我家里有一台备用电脑,所以我决定把它变成一个蜜罐。到目前为止,我已经在上面安装了 Windows XP(无服务包),并在我的路由器上设置了规则以将(一些)端口转发到蜜罐。由于我的路由器不支持 DMZ,我必须手动创建规则。目前,我转发 TCP 端口 80、100-140 和 1000-1500(我几乎随机选择了这些值)。在蜜罐上,我使用 Wireshark 来监控网络流量。
但是,蜜罐似乎没有被感染。我只从外面收到很少的流量。
我究竟做错了什么?我必须转发其他端口吗?我必须以某种方式在互联网上宣传我的存在吗?
感谢您的任何意见!
PS:我确实知道在家庭网络中运行蜜罐的危险。
如果你只是想让你的蜜罐机器被入侵并成为僵尸网络的一部分,你需要在机器上运行易受攻击的服务。您选择的易受攻击的服务必须与您转发到蜜罐机器的端口相匹配,并且还必须与蠕虫积极尝试利用的服务相匹配。
对于 Windows XP 机器,转发端口 137、138、139 和 445 应该会给您带来大量的攻击流量。这些端口用于 NetBIOS 和 Samba,它们都从 Internet 接收源源不断的流量。
仅当您在蜜罐机器上运行 Web 服务器时,转发端口 80 才会有用。您可以使用 Web 服务器朝两个方向发展;要么运行具有已知漏洞的旧版本的 HTTP 守护程序本身,要么运行当前版本,然后在其上运行易受攻击的 Web 应用程序,例如旧版本的 Wordpress 或 phpMyAdmin。
您可以尝试运行服务并希望它们容易受到攻击并且蠕虫正在尝试利用它们,但是查找特定蠕虫所针对的服务并运行这些服务可能更有效。
解决此问题的另一个方向是启用入口点的日志记录并查看哪些流量正在打击您。我怀疑您会在我上面提到的端口上看到大量流量,但您也可能会在其他端口上看到流量。找出哪些端口用于在您的机器上运行该服务。
关于蜜罐,我要补充几点:
蜜罐的目的是研究攻击者或蠕虫在入侵主机后会做什么。您将需要在盒子本身上设置广泛的监控和日志记录,以便您实际上从练习中获得一些有用的信息。同样重要的是,您知道自己何时受到了损害。大多数蜜罐在虚拟机中运行,以便您轻松地将机器的当前状态与已知的良好副本进行比较。在蜜罐中这样做是不够的,因为 rootkit 可以修改您用来进行比较的工具。
您将需要监控所有进出蜜罐机器的流量。我的意思是完整的数据包捕获。执行此操作的正常方法是在交换机上使用跨接端口,但如果您的交换机没有该功能,则可以在 VM 的管理程序中完成。您通常不会在蜜罐内执行此操作。
您说您知道在家庭网络中运行蜜罐的危险。我想这意味着您也知道在将其上线之前必须采取的预防措施。具体来说,配置您的网络和防火墙,使蜜罐机器无法联系您本地网络的任何其他部分。小心您允许它启动到 Internet 的哪些出站连接也是一个好习惯。它通常会尝试做的第一件事是下载您可能感兴趣的 rootkit 和工作程序,但接下来的事情通常是开始攻击更多目标,而这通常是您不允许的。
还存在用于创建蜜罐的特定工具。这些工具包括整个虚拟机管理程序和 VM 堆栈,它们支持我上面提到的所有事情。在同一个站点上,您可以找到用于记录、监控和分析的工具,以及有关如何运行蜜罐以及您可能看到谁攻击它的大量信息。
虽然这些答案中的大多数都是正确的,但我觉得他们缺少一些信息。
首先我想澄清一下,它取决于你安装的蜜罐的类型,然后它决定你是否要安装广泛的监控,就像低交互蜜罐一样,你通常不想做任何广泛的配置. 但是,如果您使用的是具有自己 IP 的高交互或物理蜜罐,该 IP 主要用于研究类别。
这意味着无论您指定什么蜜罐,您的期望和目标都是让系统被探测、攻击和潜在利用,Honeybot 通过在您的计算机上打开 1000 多个 UDP 和 TCP 侦听套接字来工作,这些套接字旨在模仿易受攻击的服务。它也是一个检测和响应工具,而不是它有一点价值的预防。
取决于您使用的软件,其中大多数都带有电子邮件和通知警报。像honyed,mantrap,honeynets。哪个更好地部署在防火墙上。
还有一件事要记住,如果蜜罐没有受到攻击,那么蜜罐将毫无价值,如果您如前所述将或想要捕获完整数据包,这意味着您也给了熟练的攻击者劫持蜜罐的机会。如果攻击者设法破坏了您的一个蜜罐,他可能会尝试攻击不受您控制的其他系统。这些系统可以位于 Internet 的任何位置,攻击者可以使用您的蜜罐作为垫脚石来攻击敏感系统。