在以前,蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用,最后猎人再将熊一举拿下。 到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。 所以蜜罐存在的意义就是——被攻击、被探测、被攻陷… 根据部署,蜜罐可能被归类为:生产蜜罐:
易于使用,仅捕获有限的信息,主要由公司使用。生产蜜罐被组织放置在生产网络内与其他生产服务器一起,以改善其整体安全状态。通常生产蜜罐是低交互蜜罐,更易于部署。与研究蜜罐相比,它们提供的攻击或攻击者信息较少。 研究蜜罐:
是为了收集有关针对不同网络的黑客社区的动机和策略的信息。这些蜜罐不会为特定组织增加直接价值; 相反,它们用于研究组织面临的威胁,并学习如何更好地防范这些威胁。研究蜜罐的部署和维护非常复杂,可以捕获大量信息,主要用于研究、*或政府组织。 搭建cowrie蜜罐
yum install -y git python-virtualenv bzip2-devel libffi-devel vim net-tools mysql-devel
yum groupinstall "Development Tools"
virtualenv -p python2.7 cowrie-env
source cowrie-env/bin/activate
pip install six packaging appdirs
pip install -r requirements.txt
cp cowrie.cfg.dist cowrie.cfg
配置本机防火墙: firewall-cmd --permanent --add-port=222/tcp
firewall-cmd --zone=public --add-masquerade --permanent
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=2222 --permanent
firewall-cmd --permanent --list-all
firewall-cmd --reload
systemctl restart sshd
安装mysql数据库用于记录攻击者的信息
wget https://dev.mysql.com/get/mysql5 ... e-el7-11.noarch.rpm
yum localinstall mysql57-community-release-el7-11.noarch.rpm
yum install mysql-community-server
systemctl start mysqld
systemctl enable mysqld
systemctl daemon-reload
创建数据库并导入数据结构
create database cowrie; grant all on cowrie.* to cowrie@localhost identified by 'hist0ry'; pip install mysql-python cd /opt/cowrie/docs/sql/ #登陆数据库,并导入该目录下的mysql.sql文件 mysql -ucowrie -p hist0ry use cowrie source mysql.sql 导入数据库后,重新修改配置文件。 vim ./etc/cowrie.cfg 修改配置文件中的下面的配置: [output_mysql] enabled = true host = localhost database = cowrie username = cowrie password = cowrie port = 3306
|