Kippo:一款强大的SSH蜜罐工具

最新推荐文章于 2024-06-05 16:47:58 发布
最新推荐文章于 2024-06-05 16:47:58 发布
阅读量2.8k 收藏 13
点赞数
原文链接:https://www.freebuf.com/sectool/206140.html
版权

前言

首先给大家介绍一下蜜罐,蜜罐最为重要的功能是对系统中所有操作和行为进行监视和记录,他可以帮助我们追踪溯源。简单的说蜜罐就是一个“假目标”,故意暴露一个网络中的弱点给攻击者,攻击者会对这个“假目标”发起攻击,在攻击的过程中殊不知自己的IP地址和操作等信息都被一一记录下来。过研究和分析这些信息,可以分析出攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息。在企业内部在不同网络内搭建多个蜜罐诱捕节点可以大大帮助我们提高攻击追踪溯源的能力。蜜罐的作用大小取决于蜜罐的真实性,越“真”越能欺骗到攻击者“上当”。

Kippo是一款强大的SSH蜜罐工具,它具有很强的互动性,当攻击者拿到了蜜罐的SSH口令后可以登录到蜜罐服务器执行一些常见的Linux命令。
地址 :https://github.com/desaster/kippo
在这里插入图片描述

要求

所需软件:
操作系统(在Debian,CentOS,FreeBSD和Windows 7上测试)

  • Python 2.5+
  • Twisted 8.0 to 15.1.0
  • PyCrypto
  • Zope Interface

搭建

在搭建Kippo之前首先给大家介绍一个蜜罐系统——HoneyDrive,HoneyDrive是一个运行在linux下的蜜罐系统,在HoneyDrive上具有几十个各种各样的蜜罐程序,如Dionaea、Amun malware honeypots,Wordpot等 ,Kippo是HoneyDrive上比较典型的蜜罐。HoneyDrive就是一个Xubuntu的虚拟机系统,把虚拟机导入到vmware或VMbox中就可以运行了。
在这里插入图片描述
我们可以在HoneyDrive中运行以下命令来运行Kippo。

#wget https://github.com/desaster/kippo/blob/master/start.sh
/honeydrive/kippo/start.sh

# wget https://github.com/desaster/kippo/blob/master/stop.sh

在这里插入图片描述
start.sh是一个简单的shell脚本,可在扭曲状态下在后台运行Kippo。可以通过手动运行Twisted来给出详细的启动选项。例如,要在前台运行Kippo:

twistd -y kippo.tac -n

默认情况下,Kippo在端口2222上侦听ssh连接。您可以更改此设置,但不要将其更改为22,因为它需要root特权。请改用端口转发。(更多信息:MakingKippoReachable)。
当运行成功后,我们可以使用SSH工具,如XSHELL来连接我们创建的蜜罐。
在这里插入图片描述
在蜜罐中可以执行基本的Linux的命令,他都会有回复,如ifconfig、ps等命令。如下如,当然了,这个显示的IP地址是虚假的地址。
在这里插入图片描述
我们如何查看是谁连接我的蜜罐呢?执行了什么操作呢?可以在HoneyDrive中使用这个命令来查看:

cat /honeydrive/kippo/log/kippo.log

在这里插入图片描述

图形化界面

Kippo还带有图形化界面,可以在浏览器中查看登录的IP、操作、及统计报表。可在浏览器中使用以下URL进行访问:

http://IP/kippo-graph/

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

参考链接 :

Kippo:一款强大的SSH蜜罐工具 :https://www.freebuf.com/sectool/206140.html

centos 7 安装Kippo蜜罐的部署、诱捕节点的搭建以及自动告警 :https://www.cnblogs.com/Eleven-Liu/p/9204244.html

Ubuntu安装 SSH蜜罐:kippo的详细介绍 :https://www.jb51.net/hack/64340.html

**centos 6 安装Kippo蜜罐指南 ** : http://www.vuln.cn/6313

寰宇001
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
利用蜜罐反制蓝队
Sumarua的博客
07-12 1293
第一天分配了目标和任务,登录攻击机,脚本自动收集信息,子域名、解析IP、github、信箱哗啦哗啦都出来了,注意到有个叫oldoa.xxx-inc.com的子域名,指向阿里云的ip,心头一喜,先拿这个入手,nmap一把梭,发现开了22、443、3306等常用端口。443的确是一个OA系统,前端代码看不出是什么框架,估计是是定做的,窃喜,这种系统漏洞一般比较多。22端口小小的爆破下,很快就找到有个低权限弱密码,ssh可以登录,但是发现shell怪怪的,各种不正常,心里一沉,要完蛋, 踩坑了,不会是蜜罐吧……全
蜜罐Kippo的部署
看着博客敲代码
05-17 2756
一、kippo简介 当hk通过非法入侵获取到一服务器的权限后,很可能会在同网段进行大范围的端口探测,便于横向扩展获取更多服务器的控制权,因此 部署内网ssh蜜罐 把攻击者引诱到蜜罐中,触发实时告警,并知道哪台服务器已被控制,攻击者在蜜罐上做了哪些操作,通过将蜜罐服务器与生产服务器混合部署在网络中,可以实现对入侵行为的捕获。kippo是一个中等交互的ssh蜜罐,它可以记录hk执行的全部shell交互。(大部分公司采用商业版入侵防护,文章就研究学习一下就行啦 内容只有安装部署和使用方法 告警放到后面文章) 二、
只需简单两步搭建自己的SSH蜜罐
jennycisp的博客
01-04 617
在前面的文章中我们提到了蜜罐的部署和应用。部署都相对简单而且支持的类型也比较多。但是有时候我们只需要一类蜜罐,如ssh、mysql、Ftp等。本文为大家推荐一款轻量化的SSH弱口令蜜罐项目,基于的OpenSSH,其原理为在 Chroot的隔离目录下建立拥有弱口令的SSH服务账户目录,诱导攻击者进行网络攻击, 从而牵制行动并记录其行为以及ip等信息。
简单两步搭建自己的SSH蜜罐
最新发布
程序员阿飘 的博客
06-05 301
在前面的文章中我们提到了蜜罐的部署和应用。部署都相对简单而且支持的类型也比较多。但是有时候我们只需要一类蜜罐,如ssh、mysql、Ftp等。本文为大家推荐一款轻量化的SSH弱口令蜜罐项目,基于的OpenSSH,其原理为在 Chroot的隔离目录下建立拥有弱口令的SSH服务账户目录,诱导攻击者进行网络攻击, 从而牵制行动并记录其行为以及ip等信息。
HFish蜜罐的介绍和简单测试(二)
imtech的博客
03-22 3449
HFish基本结构HFish由管理端(server)和节点端(client)组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务。HFish各模块关系图融合在企业网络中。
HFish蜜罐的介绍和简单测试(一)
imtech的博客
03-21 3401
HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性,帮助用户降低运维成本,提升运营效率。
Kippo-utilities:Kippo(SSH 蜜罐)实用程序
06-04
Kippo(SSH 蜜罐)实用程序 kippo-honeyfs-gen 如何使用 $ ./kippo-honeyfs-gen.sh Path_To_Kippo_directory 档案清单 /etc/passwd /etc/主机名 /etc/hosts /etc/问题 /etc/shadow /etc/组 /proc/cpuinfo /proc...
kippo-docker:Dockerized Kippo SSH蜜罐
05-20
kippo码头工人Dockerized Kippo SSH蜜罐
kippo:kippo 蜜罐的一个叉子,有一些小的改动
07-02
基波Kippo 是一个中等交互 SSH 蜜罐,旨在记录暴力攻击,最重要的是,攻击者执行的整个 shell 交互。 Kippo 受到启发,但不是基于 。演示下面是一些来自实时 Kippo 安装的有趣日志(可在 Ajaxterm 的帮助下在 Web ...
kippo-scan:这是一个扫描 Kippo 蜜罐的脚本
06-12
Kippo蜜罐是一种安全工具,用于模拟脆弱的远程登录系统,旨在诱捕并收集黑客攻击的信息。通过使用Kippo-scan,安全专家和研究人员可以自动化检测潜在的攻击者活动,分析攻击手段,并了解黑客的战术、技术和程序...
kippo_mongodb:Mongodb 对 Kippo 蜜罐的支持
06-28
Mongodb 对 Kippo 蜜罐的支持 ##用法 取消对 create.js 中的行的注释并运行它以创建数据库、数据库用户和集合 mongo create.js 你可以编辑 create.js 来改变它的值 将文件mongodb.py复制到< kippo>/kippo/dblog ...
Kippo、Dionaea蜜罐技术学习笔记
04-19
Kippo、Dionaea蜜罐技术学习笔记 Kippo、Dionaea蜜罐技术学习笔记 Kippo、Dionaea蜜罐技术学习笔记
Kippo-ansible:在多个主机上部署 Kippo 的 Ansible 剧本
07-10
Kippo Ansible 手册 这是在 Debian 主机上安装的 Ansible 剧本。 该剧本将设置一个节点作为 Kippo 主机的数据库服务器以记录传入攻击,并且还将设置多个 Kippo 主机。 过程: 设置数据库服务器,以便所有 kippo 主机都登录到该服务器 创建一个kippouser帐户来运行 kippo 从 git repo 下载最新的 Kippo 版本(默认是 desaster 的) 配置 Kippo 将sshd端口改为22422(它是一个变量,所以很容易改变) 添加 iptable 规则以将流量从端口 2222 转发到 22 跑基波 这是一个非常基本的骨架,可以随意使用它。 我只用 Debian Wheezy 测试过它,它似乎有效。 请记住,这是概念手册的证明,因此可以改进某些内容(例如 mysql 安全性)。 如何使用 编辑瓦尔db_host和db_
蜜罐调研与内网安全
jennycisp的博客
07-05 529
蜜罐系统通过在网络中部署感应节点,实时感知周边网络环境,同时将感应节点日志实时存储、可视化分析,来实现对网络环境中的威胁情况感知。网上的开源蜜罐很多,种类不一,不可枚举。有针对单个服务的蜜罐,也有多个服务整合在一起的。Github上有个项目,收集汇总了免费和开源的蜜罐,项目地址:awesome-honeypots,该项目按照蜜罐类型做了分类,包括Web蜜罐、各种服务蜜罐以及一些蜜罐相关组件(包括网络分析工具、前端和可视化工具等),收集的很全面。
HFish蜜罐部署教程(windows版)—HW蓝队主动防御利器
monster663的博客
06-06 4657
一年一度的HW马上又要来了,【不过听说今年推迟了一些】,各位师傅应该都按耐不住了,今天尝试一下比较出圈的HFish蜜罐系统的部署,浅浅的记录一下。
Cowrie 部署 SSH 蜜罐_cowrie蜜罐
2301_82242273的博客
04-12 869
Cowrie 是一个具有中等交互的 SSH 蜜罐,它可以获取攻击者用于暴力破解的字典、输入的命令以及上传或下载的恶意文件。所有这些攻击记录都会被记载到日志中,以便日后分析。项目地址:https://github.com/cowrie/cowrie。
SSH蜜罐cowrie实战
RJ0024的博客
02-01 2560
背景 最近有一批服务器被黑,而且数量较多,影响也很大。我们的服务器基本上都是做了防火墙策略,同时密码也比较复杂的,目前还没有特别好的思路去排查(因为我们之前都没有做好相关的日志收集或者预先准备好手段,导致出问题后能够做的东西不多,而且被黑的机器基本都被替换了系统命令,能做的就更加少了)。 在梳理被黑的服务器时发现,有一台服务器的防火墙是关了的(也许是被黑后关的,也许是一直都是关了人为疏忽)。既...
网络安全蓝队之蜜罐
m0_61869253的博客
08-30 416
简单来说,蜜罐是一种计算机系统或应用程序,旨在吸引恶意代理试图通过使用垃圾邮件、网络钓鱼、DDoS 或其他恶意方法攻击计算机网络。一旦攻击者落入这个陷阱,蜜罐允许管理员获取有关攻击者类型、他正在尝试的活动的有价值数据,并且在许多情况下,甚至可以识别攻击者。所有蜜罐的主要目标是识别针对不同类型软件的新兴攻击,并收集报告以分析和生成情报数据——这些数据随后将用于创建针对网络威胁的预防技术。• 研究蜜罐:这种类型的陷阱被在大学、学院、学校和其他相关协会等机构工作的开发人员、系统管理员和蓝队经理使用。
常用蜜罐工具
sunarmy的专栏
07-20 340
蜜罐 安全工具
Windows下搭建蜜罐系统时需要
06-03
考虑哪些方面? 在搭建蜜罐系统时,需要考虑以下方面: 1. 选择蜜罐软件:需要根据自己的需求选择适合的蜜罐软件,比如Honeyd、Cowrie、Kippo等。 2. 安装虚拟化软件:蜜罐系统通常需要运行在虚拟环境中,因此需要先安装虚拟化软件,比如VMware、VirtualBox等。 3. 确定网络拓扑:需要根据自己的需求确定蜜罐系统的网络拓扑,比如单机模式、网桥模式、NAT模式等。 4. 设置蜜罐系统:需要对蜜罐系统进行一些基本设置,比如设置IP地址、开启服务等。 5. 配置蜜罐规则:需要根据自己的需求配置蜜罐规则,比如指定端口、服务、协议等。 6. 监控蜜罐系统:需要对蜜罐系统进行实时监控,及时发现并记录攻击行为。 7. 分析攻击数据:需要对蜜罐系统收集到的攻击数据进行分析,提取有价值的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值