Kippo是一个中等交互的SSH蜜罐,提供了一个可供攻击者操作的shell,攻击者可以通过SSH登录蜜罐,并做一些常见的命令操作。

当攻击者拿下一台服务器的权限后,很可能会进行小范围的端口探测或者批量的端口扫描,以便横向扩展,获取更多服务器的控制权,因此部署内网SSH蜜罐,把攻击者引诱到蜜罐里来,触发实时告警,即可让安全人员及时知道已经有攻击者渗透内网、知道哪台服务器已被控制、以及攻击者在蜜罐上做了哪些操作。

如何把攻击者引诱到蜜罐里来,除了要看蜜罐是否具备主动欺骗能力外,还要看蜜罐在公司网络中的部署密度。网络安全域通常会要求不同的网段是隔离的,而且攻击者很可能是先在同一网段进行扫描,不会上来就扫描全网。所以如果只有一台蜜罐服务器,攻击者的扫描行为很可能不会触碰到蜜罐,也就不会触发蜜罐告警,所以理想情况是在所有网段均部署诱捕节点,但如果都用服务器部署的话,又太浪费资源,所以我们通过端口转发的方式,利用虚拟机、虚拟vlan网卡、现有服务器等方式来充当诱捕节点。

一、蜜罐架构图

二、蜜罐的搭建

1、Kippo

1.1  Kippo的安装

GitHub地址:https://github.com/desaster/kippo

安装环境:centos7

为确保蜜罐服务器的安全,建议在windows服务器上安装vmware,然后安装centos。

下载代码、安装相关的依赖

 git clone https://github.com/desaster/kippo.git  # 无法运行git命令,请先安装  yum -y install git
yum –y install twisted python-zope-interface python-pyasn1
yum -y install python-devel mysql-devel
yum install -y python2-paramiko
pip install twisted==15.2. # 无pip命令,请执行 yum -y install python-pip ; 如果提示没有pip包,请先执行yum -y install epel-release。安装twisted时如果提示unable to execute gcc: No such file or directory,运行命令 yum install gcc
pip install mysql-python

解压下载的kippo-master.zip

unzip kippo-master.zip 

因为kippo不能以root运行,所以新建一个kippo账号

useradd -d /kippo kippo

把kippo文件夹复制到/kippo 目录下面,并更改这个文件夹的所有者

cp -R kippp /kippo/chown -R kippo:kippo  kippo

安装mysql

yum install mysql-server # 提示没有mysql-server安装包,
请执行
wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm rpm -ivh mysql-community-release-el7-5.noarch.rpm

创建数据库和账号

create database kippo;
GRANT ALL PRIVILEGES ON  kippo.* TO kippo@localhost IDENTIFIED BY 'your password';

初始化数据表

 mysql -ukippo -p -Dkippo < /kippo/kippo/doc/sql/mysql.sql

在/kippo/kippo下面复制配置文件,并修改相应的配置

cp kippo.cfg.dist kippo.cfg
vim kippo.cfg

启动开始程序    # 如果提示缺少哪些模块,pip install 安装,如缺少Crypto  执行pip install  pycrypto,缺少pyasnl.error  执行 pip  install pyasnl

sh start.sh

1.2 kippo测试

查看kippo监听的端口,默认2222端口

kippo/data 的userdb.txt 保存了ssh登陆蜜罐的用户名和密码,也可以根据公司实际情况,添加更逼真的SSH账号和弱密码。

用另一台机器SSH登录蜜罐的2222端口(用户名和密码就是上面userdb.txt中的)

模拟交互登录

登录以及登录后的操作日志,在log文件夹下面的kippo.log里面

三、创建诱捕节点

理想情况我们要在公司所有的VLAN网段部署诱捕节点,但如果都用服务器部署的话,太浪费资源,以下介绍三种方法创建诱捕节点:

方法一:

IDC如果有虚拟机,可以在虚拟机上添加不同vlan的网卡,通过添加策略路由的方式让这些诱捕IP连通。上面架构图使用的就是这种方法。

图例:添加了很多张网卡

策略路由的具体配置如下

#创建策略路由表
echo "32 net_32" >> /etc/iproute2/rt_tables
echo "47 net_47" >> /etc/iproute2/rt_tables
echo "50 net_50" >> /etc/iproute2/rt_tables
echo "56 net_56" >> /etc/iproute2/rt_tables
#编辑启动文件,把下面的配置添加进去
vim /etc/rc.local
#启用8021q
/sbin/modprobe 8021q
#本机与默认网关的路由,否则会显示路由不可达
ip route add 172.10.32.0/24 dev eth1 table net_32
ip route add 172.10.47.0/24 dev eth2 table net_47
ip route add 172.10.50.0/24 dev eth3 table net_50
ip route add 172.10.56.0/24 dev eth4 table net_56
# 默认网关
ip route add default via 172.10.32.1 table net_32
ip route add default via 172.10.47.1 table net_47
ip route add default via 172.10.50.1 table net_50
ip route add default via 172.10.56.1 table net_56 # 配置策略路由
ip rule add from 172.10.32.2/32 table net_32
ip rule add from 172.10.47.2/32 table net_47
ip rule add from 172.10.50.2/32 table net_50
ip rule add from 172.10.56.2/32 table net_56

方法二:

物理机上添加一张网卡,在此网卡上配置多个vlan虚拟网卡,然后类似上述的配置通过策略路由的方式实现IP的连通,同时需要交换机互联的端口上配置trunk模式。

方法三:

IDC各vlan找一台在用但重要程度不高的服务器,在现有的网卡下,创建一张子网卡,自网卡配置诱捕节点IP

如:查看现有的ifcfg-eth0文件

cat  /etc/sysconfig/network-scripts/ifcfg-eth0

确保IP为静态IP,且掩码、网关填写正确

创建诱捕节点IP的配置文件

vim  /etc/sysconfig/network-scripts/ifcfg-eth0: 

重启新配置文件生效

ifup eth0:

四、设置端口转发(安装rinetd)

目标:当攻击者扫描探测诱捕节点IP的22端口时,把流量转发至蜜罐服务器的kippo程序上。

在此需要说明的是:我们要把访问诱捕节点的22端口转发过去,且rinetd要转发的源端口不能被本地占用,所以需要把诱捕节点服务器的SSH先改为其他端口,22端口预留给转发使用,流量可以转发到蜜罐所在物理机的任意端口,然后通过vmware端口映射把流量最终镜像给蜜罐服务器的2222端口(kippo的默认端口是2222)

rinetd官网地址:https://boutell.com/rinetd/

通过官网下载安装包

上传至服务器解压

tar –zxvf rinetd.tar.gz

这地方有一个坑 :rinetd默认只有在进程被关闭的时候,才会把日志写到rined的日志文件中(/var/log/rined.log),也就是说当rinetd一直在运行的时候,即使有流量被转发了,也无法在日志文件中看到日志。所以在编译安装rinetd前,我们要先修改它的源代码,增加一个fflush函数强制更新日志,然后在去编译安装。编辑rinetd.c这个文件,找到修改的位置,按下图添加一行代码。

创建稍后编译时需要用到的文件夹

mkdir /usr/man/man8

编译&安装

make
make install

上一步make的时候可能会报两种错误

第一种:

解决方法:修改Makefile文件

第二种错误:提示超出系统最大定义端口,修改rinetd.c文件的544和567行,把65536端口改成65535

创建配置文件

touch /etc/rinetd.conf
诱捕节点IP 22 蜜罐所在物理机的IP # 源地址 端口 目的地址 端口,因为诱捕节点很多,所以需要些很多行配置
logfile /var/log/rinetd.log # 日志文件

运行这个工具

rinetd 
#关掉工具的命令是 pkill rinetd

当攻击者访问专用IP的22端口时,会被转发至蜜罐的SSH服务。

rinetd会产生日志,具体路径是在/etc/rinetd.conf中设置的,日志样例如下

成功登录蜜罐后,在伪造的shell中进行命令操作,蜜罐服务器也会记录一份日志,但是这地方记录的访问源IP是我们诱捕节点的IP,不是攻击者所在服务器的IP地址。所以在下面日志收集的时候,既需要收集rinetd转发的日志,也需要收集kippo日志。

四、自动告警

可通过splunk实现自动告警

首先通过syslog的方式把端口转发(rinetd.log)和蜜罐(kippo.log)这两份日志实时同步至splunk服务器。

splunk上新建一个应用(kippo)

splunk新建索引(kippo)

通过本地文件的方式导入数据

splunk设置告警

转载请注明出处: https://www.cnblogs.com/Eleven-Liu/p/9204244.html

Kippo蜜罐的部署、诱捕节点的搭建以及自动告警的更多相关文章

  1. kippo蜜罐搭建

    kippo蜜罐搭建 总结一下kippo蜜罐搭建的方法,centos系统.kippo-master.zip的安装包 (gcc,python-devel,pip,twisted==13.10,pycryp ...

  2. kubeadm部署k8s1.9高可用集群--4部署master节点

    部署master节点 kubernetes master 节点包含的组件: kube-apiserver kube-scheduler kube-controller-manager 本文档介绍部署一 ...

  3. ASP.NET Core on K8S学习初探(1)K8S单节点环境搭建

    当近期的一个App上线后,发现目前的docker实例(应用服务BFF+中台服务+工具服务)已经很多了,而我司目前没有专业的运维人员,发现运维的成本逐渐开始上来,所以容器编排也就需要提上议程.因此我决定 ...

  4. 在 Linux 部署多节点 Kubernetes 集群与 KubeSphere 容器平台

    KubeSphere 是在 Kubernetes 之上构建的以应用为中心的企业级容器平台,所有供为用户提供简单易用的操作界面以及向导式操作方式.同时,KubeSphere Installer 提供了 ...

  5. 用Kolla在阿里云部署10节点高可用OpenStack

    为展现 Kolla 的真正实力,我在阿里云使用 Ansible 自动创建 10 台虚机,部署一套多节点高可用 OpenStack 集群! 前言 上次 Kolla 已经表示了要打 10 个的愿望,这次我 ...

  6. K8s二进制部署单节点 master组件 node组件 ——头悬梁

    K8s二进制部署单节点   master组件 node组件   --头悬梁 1.master组件部署 2.node   组件部署 k8s集群搭建: etcd集群 flannel网络插件 搭建maste ...

  7. K8s二进制部署单节点 etcd集群,flannel网络配置 ——锥刺股

    K8s 二进制部署单节点 master    --锥刺股 k8s集群搭建: etcd集群 flannel网络插件 搭建master组件 搭建node组件 1.部署etcd集群 2.Flannel 网络 ...

  8. Apache Spark1.1.0部署与开发环境搭建

    Spark是Apache公司推出的一种基于Hadoop Distributed File System(HDFS)的并行计算架构.与MapReduce不同,Spark并不局限于编写map和reduce ...

  9. kubernetes 单节点和多节点环境搭建

    kubernetes单节点环境搭建: 1.在VMWare Workstation中建立一个centos 7虚拟机.虚拟机的配置尽量调大一些 2.操作系统安装完成后,关闭centos 自带的防火墙服务 ...

随机推荐

  1. Unity2017 经典游戏开发教程 算法分析与实现 (张帆 著)

    https://meta.box.lenovo.com/link/view/82c451b41ce34e81a4b34cb46747d3d5 第1章 熟悉Unity软件的操作 第2章 打地鼠 (已看) ...

  2. 使用jenkins构建一个maven项目

    1.登陆到jenkins首页,创建项目-->选择maven-->输入项目名称-->选择项目类型 2.进入项目配置:{先写一下项目描述和设置下保留的历史构建,然后向下拉} 找到源吗管理 ...

  3. Android Studio|IntelliJ IDEA 常用快捷键(Mac|Window)

    一 For Mac(Mac OS X 10.5+) F1 显示注释文档F2 高亮错误或警告快速定位Command + F12 显示当前文件的结构(查看所有方法)Command + F 查找文本Comm ...

  4. word record 3

    word record 3 tabloid : a half size page of a newspaper, or a newspaper or magazine with short, exci ...

  5. leetcode-二进制手表

    二进制手表顶部有 4 个 LED 代表小时(0-11),底部的 6 个 LED 代表分钟(0-59). 每个 LED 代表一个 0 或 1,最低位在右侧. 例如,上面的二进制手表读取 “3:25”. ...

  6. ThinkPHP - 3 - IDE选择以及Eclipse PDT打开ThinkPHP项目

    ThinkPHP框架已部署到SAE(新浪云),且代码已获取到本地.眼前面临的问题就是,对ThinkPHP项目选择哪种开发工具(IDE)? 经过简单的查找比较,以及电脑里已装有Eclipse的因素,遂决 ...

  7. Java数组课程作业

    设计思路:生成随机数,赋值给数组.再将其求和输出 程序流程图: 源程序代码: import javax.swing.JOptionPane; public class Test { public st ...

  8. Android屏幕适配解析 - 详解像素,设备独立像素,归一化密度,精确密度及各种资源对应的尺寸密度分辨率适配问题

    . 作者 :万境绝尘 转载请注明出处 : http://blog.csdn.net/shulianghan/article/details/19698511 . 最近遇到了一系列的屏幕适配问题, 以及 ...

  9. Swift-创建UIButton(其他UI组件雷同)

    let button = UIButton.init(frame: CGRectMake(, , , )) button.setTitle("按钮", forState: UICo ...

  10. python爬虫 妹子图片网

    代码如下 #coding=utf-8 import os import re import urllib from time import sleep import requests from lxm ...