蓝队攻击之蜜罐篇
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8Jrwfn5t-1693105469394)(https://image.3001.net/images/20221025/1666709804_6357f92cbb6d57d0d09b1.jpg!small)]
什么是蜜罐?
简单来说,蜜罐是一种计算机系统或应用程序,旨在吸引恶意代理试图通过使用垃圾邮件、网络钓鱼、DDoS 或其他恶意方法攻击计算机网络。
一旦攻击者落入这个陷阱,蜜罐允许管理员获取有关攻击者类型、他正在尝试的活动的有价值数据,并且在许多情况下,甚至可以识别攻击者。
所有蜜罐的主要目标是识别针对不同类型软件的新兴攻击,并收集报告以分析和生成情报数据——这些数据随后将用于创建针对网络威胁的预防技术。
有两种不同类型的蜜罐:
- • 研究蜜罐:这种类型的陷阱被在大学、学院、学校和其他相关协会等机构工作的开发人员、系统管理员和蓝队经理使用。
- • 生产蜜罐:私人和公共机构、公司和公司使用它来调查寻求攻击 Internet 网络的黑客的行为和技术。
本质上,蜜罐可以让您获得有价值的数据,以便您可以使用不同的攻击面减少策略。
蜜罐是如何起作用的?
如前所述,蜜罐是一个陷阱系统。这些陷阱系统通常设置在连接到网络的虚拟机或云服务器中,但由系统和网络团队隔离并严格监控。为了帮助他们被坏人注意到,蜜罐被设计成故意易受攻击,攻击者将检测并尝试利用这些弱点。
这些弱点可能是应用程序内部安全漏洞的一部分,也可能是系统漏洞,例如不必要的开放端口、过时的软件版本、弱密码或未打补丁的旧内核。
一旦攻击者找到他的易受攻击的目标,他将尝试发起攻击并提升权限,直到他能够获得对盒子或应用程序的一定控制权。
他们中的大多数人不知道的是,蜜罐管理员正在仔细观察他们的每一步,从攻击者那里收集数据,这些数据实际上有助于强化当前的安全策略。管理员还可以立即将事件报告给法律机构,这在高端企业网络中经常发生。
大多数蜜罐充当陷阱,分散攻击者对实际网络上托管的关键数据的注意力。另一个共同点是,几乎所有与蜜罐的连接尝试都可以被视为恶意,因为几乎没有(如果有的话)可能促使合法用户连接这些类型的系统的原因。
在配置蜜罐时,您必须了解您希望暴露给攻击者的黑客难度级别。如果它太容易破解,他们可能会失去兴趣,甚至意识到他们不是在处理真正的生产系统。
另一方面,如果系统过于坚固,您实际上会阻止任何攻击并且将无法收集任何数据。因此,就难度而言,用介于简单和困难之间的东西来引诱攻击者是模拟真实系统的最佳选择。
攻击者能否检测到他是否在蜜罐内?当然。具有高水平技术知识的高级用户能够识别他们正在进入蜜罐空间的一些迹象。
即使是非技术用户也可以使用自动蜜罐检测器(例如 Shodan 的Honeyscore )检测蜜罐,它使您能够识别蜜罐 IP 地址。
蜜罐示例
一些系统工程师倾向于根据他们试图保护或暴露的目标软件对蜜罐进行分类。因此,虽然蜜罐列表可能很广泛,但我们在这里列出了一些最受欢迎的蜜罐:
- • 垃圾邮件蜜罐:也称为垃圾邮件陷阱,此蜜罐专门用于在垃圾邮件发送者到达合法邮箱之前将其捕获。这些通常具有开放的中继以受到攻击,并与 RBL 列表密切合作以阻止恶意流量。
- • 恶意软件蜜罐:创建这种类型的蜜罐是为了模拟易受攻击的应用程序、API 和系统,以获取恶意软件攻击。然后收集的数据稍后将用于恶意软件模式侦察,以帮助创建有效的恶意软件检测器。
- • 数据库蜜罐:数据库是 Web 攻击者的常见目标,通过设置数据库蜜罐,您可以观察和学习不同的攻击技术,例如 SQL 注入、特权滥用、SQL 服务利用等。
- • 蜘蛛蜜罐:这种蜜罐通过创建虚假网页和链接来工作,这些网页和链接只能由网络爬虫访问,而不能由人类访问。一旦爬虫访问蜜罐,就会检测到它及其标头以供以后分析,通常有助于阻止恶意机器人和广告网络爬虫。
蜜罐的数量与运行的软件类型一样多,因此创建一个明确的列表将非常困难。在此列表中,我们列出了一些最受欢迎的蜜罐工具,根据我们自己的经验,这些工具是所有蓝色和紫色团队的必备工具。
SSH 蜜罐
- • Kippo:这个用 Python 编写的 SSH 蜜罐旨在检测和记录暴力攻击,最重要的是,记录攻击者执行的完整 shell 历史记录。它适用于大多数现代 Linux 发行版,并提供 cli 命令管理和配置,以及基于 Web 的界面。Kippo 提供了一个虚假文件系统和向攻击者提供虚假内容(例如用户密码文件等)的能力,以及一个名为 Kippo Graph 的强大统计系统。
- • Cowrite:这种中等交互的 SSH 蜜罐通过模拟 shell 工作。它提供了一个基于 Debian 5.0 的假文件系统,让您可以随意添加和删除文件。此应用程序还将所有下载和上传的文件保存在一个安全和隔离的区域,以便您可以在需要时执行以后的分析。除了 SSH 模拟 shell,它还可以用作 SSH 和 Telnet 代理,并允许您将 SMTP 连接转发到另一个 SMTP 蜜罐。
HTTP 蜜罐
- • Glastopf:这个基于 HTTP 的蜜罐可让您有效地检测 Web 应用程序攻击。Glastopf 用 Python 编写,可以模拟多种类型的漏洞,包括本地和远程文件插入以及 SQL 注入 (SQLi) 以及使用带有 HPFeeds 的集中式日志记录系统。
- • Nodepot:这个 Web 应用蜜罐专注于 Node.js,甚至可以让您在 Raspberry Pi / Cubietruck 等有限的硬件中运行它。如果您正在运行 Node.js 应用程序并希望获取有关传入攻击的有价值信息并发现您的脆弱性,那么这是与您最相关的蜜罐之一。在大多数现代 Linux 发行版上可用,运行它仅取决于几个要求。
- • Google Hack Honeypot:通常被称为 GHH,这个蜜罐模拟了一个易受攻击的网络应用程序,该应用程序可以被网络爬虫索引,但仍然隐藏在直接浏览器请求中。用于此目的的透明链接可减少误报并防止蜜罐被检测到。这使您可以针对广受欢迎的Google dorks测试您的应用程序。GHH 提供了一个简单的配置文件,以及一些不错的日志记录功能,用于获取关键的攻击者信息,例如 IP、用户代理和其他标头详细信息。
WordPress 蜜罐
- • 强大的蜜罐:这是与 Wordpress 一起使用的最受欢迎的蜜罐之一。它对人类来说实际上是看不见的。只有机器人会落入它的陷阱,所以一旦自动攻击进入你的形式,它就会被有效地检测和避免。这是一种保护 Wordpress 免受垃圾邮件攻击的非侵入式方法。方便的是,它不需要任何配置。只需激活插件,它就会添加到您在 Wordpress 中使用的所有表单中,包括免费版和专业版。
- • 坏机器人的黑洞:创建这个是为了避免自动机器人从您的站点基础架构中使用不必要的带宽和其他服务器资源。通过设置此插件,您可以检测和阻止恶意机器人,从自动恶意软件攻击到垃圾邮件和多种类型的广告软件攻击。这个 Wordpress 蜜罐通过在所有页面的页脚添加隐藏链接来工作。这样它就不会被人类检测到,并且只捕获不遵循 robots.txt 规则的坏机器人。一旦发现恶意机器人,它将被阻止访问您的网站。
- • Wordpot:这是可以用来增强Wordpress 安全性的最有效的 Wordpress 蜜罐之一。它可以帮助您检测用于对 wordpress 安装进行指纹识别的插件、主题和其他常见文件的恶意标志。用 Python 编写,易于安装,可以从命令行流畅地处理,并包含一个 wordpot.conf 文件,用于轻松配置蜜罐。它还允许您安装自定义 Wordpot 插件,以便模拟流行的 Wordpress 漏洞。
数据库蜜罐
- • ElasticHoney:随着 Elasticsearch 在野外被频繁利用,投资专门为此类数据库创建的蜜罐绝不是一个坏主意。这是一个简单而有效的蜜罐,可让您捕获试图利用 RCE 漏洞的恶意请求。它的工作原理是在/, /_search和 /_nodes 等几个流行端点上接收攻击请求,然后响应提供与易受攻击的 Elasticsearch 实例相同的 JSON 响应。所有日志都保存在一个名为 elastichoney.log 的文件中。关于它的最好的事情之一是这个蜜罐工具可用于 Windows 和 Linux 操作系统。
- • HoneyMy sql:创建这个简单的 MySQL 蜜罐是为了保护基于 SQL 的数据库。它是用 Python 编写的,适用于大多数平台,并且可以通过克隆其 GitHub 存储库轻松安装。
- • MongoDB- HoneyProxy:最受欢迎的 MongoDB 蜜罐之一,这是一个专门的蜜罐代理,可以运行并将所有恶意流量记录到第 3 方 MongoDB 服务器中。需要 Node.js、npm、GCC、g++ 和 MongoDB 服务器才能让这个 MongoDB 蜜罐正常工作。它可以在 Docker 容器或任何其他 VM 环境中运行。
电子邮件蜜罐
- • Honeymail:如果您正在寻找阻止基于 SMTP 的攻击的方法,这是完美的解决方案。这个用 Golang 编写的电子邮件蜜罐可以让您设置许多功能来检测和防止对您的 SMTP 服务器的攻击。其主要功能包括:配置自定义响应消息、启用 StartSSL/TLS 加密、将电子邮件存储在 BoltDB 文件中以及提取攻击者信息,例如源域、国家、附件和电子邮件部分(HTML 或 TXT)。它还提供简单而强大的 DDoS 保护,防止大量连接。
- • Mailoney:这是一个用 Python 编写的很棒的电子邮件蜜罐。它可以在不同的模式下运行,例如 open_relay(记录所有尝试发送的电子邮件)、postfix_creds(用于记录登录尝试的凭据)和 schizo_open_relay(允许您记录所有内容)。
- • SpamHAT:此陷阱旨在捕获和防止垃圾邮件攻击您的任何邮箱。要使其正常工作,请确保您安装了 Perl 5.10 或更高版本,以及一些 CPAN 模块,例如 IO::Socket、Mail::MboxParser、LWP::Simple、LWP::UserAgent、DBD::mysql、Digest: :MD5::File,以及一个正在运行的 MySQL 服务器和一个名为“spampot”的数据库。
物联网蜜罐
- • HoneyThing:为启用 TR-069 的服务互联网而创建,此蜜罐通过充当运行 RomPager Web 服务器并支持 TR-069 (CWMP) 协议的完整调制解调器/路由器来工作。这个物联网蜜罐能够模拟 Rom-0、Misfortune Cookie、RomPager 等的流行漏洞。它提供对 TR-069 协议的支持,包括其大多数流行的 CPE 命令,例如 GetRPCMethods、Get/Set parameter values、Download 等。与其他蜜罐不同,该蜜罐提供了一个简单而精致的基于 Web 的界面。最后,所有关键数据都记录在一个名为 honeything.log 的文件中
- • Kako:默认配置将运行许多服务模拟,以便从所有传入请求中捕获攻击信息,包括整个请求。它包括 Telnet、HTTP 和 HTTPS 服务器。Kako 需要以下 Python 包才能正常工作:Click、Boto3、Requests 和 Cerberus。一旦你掌握了所需的包,你就可以使用一个名为 kako.yaml 的简单 YAML 文件来配置这个 IOT 蜜罐。所有数据都被记录并导出为 AWS SNS 和平面文件 JSON 格式。
其他类型的蜜罐
- • Dionaea:这个用 C 和 Python 编写的低交互蜜罐使用 Libemu 库来模拟 Intel x86 指令的执行并检测 shellcode。此外,我们可以说它是一个多协议蜜罐,提供对 FTP、HTTP、Memcache、MSSQL、MySQL、SMB、TFTP 等协议的支持。它的日志功能提供与 Fail2Ban、hpfeeds、log_json 和 log_sqlite 的兼容性。
- • Miniprint:打印机是计算机网络中最容易被忽视的设备之一,当您需要检测和收集基于打印机的攻击时,Miniprint 是您的完美盟友。它的工作原理是使用虚拟文件系统将打印机暴露在互联网上,攻击者可以在其中读取和写入模拟数据。Miniprint 提供了一种非常深入的日志记录机制,并将任何 postscript 或纯文本打印作业保存在上传目录中以供以后分析。
- • Honeypot-ftp:这个 FTP 蜜罐用 Python 编写,完全支持普通 FTP 和 FTPS,因此您可以深入跟踪非法登录尝试中使用的用户和密码凭据,以及每个 FTP/FTPS 会话的上传文件。
- • HoneyNTP:NTP 是 Internet 上最容易被忽视的协议之一,这就是为什么运行 NTP Honeypot 是个好主意。这是一个 Python 模拟的 NTP 服务器,可以在 Windows 和 Linux 操作系统上顺利运行。它通过将所有 NTP 包和端口号记录到 Redis 数据库中来工作,以便您可以执行以后的分析。
- • Thug:Thug 本身不是蜜罐,而是蜜糖客户端。正如蜜罐技术可以研究服务器端攻击一样,honeyclients 也承担客户端攻击。作为蜜罐的补充,Thug 是一种低交互蜜客户端工具,旨在模仿 Web 浏览器的行为来分析可疑链接并确定它们是否包含恶意组件。
- • Canarytokens:Canarytokens 是一种用于模拟网络错误的蜜币工具,透明图像通过在网页的图像标签中嵌入唯一的 URL 并监控 GET 请求来跟踪某人何时打开电子邮件。Canarytokens 做同样的事情,但用于文件读取、数据库查询、流程执行、日志文件中的模式等等。它允许您在系统中设置陷阱,而不是设置单独的蜜罐。换句话说,攻击者通过“绊倒”令牌来宣布自己已经破坏了您的系统。
额外提示:不要忘记测试MHN,它实际上不是蜜罐,而是用于管理和蜜罐数据收集的集中式服务器。它包括我们这里提到的很多蜜罐,例如
Glastopf、Dionaea、Cowrie 等。
同样重要的是:请记住,如果您在实时基础设施中设置蜜罐,您将面临高水平的传入攻击——这就是蜜罐的本质。这不是我们第一次听说有人在他们的生产服务器上安装了蜜罐然后被黑客入侵,因为聪明的坏人能够欺骗并隐藏在合法的网络流量后面。
总结
今天,我们已经了解了蜜罐是什么,各种蜜罐的工作原理,以及您可以在网络安全措施中使用的前 20 个蜜罐来对抗恶意攻击者。
对于新玩家来说,安装和配置任何这些蜜罐工具都是一件容易的事,只要记住在与生产系统分开的测试网络中进行,至少在您的第一次测试中,直到您知道自己在做什么。
您准备好防止更多的网络威胁了吗?立即探索您的攻击面,并在坏人之前发现您暴露了多少信息。
码字不易,喜欢给个关注~~~~
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Sy5QwWKV-1693105469396)(https://image.3001.net/images/20221025/1666709785_6357f91972922c81b5a8f.png!small)]
防止更多的网络威胁了吗?立即探索您的攻击面,并在坏人之前发现您暴露了多少信息。
码字不易,喜欢给个关注~~~~
[外链图片转存中…(img-Sy5QwWKV-1693105469396)]
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GtQb88N6-1693105469397)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20230809162658551.png)]
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-i4RdRqa8-1693105469398)(C:\Users\Administrator\Desktop\网安思维导图\享学首创年薪40W+网络安全工程师 青铜到王者技术成长路线V4.0.png)]
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-77PxOHMf-1693105469399)(C:\Users\Administrator\Desktop\网安资料截图\视频课件.jpeg)]
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
2692
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
