it-swarm-vi.com

Thiết lập một honeypot

Tôi có một máy tính dự phòng nằm ở nhà, vì vậy tôi quyết định biến nó thành một tổ ong. Cho đến nay, tôi đã cài đặt Windows XP (không có gói dịch vụ) trên đó và đã thiết lập quy tắc trên bộ định tuyến của mình để chuyển tiếp (một số) cổng sang honeypot. Vì bộ định tuyến của tôi không hỗ trợ DMZ , Tôi phải tự tạo quy tắc. Hiện tại, tôi chuyển tiếp TCP cổng 80, 100-140 và 1000-1500 (Tôi đã chọn các giá trị đó khá nhiều ngẫu nhiên). Trên honeypot, tôi sử dụng Wireshark để giám sát lưu lượng mạng.

Tuy nhiên, honeypot dường như không bị nhiễm bệnh. Tôi chỉ nhận được rất ít lưu lượng truy cập từ bên ngoài.

Tôi đang làm gì sai? Tôi có phải chuyển tiếp các cổng khác không? Tôi có phải bằng cách nào đó quảng cáo sự hiện diện của tôi trên internet?

Cảm ơn cho bất kỳ đầu vào!

P.S.: Tôi biết về sự nguy hiểm của việc chạy honeypot bên trong mạng gia đình.

16
ryyst

Nếu bạn chỉ muốn làm cho máy honeypot của mình bị xâm phạm và là một phần của mạng botnet, bạn sẽ cần phải chạy các dịch vụ dễ bị tấn công trên máy. Các dịch vụ dễ bị tổn thương mà bạn chọn sẽ phải khớp với các cổng mà bạn đã chuyển tiếp đến máy honeypot và cũng sẽ phải khớp với các dịch vụ mà sâu đang tích cực cố gắng khai thác.

Đối với máy Windows XP, các cổng chuyển tiếp 137, 138, 139 và 445 sẽ giúp bạn có nhiều lưu lượng tấn công. Các cổng này dành cho NetBIOS và Samba và tất cả đều nhận được lưu lượng truy cập liên tục từ Internet.

Chuyển tiếp cổng 80 sẽ chỉ hữu ích nếu bạn đang chạy một máy chủ web trên máy honeypot. Bạn có thể đi theo hai hướng với một máy chủ web; hoặc chạy phiên bản cũ của chính trình nền HTTP đã biết các lỗ hổng đã biết hoặc chạy phiên bản hiện tại và sau đó chạy một ứng dụng web dễ bị tổn thương, chẳng hạn như phiên bản cũ hơn Wordpress hoặc phpMyAdmin trên đó.

Bạn chỉ có thể thử chạy các dịch vụ và hy vọng rằng chúng dễ bị tổn thương và những con sâu đang cố gắng khai thác chúng nhưng có thể hiệu quả hơn khi tìm kiếm các dịch vụ mà sâu cụ thể nhắm mục tiêu và chạy chúng.

Hướng khác để giải quyết vấn đề này là cho phép đăng nhập vào điểm xâm nhập của bạn và xem lưu lượng truy cập nào đang tấn công bạn. Tôi nghi ngờ bạn sẽ thấy rất nhiều lưu lượng truy cập trên các cổng tôi đã đề cập ở trên nhưng có lẽ bạn cũng sẽ thấy lưu lượng truy cập trên các cổng khác. Tìm hiểu xem các cổng được sử dụng để làm gì chạy dịch vụ đó trên máy của bạn.

Có một vài điều tôi sẽ thêm vào điều này liên quan đến honeypots:

Mục đích của honeypot là nghiên cứu những gì kẻ tấn công hoặc sâu làm một khi nó làm tổn hại đến Vật chủ. Bạn sẽ muốn thiết lập giám sát rộng rãi và đăng nhập vào chính hộp để bạn thực sự có được một số thông tin hữu ích trong bài tập. Điều quan trọng nữa là bạn biết khi nào bạn đã bị xâm phạm. Hầu hết các honeypot đều được chạy bên trong các máy ảo để cung cấp cho bạn một cách dễ dàng để so sánh trạng thái hiện tại của máy với một bản sao tốt đã biết. Sẽ không đủ để làm điều này từ bên trong honeypot vì rootkit có thể sửa đổi chính các công cụ bạn đang sử dụng để thực hiện so sánh.

Bạn sẽ muốn được theo dõi tất cả lưu lượng đến và đi từ máy honeypot. Bằng cách này, tôi có nghĩa là chụp gói đầy đủ. Cách thông thường để làm điều này là với một cổng mở rộng trên công tắc của bạn nhưng có thể được thực hiện trong trình ảo hóa của VM nếu công tắc của bạn không có khả năng đó. Thông thường bạn sẽ không làm nó trong honeypot.

Bạn nói rằng bạn nhận thức được sự nguy hiểm của việc chạy honeypot trong mạng gia đình của bạn. Tôi cho rằng điều đó có nghĩa là bạn cũng nhận thức được các biện pháp phòng ngừa mà bạn sẽ phải thực hiện trước khi đưa nó lên mạng. Cụ thể, định cấu hình mạng và tường lửa của bạn để máy honeypot không thể liên hệ với bất kỳ phần còn lại nào của mạng cục bộ của bạn. Bạn cũng nên cẩn thận với những kết nối bên ngoài mà bạn cho phép nó bắt đầu với internet. Điều đầu tiên nó thường sẽ cố gắng làm là tải xuống rootkit và các chương trình worker mà bạn có thể quan tâm, tuy nhiên điều tiếp theo thường là bắt đầu tấn công nhiều mục tiêu hơn và đây không phải là điều bạn thường muốn cho phép.

Ngoài ra còn tồn tại công cụ cụ thể để tạo honeypots . Các công cụ này bao gồm toàn bộ hypanneror và VM ngăn xếp cho phép tất cả những điều tôi đã đề cập ở trên. Trên cùng một trang web bạn có thể tìm thấy công cụ để ghi nhật ký, theo dõi và phân tích và cũng tải trọng thông tin về cách chạy honeypot và ai có khả năng bạn sẽ thấy tấn công nó.

17
Ladadadada

Những gì bạn tạo ra là một honeypot tương tác cao, tức là một hệ thống sống đang chờ được thỏa hiệp và sau đó được phân tích bởi một nhà điều tra dự báo (tất nhiên đó là bạn). Tôi sẽ bắt đầu với một honeypot tương tác thấp, dựa trên linux. Nó tạo ra một hệ thống tập tin ảo và các dịch vụ giả mạo có thể khiến những kẻ tấn công (hoặc công cụ tự động của chúng) tin rằng đây là một hệ thống "thực", trong khi bạn sẽ chỉ chạy một dịch vụ honeypot. Một công cụ rất dễ dàng để thiết lập và bắt các đầu dò là Kippo , một honeypot SSH. Tôi cũng đang phát triển một công cụ trực quan cho nó cũng có thể khiến bạn quan tâm (và tất nhiên bạn sẽ nhận được một bản trình bày đẹp về dữ liệu của mình). Một honeypot tương tác thấp nổi tiếng khác là honeyd , nhưng khó cài đặt hơn một chút, tùy thuộc vào những gì bạn định làm tất nhiên (honeyd có thể mô phỏng toàn bộ kiến ​​trúc mạng với bộ định tuyến, máy chủ, máy trạm, vv).

7
Ion

Trong khi hầu hết các câu trả lời là đúng, tôi cảm thấy như họ đang thiếu một số thông tin.

Trước tiên tôi muốn làm rõ rằng nó phụ thuộc vào loại Honeypot bạn đang cài đặt, sau đó nó quyết định xem bạn có muốn cài đặt giám sát rộng rãi hay không như với Honeypot tương tác thấp, nói chung bạn không muốn thực hiện bất kỳ cấu hình mở rộng nào . nhưng nếu bạn đang sử dụng Honeypot tương tác cao hoặc vật lý với IP riêng, phần lớn được sử dụng trong danh mục Nghiên cứu.

Điều này có nghĩa là bất cứ điều gì bạn chỉ định là honeypot, đó là mong muốn và mục tiêu của bạn để hệ thống được thăm dò, tấn công và có khả năng khai thác, Honeybot hoạt động bằng cách mở hơn 1000 UDP và TCP ổ cắm nghe trên máy tính và các ổ cắm này được thiết kế để bắt chước các dịch vụ dễ bị tấn công. Ngoài ra, đây là công cụ phát hiện và phản hồi, thay vì phòng ngừa mà nó có một chút giá trị.

Phụ thuộc vào phần mềm bạn đang sử dụng hầu hết trong số họ có email và thông báo thông báo. như honyed, mantrap, honeynets . Đó là tất cả tốt hơn triển khai trên tường lửa.

Một điều nữa cần ghi nhớ, Honeypots là vô dụng nếu chúng không bị tấn công, nếu bạn như đã đề cập hoặc muốn nắm bắt Đầy đủ gói, điều này có nghĩa là bạn cũng tạo cơ hội cho kẻ tấn công lành nghề để cướp honeypot của bạn. Và nếu kẻ tấn công tìm cách thỏa hiệp một trong những tổ ong của bạn, anh ta có thể cố gắng tấn công các hệ thống khác không thuộc quyền kiểm soát của bạn. Các hệ thống này có thể được đặt ở bất cứ đâu trên Internet và kẻ tấn công có thể sử dụng honeypot của bạn như một bước đệm để tấn công các hệ thống nhạy cảm.

1
amrx