点亮我的攻击地图:树莓派蜜罐节点部署实战
本文测试的内容是在已搭建好MHN中心服务器的前提下,尝试用树莓派搭建Dionaea 蜜罐 ,部署在局域网内,实时检测局域网内部攻击,同时通过出口路由器端口映射的方式,实现外网攻击的实时检测和攻击地图展示。主要是讨论一下这种MHN蜜罐网络的特点,以及蜜罐节点搭建过程中的问题解决:包括蜜罐第一次部署遇到的常见问题及解决办法,蜜罐的快速批量部署的思路(即插即用),蜜罐稳定性问题及解决方法,蜜罐节点的定制等。
Part1 蜜罐网络简介
详情请见: http://drops.wooyun.org/papers/5968 (蜜罐网络)
采用MHN中心服务器和树莓派蜜罐终端的方式主要考虑如下几点
1. MHN中心服务器可部署在独立ip的远程VPS上,部署简单,支持多种蜜罐 2. 树莓派蜜罐终端成本低,部署也比较容易,部署好后可以即插即用 3. MHN中心服务器汇总数据,展示;使得蜜罐终端可以灵活部署在内外网,只要网络能连接到MHN中心服务器即可
MHN简介:
MHN是一个开源软件,它简化了蜜罐的部署,同时便于收集和统计蜜罐的数据。用ThreatStream(http://threatstream.github.io/mhn/)来部署,MHN使用开源蜜罐来收集数据,整理后保存在Mongodb中,收集到的信息也可以通过web接口来展示或者通过开发的API访问。 MHN能够提供多种开源的蜜罐,可以通过web接口来添加他们。一个蜜罐的部署过程很简单,只需要粘贴,复制一些命令就可以完成部署,部署完成后,可以通过开源的协议hpfeeds来收集的信息。
搭建好后,访问3000端口,就会看到默认的世界地图准备就绪(没有数据来源的情况下空白状态):
首先看MHN中心服务器支持的蜜罐终端的类型(还是很丰富):
这里我们选择比较简单的“Raspberry Pi-Dionaea”,就是树莓派上的Dionaea蜜罐,Dionaea是个低交互蜜罐。Dionaea简介:
Dionaea(捕蝇草) 低交互式蜜罐是 Honeynet Project 的开源项目,起始于 Google Summer of Code 2009,是Nepenthes(猪笼草)项目的后继。Honeynet Project 是成立于 1999 年的国际性非盈利研究组织,致力于提高因特网的安全性,在蜜罐技术与互联网安全威胁研究领域具有较大的影响力。 Dionaea 蜜罐的设计目的是诱捕恶意攻击,获取恶意攻击会话与恶意代码程序样本。它通过模拟各种常见服务,捕获对服务的攻击数据,记录攻击源和目标IP、端口、协议类型等信息,以及完整的网络会话过程,自动分析其中可能包含的 shellcode 及其中的函数调用和下载文件,并获取恶意程序。 有别于高交互式蜜罐采用真实系统与服务诱捕恶意攻击,Dionaea 被设计成低交互式蜜罐,它为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统,而是对各种系统及其提供的服务的模拟。这样设计的好处是安装和配置十分简单,蜜罐系统几乎没有安全风险,不足之处是不完善的模拟会降低数据捕获的能力,并容易被攻击者识别。
详情见: http://drops.wooyun.org/tips/640 (Dionaea低交互式蜜罐部署详解)
为什么用树莓派呢?
树莓派,没玩过的可以简单理解为一个微型计算机主机。
百度百科: 树莓派
为什么选用树莓派作为终端呢?
1. 这两年树莓派软硬件发展,社区建设也比较迅速,学习和使用比较便捷 2. 成本低:一个树莓派主体 + 电源 + SD卡不超过300元。 3. 便携,树莓派很小,搭建好之后便于携带,即插即用。配合移动电源还可以实现短时间独立供电。
Part2 树莓派搭建Dionaea蜜罐实战
本地搭建蜜罐终端前提:MHN已在远程VPS搭建好且运行正常 (其实蜜罐终端也可独立部署,然后通过访问查看捕获到的攻击数据和攻击地图展示,这里说的不是这种模式)那么开始搭建树莓派蜜罐吧,让地图闪动起来~
树莓派部署Dionaea参考教程(放轻松,姿势正常的话会很顺利): https://github.com/threatstream/mhn/wiki/Deploying-Dionaea-on-a-Raspberry-Pi
为了少出错误,基本按照官方教程来。
工具和软件准备
在Windows7下进行工具的下载和树莓派SD卡的处理(这次用的是一个16GB的SD卡,用读卡器连接到电脑上)
用到的工具(前两个)
工具下载链接:
SDFromatter NOOBS_lite用“SDFromatter”软件格式化SD卡,直接用Windows格式化应该也可以,注意下磁盘格式,考虑到后边树莓派装的linux系统。
把“NOOBS_lite”下载,解压后如下图,整个拷贝到SD卡中。
树莓派联网安装所需操作系统
然后准备工作就做好了,可以把SD卡插到树莓派中,给树莓派连接上网线(保证树莓派能够稳定上网就行),启动,就进入安装界面,按照教程一步步操作就好了。
注意:这个安装其实是安装的操作系统,边下载边安装,很慢,我安装的时候,整整等了12个小时才安好…(安装的是Debian GNU/Linux system)
然后就可以重启进入树莓派系统了。
几个建议做的树莓派初始化设置
首次启动的设置,用户及密码设置
首次启动将出现系统初始配置的界面,这个界面在也可以在之后的终端窗口中通过
sudo raspi-config
激活选择2 Change User Password ,改一下pi用户的密码,初始密码为空或者raspberry。
root用户默认没开启,重新开启root账号,可由pi用户登录后,在命令行下执行
sudo passwd root
执行此命令后系统会提示输入两遍的root密码,输入你想设的密码即可,然后在执行
sudo passwd --unlock root
这样就可以解锁root账户了。
让树莓派支持中文
终端中输入(通常需要root权限):
sudo apt-get install ttf-wqy-zenhei
将安装文泉驿的开源中文字体
输入法呢? Linux 下早就有,叫 SCIM ( Smart Common Input Method ),输入:
sudo apt-get install scim-pinyin
时间设置
部署的MHN的中心服务器在国外,默认是是格林尼治时间(世界时间):
Greenwich Mean Time(GMT): 10/22/2015 08:52:41 Thursday(星期四)
想把树莓派设置成国内的本地时间,
使用时区设置,
sudo dpkg-reconfigure tzdata
试了几种,最后选择time zone“Asia/Chita” 就对了
网络设置
默认设置是DHCP,根据需要修改,可改成静态ip。
设置树莓派为静态ip的方法和debian linux修改是一样的 ,
只需要修改文件
sudo vi /etc/network/interfaces
即可。
开启SSH服务
终端里,
sudo raspi-config
选项8 8-4-ssh enable 。打开ssh服务。
远程连接putty和winscp,直接root登录默认是禁止的。
putty的ssh可以,普通用户接入,然后su,改成root用户。
在树莓派上安装和部署Dionaea蜜罐,和中心服务器进行连接
前提是树莓派已经接入了局域网,为了方便,可以在电脑上SSH连接树莓派,root权限下通过执行命令安装Dionaea。
首先Web登录远程的MHN中心服务器:
复制这条命令执行即可,
wget "http://MHN服务器的ip/api/script/?text=true&script_id=10" -O deploy.sh && sudo bash deploy.sh http://MHN服务器的ip d5xofICf
等几分钟,蜜罐就部署好了,中心服务器就能看到这个节点了。
以后只要把这个树莓派通电,连上网就可以自动工作了。服务会开机自启动的。
几个需要解决的问题
部署在局域网的蜜罐如何检测外网攻击?
部署在局域网内的树莓派蜜罐,只能检测到内网的扫描行为,你会发现那个攻击地图啥也没有,而且通常情况下,一般的单位被攻击到内网的情况比较少。想部署在外网呢?很多人又没这个条件,成本也高。
所以,如果你的外网是ADSL或者电信宽带,有独立公网IP的话,可以通过在出口路由器设置端口映射的方式。
端口映射出去,会给内网带来一定的风险。但是Dionaea 被设计成低交互式蜜罐,它为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统,而是对各种系统及其提供的服务的模拟,网络配置适当的话,风险还是比较小的。这样就能够检测外网攻击了。
如何快速批量地部署多个终端?
上述,安装操作系统的时候需要联网等待12个小时,还是太久了。所以,推荐的解决办法,是对一个安装好操作系统,基本配置完成的树莓派的SD卡进行镜像克隆成img文件。然后就可以方便地还原到新的SD卡中,还原后只需要执行最后一步安装蜜罐的那条命令就好了。
试了几种方法,各有利弊,但是推荐一种傻瓜式的方法,windows下使用win32diskimager软件克隆,或者linux下使用dd命令克隆效果是一样的。
但需要注意的是:这个克隆是全盘克隆,意思是说,我这次安装的时候用的是16GB的SD卡,虽然安装好后实际只用了4GB多,但是克隆后的img文件足足有14GB多,这样的话,拿一个小于等于16GB的SD卡来进行还原,往往就会因为空间不足还原不了。
所以,强烈建议首次安装的时候用小于等于8GB的SD卡,然后克隆成img镜像,以后批量部署,就可以方便地把这个img镜像,还原到16GB大小的SD卡上直接使用了。(其实就复制4GB的方法也有,要麻烦些)
尝试“win32diskimager-binary.rar”工具:
注意:为了避免奇葩的错误,请使用英文路径,且路径不要有空格。
先自己先建立一个后缀为img的文件,例如miguan.img,要不然之后操作时会提示文件不存在。
然后以管理员身份运行这个程序,必要时关闭杀软。
选中这个空的文件,然后用read命令,制作镜像。
树莓派Dionaea 蜜罐终端的稳定性问题?
试运行几天后,我发现这个树莓派Dionaea 蜜罐终端运行几天后就捕捉不到攻击行为了,重启后就可以立马恢复正常。或者是树莓派蜜罐突然断网,网络恢复后有时也会出现捕获不到攻击了。一个解决思路就是定时重启。这样可以持续稳定运行。说起来容易,折腾了一晚上才解决。
给出最简单的解决方法:
借助crontab定时任务,设定每天8点执行,比较常见的就是,echo命令可以很顺利执行,结果reboot命令,怎么都不执行。权限问题。
试了很久,各种姿势。
最后发现,想要执行重启,在root用户下,必须把命令写到 /etc/crontab 文件中,而且格式必须对,只要报错就说明命令格式不对。
00 08 * * * root reboot
这个命令就可以正常执行了 每天8点重启
nano编辑器也不错
Ctrl + X 退出,然后Y保存
改动后
service cron restart
重启服务
然后
service cron status
不报错,就ok了
cron命令详解:
https://www.raspberrypi.org/documentation/linux/usage/cron.mdPart3 实验效果
部署在局域网的树莓派,一副扑克牌大小:
攻击地图一夜里检测到的潜在攻击行为(主要是扫描):
说明:红圈圈说明刚检测到的攻击源,红点表示之前捕捉到的攻击源。底下会显示时间,攻击源所在地,经纬度。
看到我一个普通宽带的ip每天都被那么多人扫描,还是有种感知的即视感。
登录后可看到攻击细节:IP、时间、扫描的端口、包类型等。
攻击细节记录(大都是被扫描记录)低交互式蜜罐的普遍弱点:
即对网络服务的模拟与真实服务存在差距,可能无法捕获某些对环境敏感的攻击,可以搭配其他专用服务蜜罐一起使用,来不断进行完善。
Part4 应用场景思考
检测潜在的内网攻击
单位各局域网中部署一台,管理员定期查看,捕捉内网攻击。也可通过端口映射,检测潜在的外网攻击。
蜜罐的深度利用
及时看到潜在攻击行为,提前应对;学习攻击者针对该服务的攻击技巧和利用代码。 一些蜜罐能够捕获恶意软件,利用代码等等。再次提醒:蜜罐是把双刃剑,如果不能正确的使用,有可能遭受更多的攻击,模拟服务的软件存在问题,也会产生新的漏洞。
MHN中心服务器的定制开发
蜜罐终端传回的毕竟是基础数据,可以通过自己开发程序对基础数据进行处理和分析,提取出关注的信息,增加报警功能等。也可以把攻击地图改了,比如 http://map.norsecorp.com/
Part5 继续
如果看到这里你心动了,就去尝试用树莓派点亮你的地图吧。
楼主表示:我也是刚开始玩,以上都是入门级的功能,还有很多可以尝试的思路。
主要参考文章汇总:
http://drops.wooyun.org/papers/5968 (蜜罐网络)
http://drops.wooyun.org/tips/640 (Dionaea低交互式蜜罐部署详解)
https://github.com/threatstream/mhn/wiki/Deploying-Dionaea-on-a-Raspberry-Pi (树莓派部署Dionaea参考教程)
*本文原创作者:starshine,本文属FreeBuf原创奖励计划,未经许可禁止转载。
正文到此结束
- 本文标签: 协议 ip map 管理 Document 百度 ACE 服务器 shell 安全 开源项目 MongoDB 锁 Word root db 产品 漏洞 空间 开发 http web 端口 互联网 数据 时间 操作系统 公网IP windows tar 开源软件 代码 解决方法 主机 wget tab UI GitHub REST 统计 ssh 测试 https 配置 Google 软件 src vps 定制 git 安装 API 组织 开源 文章 linux
- 版权声明: 本文为互联网转载文章,出处已在文章中说明(部分除外)。如果侵权,请联系本站长删除,谢谢。
- 本文海报: 生成海报一 生成海报二
热门推荐
相关文章
Loading...
![[HBLOG]公众号](http://www.liuhaihua.cn/img/qrcode_gzh.jpg)
