蜜罐调研与内网安全

【点击领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

0x00 写在前面

蜜罐系统通过在网络中部署感应节点,实时感知周边网络环境,同时将感应节点日志实时存储、可视化分析,来实现对网络环境中的威胁情况感知。网上的开源蜜罐很多,种类不一,不可枚举。有针对单个服务的蜜罐,也有多个服务整合在一起的。Github上有个项目,收集汇总了免费和开源的蜜罐,项目地址:awesome-honeypots,该项目按照蜜罐类型做了分类,包括Web蜜罐、各种服务蜜罐以及一些蜜罐相关组件(包括网络分析工具、前端和可视化工具等),收集的很全面。

但是一个好的蜜罐,应该做到:能模拟大多数常见协议、能够模拟影响面广泛的应用协议和漏洞、能够在TCP/UDP全端口捕获未知的恶意扫描、蜜罐便于协议扩展、蜜罐结果的数据格式简单便于分析。

0x01 开源蜜罐调研

有大佬将一些开源蜜罐本地搭建试用,做了对比分析,详见《开源蜜罐测评报告》。作者分析了四十几个蜜罐,其实不用看文章,很多蜜罐由于年久没有更新维护,易用性不高。根据文中作者试用后的描述,感觉效果还不错的一些蜜罐如下:

web蜜罐

  1. snare: 一个Web蜜罐,该蜜罐可克隆某个网站,可捕捉到web攻击载荷。可以配合tanner(评估HTTP请求并组成snare事件服务的响应)一起使用。但是snare在克隆网站的时候可能会有报错;
  2. phpmyadmin_honeypot : 一个简单有效的phpmyadmin蜜罐;
  3. basic-auth-pot: http身份验证蜜罐(可以捕捉到账号和密码也有访问的日志);
  4. Shadow Daemon:一个不错的web蜜罐(需要二次开发把连接器弄进程序里面,这个过程有点麻烦),可以捕捉到web攻击载荷;
  5. django-admin-honeypot : 一个仿造Django管理员登陆页面的web蜜罐,用于记录未经授权访问的企图并通知管理员。

服务蜜罐

  1. RDPy :是Microsoft RDP远程桌面协议协议客户端和服务器端的纯Python实现,RDPY支持标准RDP安全层基于SSL的RDP和NLA身份验证通过ntlmv2身份验证协议。该蜜罐还支持RDP和VNC远程连接时截图。但是使用hydra爆破的时候会报错,如果做蜜罐的话会产生大量的rss文件很麻烦,比较适合内网钓鱼;
  2. Honeygrove : 一个基于Python的模块化蜜罐,基于Broker和Twisted Framework构建;
  3. honeytrap : 一个可扩展的开源蜜罐,用于运行、监控和管理蜜罐;
  4. Cowrie :一种中等交互式SSH和Telnet蜜罐,用于记录暴力攻击和攻击者执行的shell交互;
  5. sshlowpot :低交互式ssh蜜罐。接受给定端口上的SSH连接(默认为2222),记录身份验证尝试并告知连接客户端身份验证失败;
  6. sshhipot : 高交互性ssh蜜罐,这个蜜罐的高交互是因为它使用了代理模式,也就是说攻击者攻击蜜罐的时候,蜜罐就会连接真实机,以达到代理捕捉数据的功能;
  7. ssh-honeypot : 伪造 SSHD,可记录 IP 地址、用户名与密码;
  8. UDPot Honeypot: 一个DNS蜜罐,将所有请求记录到SQLite数据库并具有可配置的交互级别;

其他蜜罐

  1. DSHP : 一个简单的蜜罐,亮点是被扫描或攻击时,支持邮件告警;
  2. OpenCanary : 支持多种虚假服务,服务开启和关闭比较简单;
  3. Artillery : 开源蓝队工具,旨在通过多种办法保护 Linux 和 Windows 操作系统。;
  4. Heralding :目前支持以下协议:ftp,telnet,ssh,http,https,pop3,pop3s,imap,imaps,smtp,vnc,postgresql和socks5,日志会生成会话(SESSION)和验证(AUTH);

作者文章未描述到且讨论较多的蜜罐/蜜罐平台还包括:Kippo(一款强大的中等交互的SSH蜜罐)、Dionaea(低交互蜜罐,可视化方便,捕获对服务的攻击数据,记录攻击源和目标 IP、端口、协议类型等信息,以及完整的网络会话过程,自动分析其中可能包含的 shellcode 及其中的函数调用和下载文件,并获取恶意程序)、T-POT(将很多开源蜜罐整合在一起的蜜罐平台)、Hfish(扩展企业安全测试主动诱导型开源蜜罐框架系统,记录黑客攻击手段)、MHN(一个用于管理和收集蜜罐数据的中心服务器。通过MHN,可以实现快速部署多种类型的蜜罐并且通过web可视化界面显示蜜罐收集的数据,目前支持的蜜罐类型有Dionaea, Snort, Cowrie, glastopf等)等。另外还有针对漏洞的蜜罐,例如Drupal RCE 、Struts2 RCE( CVE 2017-5638)等。

0x02 蜜罐与内网安全

在谈到蜜罐与内网安全时,不得不提sosly师傅的硕士论文(蜜罐与内网安全从0到1,共七篇)。很详细的介绍了蜜罐对于内网安全的意义以及使用MHN的实践。

对于内网来说,常见的攻击手段包括网络嗅探、资产探测/端口扫描、暴力破解、拒绝服务、ARP攻击、DNS劫持、漏洞利用(redis未授权访问、jboss配置不当导致的rce等)等,且内网的攻击手段是随着服务种类的增多不断增加的。我们需要做的,是发现内网中的异常行为/攻击行为。相比外网来说,无需收集0day、无需分析恶意ip、对接威胁情报等,所以我们不需要高交互类型的蜜罐,在内网中低交互的蜜罐能满足我们的需求。所谓低交互蜜罐,就是通过模拟服务,监听端口连接并记录数据包,可以实现端口扫描和暴力破解的检测等。

企业内部的业务繁杂,且安全性较薄弱。且内网的安全相对外网更加被动,所以打造一款适合企业内部使用的低交互蜜罐有其价值和意义。去年公司有几台机器中了勒索病毒,因为内网机器/个人PC多,查了很久无法确认内网是否还有其他机器被感染,后来部署了个OpenCanary,那阵子OpenCanary的日志非常多,排查到好几台的内网中毒机器。

根据公司自身情况,试着分析下一个好的并适用于自身的内网低交互蜜罐,应该满足以下几个条件:

  1. 覆盖常见协议/服务,能在TCP/UDP全端口捕获未知的恶意扫描;
  2. 可支持分布式部署,覆盖生产内网和办公内网,且节点尽量覆盖面广;
  3. 日志记录准确、统一集中收集且数据格式简单,便于后续的日志分析和页面展示;
  4. 方便进行二次开发;
  5. 前端页面展示直观清晰,且支持邮件/钉钉告警;

前文提到的蜜罐,我们挑选几个蜜罐平台(支持多种服务)在内网搭建测试并对比,看是否满足我们的基本要求。本次测试选择OpenCanary、T-POT、MHN、Artillery、Heralding和HFish。

(1) OpenCanary
> 简介

OpenCanay是一种基于命令行式的蜜罐服务系统,没有UI页面,基本操作都是通过命令行,配置通过改写配置文件。其基本实现原理也是通过设置各种监听的端口,模拟各种流行的服务,而底层实现端口监听。

去年pirogue师傅基于OpenCanary实现了个web端后台管理:opencanary_web,系统实现基于nginx和tornado,数据库系统使用的是mysql,前端使用的是vue。适用于内网多节点部署,架构图如下:

图片

该蜜罐支持16种协议,内网多个节点部署后,日志统一发送到web端,入库存储,界面展示。

图片

后台可统计的信息如下:

图片

作者将OpenCanary蜜罐框架分析的日志和服务(协议)做了记录,可依照进行二次开发:opencanary二次开发(1)-日志格式。

> 开发语言

Python, 依赖于twisted的python库实现。

> 本地搭建测试

部署方法参照github上的方法就可以,尽量使用centos7的系统,在centos6.x上装过两次都有一些报错。

部署完成后,OpenCanary服务端开放端口如下:

图片

对该机器ip进行nmap扫描,web端收到攻击日志:

图片

首页两个简单的图表:

图片

> 说明

总体来说使用起来还是比较便捷,使用python开发,二次开发起来比较方便。后台展示比较直观,也支持邮件告警。作者的思路很棒,将各个节点的日志通过web请求统一发到web端,然后进行入库展示。但是测试过程中,感觉日志量很大,nmap扫描一下,就有七八页的日志,配置邮件告警后,收到的邮件非常多。

(2) T-Pot
> 简介

T-Pot是一个比较成熟的蜜罐平台,2016年推出的,目前最新版本是19.03。T-Pot最大的特点是集成了很多款开源蜜罐以及流量检测项目(Suricata),并集成了威胁情报,且做了统一管理和统一日志收集展示。目前版本基于docker, docker-compose并且包括以下蜜罐的docker镜像:

T-Pot集成蜜罐说明
ADBHoney一个计语TCP/IP的Android调试桥的低交互蜜罐
ciscoasaCisco ASA防火墙的低交互蜜罐,能够检测CVE-2018-0101、DoS和远程代码执行漏洞
citrixhoneypot检测和记录CVE-2019-19781(Citrix ADC的RCE)扫描和攻击尝试
conpot一个低交互式的工业控制系统的蜜罐
cowrie一个中等交互式的 SSH / Telnet 蜜罐
dionaea一个基于 Python 开发的低交互蜜罐,设计目的是诱捕恶意攻击,获取恶意攻击会话与恶意代码程序样本
elasticpot一个 Elasticsearch 的蜜罐
glastopf一个 Python 语言开发的 Web 蜜罐,能提供各种基于漏洞类型的模拟
glutton一款低交互蜜罐
heralding一款可收集凭证的蜜罐(下文有详细介绍)
honeypy一款低交互的蜜罐,但是具有更多的中等交互蜜罐的能力
honeytrap一个低交互式的蜜罐,通过监听 NFQUEUE 用户态数据包,相当与就监听了所有其他未监听的端口
mailoney一个 SMTP 蜜罐
medpot也是一款SMTP蜜罐
rdpy一个用 Python 实现的 RDP 和 VNC 协议,可以用作服务端以及客户端,也提供 RDP 的蜜罐,用于记录 RDP 过程
tanner一种远程数据分析和分类服务,用于评估HTTP请求和组合响应,然后由snare事件提供服务

同时集成的其他非蜜罐的工具有cyberchef(一个用于加密、编码、压缩和数据分析的web应用程序)、evs(从多个蜜罐源收集信息,并将其发布到中央收集服务,如DTAG预警系统和hpfeed)、fatt(用于从pcapfile和实时网络通信中提取网络元数据和指纹)、heimdall(Web应用程序的仪表板)、hyfeeds(蜜网项目通用认证数据路由协议)、p0f(利用一系列复杂的流量指纹识别,被动的来识别 TCP/IP 通信的对方信息)、spiderfoot(开源的足迹和情报收集工具)、Suricata(一个网络IDS、IPS和网络安全监控引擎)和Nginx等。

其官方架构图如下所示(通过架构图能很直观的看明白T-Pot的架构):

图片

> 本地搭建测试

T-Pot 19.03运行在Debian上,官方文档说支持三种安装方式:裸设备安装(基于iso镜像)、基于现有系统安装和云部署。刚开始用的第一种方法,用官方提供的iso在Vmware安装,安装都是自动化的,但是安装完成后服务一直无法启动,可能是因为源的问题,导致很多依赖包没有下载下来。试了很多次,无奈国外的源实在是太慢,第一种方法“夭折”~

试了第二种方法,先在Vmware装了个Debian 9.9.0的虚拟机,然后再进行安装。参考这篇文章:开源蜜罐T-pot 19.03安装和使用中基于现有系统安装的方法。文中很多修改源的操作一定要修改,不然真的好慢好慢…

但是,漫长的等待过后,虚拟机重启了,以为装完了,但是打开发现镜像全是down的,启动不起来。心力交瘁,懒得折腾了,盗张官方的图吧:

图片

> 说明

T-Pot很强大,是个很棒的项目。但是无奈搭建起来较麻烦。其次,T-Pot集成的蜜罐项目太多,再加上Suricata、ELK,整个项目太庞大了,可视化的Kibana面板是很炫,但是运营起来需要花费的精力很大,在中小型互联网企业,运营起来有难度。

(3) MHN
> 简介

MHN(Modern Honey Network):开源蜜罐,支持快速部署传感器并立即收集数据,可以从整洁的Web界面查看。用ThreatStream来部署,数据存储在MOngoDB中,安装了入侵检测系统的部署传感器Snort、Kippo、Conpot和Dionaea。收集的信息可以通过Web接口进行展示。据官方说法,目前经测试支持部署MHN服务器的系统有Ubuntu 14.04, Ubuntu 16.04, Centos 6.9。MHN是一个Flask应用,为蜜罐提供HTTP的api,各个蜜罐可通过api下载部署脚本,连接,下载snort规则,发送检测日志等。其架构图如下所示:

图片

> 开发语言

Python

> 本地搭建测试

MHN的搭建不难,官方提供了自动化的安装脚本install.sh。但是碍于很多依赖被qiang,下载起来也很慢。搭建的时候注意,官方说支持在Ubuntu 18.04, Ubuntu 16.04和Centos 6.9上搭建部署,自动化脚本里对版本有校验,最好选择这三个版本的机器进行搭建。运行install.sh,安全速度很慢,然后睡觉去了,第二天早上起来发现装完了。

详细的安装、配置和操作可以参考backlin师傅的这篇文章:MHN蜜罐系统建设。

搭建完成后,是没有传感器(蜜罐节点)的,页面里内容都是空的。在Deploy里可以选择蜜罐的,对应会有该蜜罐的部署脚本,可以选择性安装部署。

图片

比如选择Dionaea(捕蝇草),显示出的脚本如下所示:

图片

去安装蜜罐的机器上运行该脚本部署就行,部署完成后,Sensors那边就会有一个连接成功的蜜罐节点:

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=data%3Aimage%2Fsvg%2Bxml%2C%253C%253Fxml%20version%3D’1.0’%20encoding%3D’UTF-8’%253F%253E%253Csvg%20width%3D’1px’%20height%3D’1px’%20viewBox%3D’0%200%201%201’%20version%3D’1.1’%20xmlns%3D’http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg’%20xmlns%3Axlink%3D’http%3A%2F%2Fwww.w3.org%2F1999%2Fxlink’%253E%253Ctitle%253E%253C%2Ftitle%253E%253Cg%20stroke%3D’none’%20stroke-width%3D’1’%20fill%3D’none’%20fill-rule%3D’evenodd’%20fill-opacity%3D’0’%253E%253Cg%20transform%3D’translate(-249.000000%2C%20-126.000000&pos_id=img-XOxdwYfQ-1704547256737)’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

对该蜜罐节点进行nmap扫描,界面上就会有攻击行为的记录,如下图所示:

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=data%3Aimage%2Fsvg%2Bxml%2C%253C%253Fxml%20version%3D’1.0’%20encoding%3D’UTF-8’%253F%253E%253Csvg%20width%3D’1px’%20height%3D’1px’%20viewBox%3D’0%200%201%201’%20version%3D’1.1’%20xmlns%3D’http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg’%20xmlns%3Axlink%3D’http%3A%2F%2Fwww.w3.org%2F1999%2Fxlink’%253E%253Ctitle%253E%253C%2Ftitle%253E%253Cg%20stroke%3D’none’%20stroke-width%3D’1’%20fill%3D’none’%20fill-rule%3D’evenodd’%20fill-opacity%3D’0’%253E%253Cg%20transform%3D’translate(-249.000000%2C%20-126.000000&pos_id=img-cHYfVXfX-1704547256738)’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

当然,MHN也可以跟ELK和Splunk进行集成。

> 说明

MHN也是个很强大的蜜罐平台,集成了很多个不错的蜜罐。各个蜜罐部署起来很方便,基本可以一键部署。但是在管理蜜罐的时候不是很方便,页面上只能将对应的节点删除,停止和删除蜜罐要去对应的节点上操作,收集的日志也非常多,nmap扫描了一下,200条的日志。

(4) Artillery
> 简介

Artillery这个项目的介绍是:旨在通过多种办法保护 Linux 和 Windows 操作系统。蜜罐只是这个项目其中的一个功能,其他功能还有监控服务器目录和系统重要文件、对攻击ip进行封禁、邮件告警、对端口开启Dos保护等等。其中蜜罐功能开放的TCP和UDP端口如下:

图片
> 开发语言

Python

> 本地搭建测试

安装也很简单,把项目git clone下来,直接python ./setup.py就ok了。安装完成就自动运行了,查看该蜜罐ls开放的端口如下,跟配置文件中的一致:

图片

当然,这些端口是可以修改的,也可以增加。所有的配置都是在/var/artillery/config中进行配置的,包括配置邮件告警、对端口进行开启Dos保护等。

Artillery我搭在外网测试机上,本地nmap扫描了一下,Aetillery记录的攻击日志如下:

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=data%3Aimage%2Fsvg%2Bxml%2C%253C%253Fxml%20version%3D’1.0’%20encoding%3D’UTF-8’%253F%253E%253Csvg%20width%3D’1px’%20height%3D’1px’%20viewBox%3D’0%200%201%201’%20version%3D’1.1’%20xmlns%3D’http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg’%20xmlns%3Axlink%3D’http%3A%2F%2Fwww.w3.org%2F1999%2Fxlink’%253E%253Ctitle%253E%253C%2Ftitle%253E%253Cg%20stroke%3D’none’%20stroke-width%3D’1’%20fill%3D’none’%20fill-rule%3D’evenodd’%20fill-opacity%3D’0’%253E%253Cg%20transform%3D’translate(-249.000000%2C%20-126.000000&pos_id=img-h6IYlr0p-1704547256738)’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

还有个封禁ip的功能,监控SSH和FTP爆破的,可以在配置文件中开启,改成"ON"。

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=data%3Aimage%2Fsvg%2Bxml%2C%253C%253Fxml%20version%3D’1.0’%20encoding%3D’UTF-8’%253F%253E%253Csvg%20width%3D’1px’%20height%3D’1px’%20viewBox%3D’0%200%201%201’%20version%3D’1.1’%20xmlns%3D’http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg’%20xmlns%3Axlink%3D’http%3A%2F%2Fwww.w3.org%2F1999%2Fxlink’%253E%253Ctitle%253E%253C%2Ftitle%253E%253Cg%20stroke%3D’none’%20stroke-width%3D’1’%20fill%3D’none’%20fill-rule%3D’evenodd’%20fill-opacity%3D’0’%253E%253Cg%20transform%3D’translate(-249.000000%2C%20-126.000000&pos_id=img-4k7YtoXo-1704547256738)’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

开启后,会将所有爆破次数大于4次的ip封禁掉,被封禁的ip存储在/var/artillery/banlist.txt中。测试的时候,外网测试机搭建好,几分钟就有上千个ip:

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=data%3Aimage%2Fsvg%2Bxml%2C%253C%253Fxml%20version%3D’1.0’%20encoding%3D’UTF-8’%253F%253E%253Csvg%20width%3D’1px’%20height%3D’1px’%20viewBox%3D’0%200%201%201’%20version%3D’1.1’%20xmlns%3D’http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg’%20xmlns%3Axlink%3D’http%3A%2F%2Fwww.w3.org%2F1999%2Fxlink’%253E%253Ctitle%253E%253C%2Ftitle%253E%253Cg%20stroke%3D’none’%20stroke-width%3D’1’%20fill%3D’none’%20fill-rule%3D’evenodd’%20fill-opacity%3D’0’%253E%253Cg%20transform%3D’translate(-249.000000%2C%20-126.000000&pos_id=img-NvZzV8dS-1704547256738)’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
> 说明

搭建很简单,测试了一下,效果还可以。python开发的,做二次开发也比较容易。不过服务的模拟就直接是开放对应的端口,部署在外网很容易被识破。部署在内网使用还是ok的。

(5) Heralding
> 简介

Heralding是一款支持捕捉凭证的蜜罐。目前支持的协议:ftp,telnet,ssh,http,https,pop3,pop3s,imap,imaps,smtp,vnc,postgresql和socks5。

> 开发语言

Python

> 本地搭建测试

安装过程不难,但是有点小坑,故简单记录下安装过程。刚开始在Centos 6.x上搭,死活装不上psycopg2库,各种报错,后来换了个Ubuntu的虚拟机,就装成功了。

# 安装相关依赖
sudo yum -y install python3-pip python3-dev python3-venv build-essential libssl-dev libffi-dev
git clone https://github.com/johnnykv/heralding.git
cd heralding
# 建立虚拟环境
python3 -m venv heralding-env
source heralding-env/bin/activate
# 根据官方文档的安装方法,会报错,还需装如下的依赖
sudo apt-get install postgresql python-psycopg2 libpq-dev python3-setuptools python3-wheel
pip install -r requirements.txt
pip install heralding

# 拷贝配置文件(一些设置都是在这个配置文件中配置)
cp heralding/heralding.yml .
# 运行
sudo ./heralding-env/bin/heralding &

Heralding运行后,本地监听的端口如下图所示(端口和服务可在heralding.yml配置文件中进行配置,我运行Heralding时,开启ssh服务报了错,所以我直接在配置文件里把ssh服务关掉了,故下图看到的22端口是我本地的,不是Heralding开启的):

图片

对该机器进行nmap扫描,端口识别如下:

图片

Heralding记录的数据保存在log_session.json、log_auth.csv和log_session.csv三个文件中。

log_session.json:该文件记录所有的与蜜罐的交互信息,包括时间戳、source_ip、source_port、destination_ip、destination_port、协议、尝试登陆次数等,算是个蜜罐日志汇总。

图片

log_auth.csv: 该文件记录所有尝试身份验证的用户名和明文密码(我这边只用nmap探测了下端口,所以没记录什么用户名和密码)。

图片

log_session.json: 该文件存储与蜜罐的所有连接的条目。数据包括时间戳、持续时间、IP信息和身份验证尝试次数(跟log_session.json差不多,只是数据格式不同)。

图片

> 说明

这个蜜罐搭建起来有点小坑,建议Ubuntu系统,Python版本大于3.5。这个蜜罐最大的特点是可以记录用户名密码,日志记录仪比较直观详细,也是个学习二次开发不错的项目。

(6) HFish
> 简介

HFish 是一款基于 Golang 开发的跨平台多功能主动诱导型开源蜜罐框架系统,为了企业安全防护做出了精心的打造,全程记录黑客攻击手段,实现防护自主化。目前HFish支持的蜜罐如下:

图片
> 开发语言

Golang

> 本地搭建测试

搭建很简单,docker大法一分钟就能搞定。详细搭建方法可以参考HFish的使用文档。

部署完成后,监听端口如下:

图片

搭建完成后,局域网内尝试对该ip进行nmap扫描,nmap扫描完成后,HFish记录了攻击日志(Telnet和Mysql),后台如下图所示:

图片

图片

还有个很炫的态势图(不过我部署在内网,效果一般):

图片

> 说明

试用了下,HFish挺不错的,页面做的很赞,也支持分布式部署。很适合内网分布式部署、运营。如果不用HFish,选择自己开发的话,HFish的设计思路也很值得借鉴。其他更详细的使用心得参考这篇文章:HFish蜜罐使用心得。

0x03 总结

对于中小型企业来说,可选型OpenCanary或HFish在内网部署,因为这两款蜜罐都支持基本的异常行为发现、有前端页面、可支持分布式部署、可支持邮件告警,这几点就能满足大部分企业的需求。

喜欢自己折腾的可以考虑如下的架构:

图片

同时蜜罐在内网部署也需关注自身的安全,做好基本的安全基线(比如修改SSH端口,可以改成一个不常用的大端口,这样假设攻击者已进入内网,在攻击者扫描和爆破SSH的时候我们的蜜罐机器不至于第一时间暴露)。

如果选择二次开发,文中提到的各个蜜罐项目都是很好的参考。

蜜罐没有孰好孰坏,理应尊重开源人员的心血。最主要的是真正使用运营起来,实现蜜罐在内网部署的意义。

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

【点击领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取视频教程】

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。【点击领取工具包】

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

img

朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》,点击下方链接即可前往免费获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》

这份完整版的学习资料已经上传CSDN,也可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费

在这里插入图片描述

  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络安全技术库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值