開源的蜜罐，開掛的call back！Kippo開源蜜罐技術(shù)--UP楠哥

尚文IT

#說在前面

蜜罐(Honeypot)技術(shù)在安全圈子里算是一種主動(dòng)助御技術(shù)，其實(shí)早在20年前就已經(jīng)存在，是入侵檢測技術(shù)的一個(gè)重要發(fā)展方向。當(dāng)時(shí)，一幫荷蘭黑客嘗試黑進(jìn)大名鼎鼎的貝爾實(shí)驗(yàn)室的系統(tǒng)(此時(shí)在想，這幫人里面有沒有我最喜歡的荷蘭足球運(yùn)動(dòng)員戴維斯^-^)

開個(gè)玩笑，繼續(xù)接回來！而當(dāng)時(shí)貝爾實(shí)驗(yàn)的研究團(tuán)隊(duì)就將這伙荷蘭黑客引導(dǎo)到他們自己的創(chuàng)建的一個(gè)“數(shù)字形式的沙盒”，這個(gè)沙盒被認(rèn)為是第一個(gè)蜜罐技術(shù)的落地。

蜜罐是專門為吸引并誘騙那些試圖非法闖入他人計(jì)算機(jī)系統(tǒng)的人而設(shè)計(jì)的，蜜罐系統(tǒng)是一個(gè)包含漏洞的誘騙系統(tǒng)，它通過摸擬一個(gè)或多個(gè)易受攻擊的主機(jī)和服務(wù)，給攻擊者提供一個(gè)容易攻擊的目標(biāo)。由于蜜罐并沒有向外界提供真正有價(jià)值的服務(wù)，因此所有試圖與其進(jìn)行連接的行為均可認(rèn)為是可疑的，同時(shí)讓攻擊者在蜜罐上浪費(fèi)時(shí)間，延緩對真正自標(biāo)的攻擊，從而使目標(biāo)系統(tǒng)得到保護(hù)。以下是蜜罐的常規(guī)部署：

由于蜜罐技術(shù)的特性和原理，使得它可以對入侵的取證提供重要的信息和有用的線索，便于研究入侵者的攻擊行為。從這個(gè)意義上講，蜜罐是一個(gè)"誘捕"攻擊者的陷阱。雖然蜜罐不會(huì)直接提高計(jì)算機(jī)網(wǎng)絡(luò)安全，但它卻是其他安全策略不可替代的一種主動(dòng)防御技術(shù)。通過觸發(fā)實(shí)時(shí)告警，就可以讓安全人員及時(shí)知道已經(jīng)有攻擊者滲透到內(nèi)網(wǎng)，并知道在哪臺(tái)服務(wù)器已被控制以及攻擊者在蜜罐上做了哪些動(dòng)作和行為。

#Kippo開源蜜罐技術(shù)

Kippo是一款交互式的SSH蜜罐工具，具有很強(qiáng)的互動(dòng)性，當(dāng)攻擊者拿到了蜜罐的SSH口令后可以登錄到蜜罐服務(wù)器執(zhí)行一些常見的Linux命令，與此同時(shí)，記錄了黑客執(zhí)行的全部shell交互。

Kippo代碼的官方托管地址：git clone https://github.com/desaster/kippo.git

#Kippo特點(diǎn)

模仿了類似Debian系列安全后的文件系統(tǒng)，但都是假的文件系統(tǒng)，具有新增和刪除文件的能力。也具有類似cat查看的能力，這樣攻擊者可以cat /etc/shadow等蜜罐中所謂的重要文件。

日志方面，兼容UML格式存儲(chǔ)，更易于以原始的實(shí)踐記錄戳進(jìn)行重放。

具有較高的欺騙性，如使用ssh時(shí)，好像可以連接到一臺(tái)真正的系統(tǒng)中。

#Kippo捕獲入侵

通過安裝python以及相關(guān)的pip庫文件，下載Kippo源碼部署好后，模擬交互登錄，假設(shè)真實(shí)ServerIP為192.168.190.130，通過修改sshd_config文件更改ssh端口為8222，同時(shí)關(guān)聯(lián)Kippo蜜罐的端口2222。進(jìn)行如下登錄：

ssh root@192.168.190.130 –p 2222，當(dāng)SSH登錄成功并創(chuàng)建了交互式Shell，那shell的日志會(huì)被重放。以下是進(jìn)入到蜜罐后，執(zhí)行的命令cat /etc/passwd 和rm -rf /

宿主機(jī)端的kippo.log中同時(shí)記錄出蜜罐里所執(zhí)行的哪些命令。

到這里，一個(gè)蜜罐環(huán)境就此搭建成功，后期可以可通過splunk實(shí)現(xiàn)自動(dòng)告警，把端口轉(zhuǎn)發(fā)（rinetd.log）和蜜罐（kippo.log）這兩份日志實(shí)時(shí)同步至splunk服務(wù)器。

尚文IT