一些低交互蜜罐

本文来源于书本《虚拟蜜罐》

低交互蜜罐很有吸引力，即使你没有多少经验，也能很快建立一个蜜罐。

这里，Honeyd、Nepenthes等蜜罐相继登场。

低交互蜜罐跟高交互蜜罐不一样。低交互是模拟的一个服务，不适合用来检查0day漏洞，但是它可以用来检测已知的漏洞，测量你的网络受攻击的频率。

下面来讲：

1、欺骗工具包DTK

Fred Cohen在1998年创作，是最早的低交互蜜罐之一。这个只是历史原因，本身不算一个蜜罐。

它绑定你机器的未用端口，对任何想要探测这些端口的人显示欺骗信息。奇妙的是，他会告诉对手这台机器运行着欺骗工具，让敌人放弃攻击。这可不是一个好方法告诉对方你的软件。

这个仅仅就是历史意义。

http://all.net/dtk/download.html下载DTK

2、LaBrea

Tom Liston创作，引入tarpit概念闻名。rarpit是一种服务，使用TCP连接非常缓慢或完全停止他们的进程，试图来减缓垃圾邮件发送者速度甚至是蠕虫传播速度。但是这个不能减缓高级的蠕虫的传播。但是对于简单的还是可以的。

原理：

在网络上运行Labrea，它会发现空闲的IP地址，并替代他们，一旦建立一个连接，Labrea会尽量黏住发送者，在TCP协议中采用技巧可以做到这一点。拖延的原理很简单，垃圾邮件发送者在她的服务器上每维持一个连接，就减少了她向正真机器发送垃圾邮件的可用资源。

为了检测一个IP是否可用，Labrea使用ARP协议。每当路由器向某一个IP地址提交数据包的时候，如果路由表没有这个IP地址，就会发送广播寻找这个IP地址的mac地址。如果没有主机相应，那么，LaBrea就会代替这个主机响应。路由器就会发送这个数据包到LaBrea。一旦有该IP地址上线了，那么LaBrea就会放弃该IP地址。

LaBrea接到一个数据包，就会利用 TCP 技巧拖延这个链接。主要方法：

窗口调节：LaBrea使用一个很小的窗口。显然可以拖慢速度。

持久捕捉：TCP窗口变成0.

3、Tiny Honeypot

thp（微型蜜罐），Grorge Bakos创作。遵循的概念很简单：

针对任何端口上的链接，提供一个登陆标志和一个超级用户外壳程序。

收集你得到的所有数据。

假设就是，入侵者会留下他们的命令，比如在网络上下载一个文件。TinyHoneypot会模拟这些简单的协议。

技术细节：

使用xinetd绑定一个端口，然后使用内置的防火墙将所有端口的流量重定向到这个端口，除了端口映射服务。thp注册了大量有趣的服务，让入侵者查找。

4、GHH

google入侵蜜罐

由于对web服务器的一个错误配置，很可能让我们的信息外泄，使用goole hack技术我相信能够得到很多有趣的东西。甚至得到web服务器的权限。这个就是我们研究蜜罐的机会。 我们可以研究这样的活动的普遍性，以及精心制作的搜索查询结果能够实施什么样的攻击，这就是GHH出现的原因。

使用GHH。我们建立一个满是漏洞的web服务器，等待爬虫访问你的站点，一旦你的GHH出现在一个搜索引擎索引里面，它将出现在查询结果里面，进而分析你得到的结果是什么样的流量。

为了避免打扰，我们一般讲GHH隐藏在一个透明的链接后面，对于造访者不可见，对于爬虫可见。这个一般就是设置一个随机命名的目录，然后再主页设置一个超链接指向这个目录，该链接对于访问者不可见。

5、PHP.HoP

基于web的欺骗构架

PHP.HoP的目的跟GHH一样，希望提供一种机制，识别和观察web上的威胁。

为了欺骗攻击者，PHP.HoP模拟了很多著名的web程序漏洞，允许敌人在服务器上执行任意代码，然后捕捉蠕虫的二进制。

HipHop模块是PHP.HoP提供的最有趣的模块，目的是针对各种web攻击，他检测到任意下载漏洞利用工具或僵死程序到你计算机上的企图，然后捕捉该程序以供日后研究，但是不执行。