Honeyd 是一款非常优秀的开源虚拟蜜罐软件,由 Google 公司软件工程师 Niels Provos于 2003 年开始研发,2005 年发布v1.0 正式版,目前已发布了 v1.5b。
Honeyd能让一台主机在一个模拟的局域网环境中配有多个地址(曾测试过的最多可以达到65536个),外界的主机可以对虚拟的蜜罐主机进行ping、traceroute等网络操作,虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟,也可以为真实主机的服务提供代理。
Honeyd可以通过提供威胁检测与评估机制来提高计算机系统的安全性,也可以通过将真实系统隐藏在虚拟系统中来阻止外来的***者。因为Honeyd只能进行网络级的模拟,不能提供真实的交互环境,能获取的有价值的***者的信息比较有限,所以Honeyd所模拟的蜜罐系统常常是作为真实应用的网络中转移***者目标的设施,或者是与其他高交互的蜜罐系统一起部署,组成功能强大但花费又相对较少的网络***信息收集系统
实验环境
centos6.8_x86
master_centos6 192.168.0.102
slave_xp 192.168.0.103
客户端windows,开启不断ping操作,测试服务端蜜罐是否有日志记录
实验软件
libdnet-1.11.tar.gz
libevent-1.2.tar.gz
libdnsres-0.1a.tar.gz
arpd-0.2.tar.gz
honeyd-1.5c.tar.gz
软件安装
yum install -y lrzsz lsof pcre pcre-devel libpcap libpcap-devel glibc glibc-devel
yum install -y readline readline-devel zlib zlib-devel
tar zxvf libevent-1.2.tar.gz
cd libevent-1.2
./configure && make && make install
tar zxvf libdnsres-0.1a.tar.gz
cd libdnsres-0.1a
./configure && make && make install
tar zxvf libdnet-1.11.tar.gz
cd libdnet-1.11
./configure && make && make install
tar zxvf arpd-0.2.tar.gz
cd arpd
vim arpd.c
#define __FUNCTION__ "" 35行添加配置
./configure && make && make install
tar zxvf honeyd-1.5c.tar.gz
cd honeyd-1.5c
./configure && make && make install
honeyd
Honeyd V1.5c Copyright (c) 2002-2007 Niels Provos
honeyd[776]: started with
echo "/usr/local/lib" >> /etc/ld.so.conf
ldconfig
arp 192.168.0.103 绑定成功
Address HWtype HWaddress Flags Mask Iface
192.168.0.103 ether 00:0C:29:E1:7C:52 C eth0
mkdir /var/log/honeyd
touch /var/log/honeyd/honeyd.log
touch /var/log/honeyd/service.log
chown -R nobody:nobody /var/log/honeyd/*.log
honeyd -d -l /var/log/honeyd/honeyd.log -s /var/log/honeyd/service.log --fix-webserver-permissions 192.168.0.103 192.168.0.103为***者的ip
honeyd[816]: Connection to closed port: udp (192.168.0.103:138 - 192.168.0.255:138)
honeyd[816]: Connection to closed port: udp (192.168.0.103:138 - 192.168.0.255:138)
less /var/log/honeyd/honeyd.log
2013-08-06-09:46:42.9764 udp(17) - 192.168.0.103 138 192.168.0.255 138: 233
2013-08-06-09:47:42.5534 udp(17) - 192.168.0.103 138 192.168.0.255 138: 229
转载于:https://blog.51cto.com/mailfile/1329286