Honeyd 是一款非常优秀的开源虚拟蜜罐软件,由 Google 公司软件工程师 Niels Provos于 2003 年开始研发,2005 年发布v1.0 正式版,目前已发布了 v1.5b。

Honeyd能让一台主机在一个模拟的局域网环境中配有多个地址(曾测试过的最多可以达到65536个),外界的主机可以对虚拟的蜜罐主机进行ping、traceroute等网络操作,虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟,也可以为真实主机的服务提供代理。

Honeyd可以通过提供威胁检测与评估机制来提高计算机系统的安全性,也可以通过将真实系统隐藏在虚拟系统中来阻止外来的***者。因为Honeyd只能进行网络级的模拟,不能提供真实的交互环境,能获取的有价值的***者的信息比较有限,所以Honeyd所模拟的蜜罐系统常常是作为真实应用的网络中转移***者目标的设施,或者是与其他高交互的蜜罐系统一起部署,组成功能强大但花费又相对较少的网络***信息收集系统


实验环境

centos6.8_x86

master_centos6   192.168.0.102

slave_xp              192.168.0.103

客户端windows,开启不断ping操作,测试服务端蜜罐是否有日志记录


实验软件

libdnet-1.11.tar.gz 

libevent-1.2.tar.gz 

libdnsres-0.1a.tar.gz

arpd-0.2.tar.gz

honeyd-1.5c.tar.gz


软件安装

yum install -y  lrzsz lsof  pcre pcre-devel libpcap libpcap-devel    glibc glibc-devel

yum install -y  readline readline-devel  zlib zlib-devel

tar zxvf libevent-1.2.tar.gz

cd libevent-1.2

./configure  && make && make install


tar zxvf libdnsres-0.1a.tar.gz

cd libdnsres-0.1a

./configure  && make  && make install


tar zxvf libdnet-1.11.tar.gz

cd libdnet-1.11

./configure  && make && make install


tar zxvf arpd-0.2.tar.gz

cd arpd

vim arpd.c

#define __FUNCTION__ ""    35行添加配置

./configure  && make  && make install


tar zxvf honeyd-1.5c.tar.gz

cd honeyd-1.5c

./configure  && make && make install

honeyd

Honeyd V1.5c Copyright (c) 2002-2007 Niels Provos

honeyd[776]: started with


echo "/usr/local/lib" >> /etc/ld.so.conf

ldconfig

arp  192.168.0.103       绑定成功

Address                  HWtype  HWaddress           Flags Mask            Iface

192.168.0.103            ether   00:0C:29:E1:7C:52   C                     eth0


mkdir /var/log/honeyd

touch /var/log/honeyd/honeyd.log                     

touch /var/log/honeyd/service.log                    

chown -R nobody:nobody /var/log/honeyd/*.log         


honeyd -d -l /var/log/honeyd/honeyd.log -s /var/log/honeyd/service.log --fix-webserver-permissions 192.168.0.103          192.168.0.103为***者的ip

honeyd[816]: Connection to closed port: udp (192.168.0.103:138 - 192.168.0.255:138)

honeyd[816]: Connection to closed port: udp (192.168.0.103:138 - 192.168.0.255:138)


less /var/log/honeyd/honeyd.log

2013-08-06-09:46:42.9764 udp(17) - 192.168.0.103 138 192.168.0.255 138: 233

2013-08-06-09:47:42.5534 udp(17) - 192.168.0.103 138 192.168.0.255 138: 229