基于docker的蜜罐学习

学习蜜罐之间先介绍两个概念，低交互式蜜罐和高交互式蜜罐。

低交互式蜜罐

低交互式蜜罐只是模拟出了真正操作系统的一部分，例如模拟一个FTP服务。虽然低交互式蜜罐容易建立和维护，但模拟可能不足以吸引攻击者，还可能导致攻击者绕过系统发起攻击，从而使蜜罐在这种情况下失效。

高交互式蜜罐

高交互式蜜罐是一部装有真正操作系统，并可完全被攻破的系统。与攻击者进行交互的是一部包含了完整服务的真实系统。用于网络安全的高交互式蜜罐提供了真实操作系统的服务和应用程序，使其可以获得关于攻击者更可靠的信息。但是部署和维护起来十分困难，而且被攻破的系统可能会被用来攻击互联网上其他的系统，这必须承担很高的风险。 数据收集是设置蜜罐的技术挑战。蜜罐监控者只要记录下进出系统的每个数据包，就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很容易被攻击者删除，所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。（务必同时监控日志服务器。如果攻击者用新手法闯入了服务器，那么蜜罐无疑会证明其价值。）

优点

蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而，浏览数据、查明攻击者的实际行为也就容易多了。

安装步骤

root@ubuntu:~# mkdir DROPS

root@ubuntu:~#apt-get install python-dev openssl python-openssl python-pyasn1 python-twisted python-mysqldb

root@ubuntu:~# cd DROPS/

root@ubuntu:~/ DROPS# svn checkout

安全配置

添加一个独立的用户组给drops:

root@ubuntu:~/ DROPS# useradd -s /bin/bash -d /home/DROPS -m DROPS

添加一个独立的MYSQL用户给drops:

帐号和数据库一样 密码123456

导入默认数据库

编辑配置 kippo.cfg.dist

root@ubuntu:~/DROPS# mv drops.cfg.dist drops.cfg

编辑之后如下（可以点击原文链接查看完整配置）：

安装监听工具

root@ubuntu:~/DROPS # apt-get install authbind

配置

创建一个启动脚本

移动工具位置

更改下DROPS用户密码 切换到DROPS

启动

查看监听的端口

查找2222端口的进程

kippo@ubuntu:/opt/DROPS$ ps -ef | grep 4615
kippo     4615     1  0 13:47 ?        00:00:00 /usr/bin/python /usr/bin/twistd -y drops.tac -l log/kippo.log --pidfile drops.pid
drops     4626  4588  0 13:48 pts/0    00:00:00 grep --color=auto 4615

测试一下

OPENSSH服务出现了.

drops的配置文件的密码定义为123456 测试一下：

邪恶的操作：

删除全部文件:

删除不了 读下默认文件

至此一个简单的蜜罐系统就完成了。

总结

本文主要简单介绍了一下一个蜜罐的搭建与测试，在企业安全防护中，蜜罐系统对于检测攻击者的攻击非常有效，一旦攻击者误入蜜罐，我们就可以第一时间得知消息，然后及时进行应急响应，尽量在最短的时间内将攻击者踢出大门之外，保护企业的数据免受损坏丢失之险。