我们国家数字化发展目前已经上升为国家战略:在以上提到的两点造就数据安全发展 ...

  4. Linux的发展过程-尚文网络xUP楠哥

    1.Unix & Linux 发展历史 o 1969 年,Unix 诞生,是美国贝尔实验室.麻省理工大学和通用电气共同开发的一个新型的操作系统,因为凭借着良好的稳定性和多用户,多任务模式.一经 ...

  5. 了解SSD固态盘寿命这样做-尚文网络xUP楠哥

    进Q群11372462领取专属报名福利! # 说在前面 众所周知,在HDD磁盘领域中有MTBF(平均故障时间)的概念,衡量可靠性:例如WD某系列7200 RPM 硬盘,MTBF高达120万小时.那么在 ...

  6. 数据加密小能手PGP-尚文网络xUP楠哥

    尚文网络20周年庆,进Q群11372462领取专属报名福利 #说在前面 十四五规划中,强调加快数字产业化,除了大力支持开源之外(UP楠哥现在主要专注的领域),再有就是网络安全被多次提及,数据隐私保护也 ...

  7. Linux圈子里的“鲁大师“vmstat-尚文网络xUP楠哥

    进Q群11372462领取专属报名福利! #说在前面 鲁大师的名声无需多介绍,IT江湖上也被称为"鲁大爷",主要就是帮助我们做电脑的配置信息收集,除此之外还有一个非常重要的主流功能 ...

  8. Linux圈子里的“鲁大师“dmidecode-尚文网络xUP楠哥

    ~~全文共1189字,阅读需约5分钟. 进Q群11372462,领取专属报名福利,包含云计算学习路线图+代表性实战训练+大厂云计算面试题资料! Linux系统内核中有这样一个叫做DMI的东东,英文全称 ...

  9. 数据中心中交换机的转发原理 ---尚文网络奎哥

    在数据中心网络中网络部署过程中服务器之间需要通过交换机之间实现互联,数据中心中服务器相关部署方案大家可以参考下尚文网络楠哥的相关文章.我们本次主要了解一下数据中心中的基本数据交换原理. vswitch ...

最新文章

  1. mysql增加字段默认位置_MySQL语句增加字段,修改字段名,修改类型,修改默认值
  2. 14 递归函数、二分法
  3. Python学习总结之四 -- 这就是Python的字典
  4. Kafka会不会丢消息
  5. jenkins 读取json文件_使用插件轻松获取jenkins构建数据
  6. 垃圾文件粉碎机 防止恢复保安全
  7. 自己动手破解斯凯Mrp游戏
  8. python输出奇数个数_Python实践|输出0-7组成八位奇数总数
  9. 2021.2冬入京都大学修士考试复习经验贴
  10. 记一次阿里云面试心得
  11. 线性代数之特征值与特征向量的求法
  12. Ecowalker充气足球门,为青少年足球训练保驾护航!
  13. Linux系统检测工具
  14. 数字2DPSK频带传输系统的设计(文内附完整代码)
  15. Java 虚拟机:Java 内存区域及对象,java 反射面试
  16. tomcat怎样配置多个域名
  17. iOS 【两个控制器的view互为父子关系,那么这两个控制器一定也要互为父子关系】
  18. mysql 给用户取消权限_MySQL创建用户并授权及撤销用户权限
  19. MT6582 KK版本加入modem
  20. LPDDR3和DDR3L的区别

热门文章

  1. 随机游走模型 matlab,基于随机游走的图像分割matlab代码
  2. 【算法笔记】反转二叉树
  3. 帮我写一个discuz幻灯片切换的效果代码,完整版的
  4. 对账系统设计~百万级数据秒级对账
  5. 强化学习(一)——强化学习概念、方法汇总及游戏例子
  6. 直播回顾 | 如何运用数智化助力光伏上游产业节能降碳?
  7. JDK1.5新特性、单例设计模式
  8. 6--LJUBOMORA
  9. mysql学习第一弹——查询基础
  10. 新手站长如何利用管理面板快速建站?