0x00 تمهيد

من: https://itandsecuritystuffs.wordpress.com/2015/02/03/honeypot-networks/

PS: بعض ننسى أنه خلال الطلقات الاختبار، وصور من المادة الأصلية على الاستخدام المباشر ل. جعلت عملية الترجمة بعض التغييرات، يمكن جيدة الإنجليزية ترى الأصلي مباشرة.

هذه الشبكة المقالة مصائد مخترقي الشبكات عبر ومصيدة، وكيفية استخدامها لحماية النظام الحقيقي، فإننا ندعو هذا النظام MHN (شبكة العسل الحديثة، الحديث Honeynet)، فإنه يمكن نشر بسرعة، واستخدام، ويمكن أيضا أن يكون بسرعة جمع البيانات من عقدة.

0x01 ما هو مصيدة

مصيدة عرضة، زائفة يتعرض شبكة أو جهاز داخل الشبكة، وجود الميزات التالية:

1. آلة واحدة النقطة المهمة هي كاذبة، المهاجم يستغرق وقتا طويلا لكسر. خلال هذا الوقت، يمكن للمسؤول نظام قفل المهاجم مع حماية الجهاز الحقيقي.

2. يمكن للمهاجمين تعلم مهارات لخدمة واستخدام من التعليمات البرمجية.

3. بعض مصيدة يمكن التقاط البرمجيات الخبيثة، واستغلال الرمز، الخ، ويمكن التقاط المهاجم 0day، ويمكن أن تساعد في هندسة عكسية لتحسين أمن أنظمتها من خلال تحليل البرامج الضارة القبض

4. شبكة مصيدة، بما في ذلك نشر يستطيع مساعدتك في العثور على أجهزة أخرى ضمن نقاط الضعف شبكة ممكنة.

مصيدة هو سيف ذو حدين، إذا غير صحيح، هناك من المحتمل أن يعاني المزيد من الهجمات، هناك برامج المحاكاة مشكلة والخدمات، وخلق نقاط ضعف جديدة.

ينقسم مصيدة إلى فئات قليلة:

1. انخفاض التفاعلية: المحاكاة التفاعلية للخدمة منخفضة التقليدية، والخدمة هناك ثغرات، ولكن نقاط الضعف هذه لا يمكن محاكاة استخدام وتطوير وصيانة هذا النوع من مصيدة أسهل.

2. تفاعلية: تفاعلية باستخدام خدمة حقيقية للمساعدة في العثور خدمة ثغرات جديدة، في حين يجري قادرة على تسجيل جميع الهجمات، ولكن، من الصعب نشر وارتفاع تكاليف الصيانة، مرة واحدة وتستغل وجود هذه الخدمة بسهولة يؤدي إلى مشاكل أمنية جديدة.

3. مثبت مصيدة (Tarpits): هذا النوع من مصيدة، وذلك باستخدام IP جديد لتوليد جهاز ظاهري جديد لخدمة الثغرات محاكاة، للقيام الطعم. ولذلك، فإن المهاجم يستغرق وقتا طويلا لهجوم، هناك ما يكفي من الوقت للتعامل مع الهجوم، وقفل المهاجم.

توجد أنواع أخرى من مصائد مخترقي الشبكات عبر، مثل التقاط المتخصصة يستغل الخبيثة قاعدة البيانات وغير المرغوبة، وهلم جرا. عند نشر اثنين أو أكثر من مصائد مخترقي الشبكات عبر honeynets يسمى.

بعض على الانترنت تعريف مصيدة:

1. ما هو مصيدة:

2. Honeynet:

3. مشروع مصيدة:

https://www.projecthoneypot.org/، بعض البيانات المهاجم وإحصاءات IP المهاجم.

4. مصيدة يكي:

شبكة كثيفة 0x02 الحديثة (MHN)

MHN هو برنامج مفتوح المصدر أن يبسط نشر مصائد مخترقي الشبكات عبر، مع تسهيل جمع البيانات ومصيدة الإحصائي. مع ThreatStream ( لنشر بعد مصيدة MHN مفتوحة المصدر لبيانات جمع وتنظيم تخزينها في Mongodb، ويمكن أيضا أن أظهرت المعلومات التي تم جمعها من خلال واجهة على شبكة الإنترنت أو من خلال تطوير الوصول API.

MHN توفر مجموعة متنوعة من مصيدة مفتوح المصدر، يمكنك إضافتها من خلال واجهة ويب. عملية نشر مصيدة هو بسيط جدا، فقط لصق، يمكن نشرها الأوامر نسخ أو نشر كاملة، والمعلومات التي يمكن جمعها من قبل hpfeeds بروتوكول مفتوحة المصدر.

MHN مصيدة يدعم ما يلي:

1.Sort: الشبكي: //www.snort.org/

2.Suricata: HTTP: //suricata-ids.org/

3.Dionaea: HTTP: //dionaea.carnivore.it/، بل هو مصيدة تفاعلية منخفضة يمكن محاكاة MSSQL، SIP، HTTP، FTP، والخدمات TFTP هذه قطرات لها مقالا عن: HTTP: // قطرات. wooyun.org/papers/4584

4.Conpot: HTTP: //conpot.org/

5.Kippo: الشبكي: //github.com/desaster/kippo، بل هو تفاعل مصيدة المتوسطة يمكن تحميل الملفات التعسفي. قطرات ديه مقالا عن: HTTP: //drops.wooyun.org/papers/4578

6.Amun المتشعب: //amunhoney.sourceforge.net/، بل هو مصيدة تفاعلية منخفضة، ولكن كان منذ 2012 بعد وليس الحفاظ عليها.

7.Glastopf: HTTP: //glastopf.org/

8.Wordpot: الشبكي: //github.com/gbrindisi/wordpot

9.ShockPot: الشبكي: //github.com/threatstream/shockpot، محاكاة CVE-2014-6271، أي ضعف قذائف مكسورة

10.p0f: الشبكي: //github.com/p0f/p0f

متطلبات الأجهزة 0x03 MHN

الخادم MHN:

4 GB رام المعالج ثنائي النواة 40 غيغابايت في القرص

مصيدة:

512 ميجا بايت - 1 غيغابايت ثنائي النواة وحدة المعالجة المركزية 20 غيغابايت في القرص

اعتمادا على الموقع محددة من أجل نشر يقع مصيدة خلف جدار حماية أو تتعرض مباشرة على الانترنت، وعدد من الهجمات هو مختلف، وبالتأكيد مختلفة من استهلاك الموارد. إذا كان الاختبار ليست سوى 256M مسرحية ذاكرة كافية.

تركيب 0x04 MHN

لأن هناك ThreatStream النصي نشر، لذلك تركيب MHN هو بسيط جدا، ونحن مجرد تركيب المفتوح في أوبونتو 14.04 LTS الاختبار على (64 بت)، خطوات التثبيت كما يلي:

سودو الرابطة بين الحصول على التحديث && سودو الرابطة بين الحصول على ترقية سودو الرابطة بين الحصول على تثبيت بوابة مؤتمر نزع السلاح / اختيار سودو بوابة استنساخ https://github.com/threatstream/mhn مؤتمر نزع السلاح / اختيار / mhn / مخطوطات

لقد تم تعديل النسخة الجديدة، يمكنك القيام ببعض التدقيق قبل التثبيت

سودو همة install_mnemosyne.sh

البحث عن القنوات المعدلة، shockpot.events إضافة تعديلها لتبدو وكأنها هذا

القنوات = 'amun.events، conpot.events، thug.events، beeswarm.hive، dionaea.capture، dionaea.connections، thug.files، beeswarn.feeder، cuckoo.analysis، kippo.sessions، glastopf.events، glastopf.files ، mwbinary.dionaea.sensorunique، snort.alerts، wordpot.events، p0f.events، suricata.events، shockpot.events " سودو ./install_hpfeeds.sh سودو ./install_mnemosyne.sh سودو ./install_honeymap.sh

تنفيذ سودو وضع supervisorctl بعد التثبيت هو ما يصل كاملا لرؤية أربعة الخدمة

الجهاز على الشبكة العامة، يمكنك تخطي هذه الخطوة، إذا وضعت داخل الشبكة فقط، تحتاج إلى تكوين الشخصية mnemosyne

سودو همة /opt/mnemosyne/mnemosyne.cfg ignore_rfc1918 = خطأ

باستخدام عناوين خاصة ويسمح عقدة خادم في مجال الاتصالات

إعادة تشغيل الخدمة

سودو supervisorctl إعادة تشغيل mnemosyne

وأخيرا تشغيل برنامج نصي لتكوين MHN

سودو ./install_mhnserver.sh ================================================== ========= تكوين MHN ================================================== ========= هل ترغب في تشغيل في وضع التصحيح: ذ / ن ن الخارق البريد الإلكتروني: name@example.com الخارق كلمة المرور: الخارق كلمة المرور: (مرة أخرى): رابط قاعدة خادم : رابط Honeymap : Http://192.168.5.3:3000 عنوان خادم البريد : منفذ خادم البريد : استخدام TLS للبريد الإلكتروني: ذ / ن ذ استخدام SSL للبريد الإلكتروني: ذ / ن ذ اسم المستخدم خادم البريد : خادم البريد كلمة المرور : المرسل الافتراضي البريد : مسار ملف السجل :

تستغرق هذه العملية وقتا طويلا، تحتاج إلى تهيئة قاعدة البيانات، ولكن أيضا إدراج حكم الشخير / Suricata، بعد انتهاء البرنامج النصي، والوصول المباشر إلى رابط قاعدة التكوين المحدد، يمكنك تكوين بعد تسجيل الدخول

تثبيت ملقم 0x06 MHN

بمجرد أن خدمة التركيب الأساسية، ونحن سوف تكون قادرة على نشر مصيدة العقد، والبيانات الحالية ذات الصلة عبر الإنترنت، وهلم جرا، يمكنك القيام ببعض التعديلات البسيطة وفقا للحالة محددة.

على سبيل المثال، لجمع هجوم غير مجهول للحصول على البيانات مرة أخرى إلى ThreatStream، القيام بما يلي

مؤتمر نزع السلاح / اختيار / mhn / مخطوطات سودو ./disable_collector.sh

تنفيذ enable_collector.sh يمكن فتح

إذا كنت ترغب في تعديل خدمة التكوين بروتوكول نقل البريد الإلكتروني، يمكنك تعديل config.py،

المسار المطلق

/opt/mhn/server/config.py مؤتمر نزع السلاح / اختيار / mhn / الخادم سودو همة config.py سودو supervisorctl إعادة تشغيل mhn-uwsgi

ليس محاولة لاستخدام المشرفين المتميزين لتكوين، يمكنك إضافة مستخدمين آخرين من صفحة الويب، ولكن كل المستخدمين فائقة المستخدم، وليس هناك فرق، عند حذف المستخدم عندما يقوم المستخدم لا يحذف فعلا، فقط في قاعدة بيانات وضع علامة "غير نشطة"، في حين أن المستخدم لا يمكن استخدامها مرة أخرى ما لم التغييرات إلى قاعدة البيانات.

يمكنك أيضا الذهاب مباشرة تغيير كلمة مرور المستخدم من محطة

سودو سو مؤتمر نزع السلاح / اختيار / mhn / مصدر الحياة الفطرية / بن / تفعيل الخادم مؤتمر نزع السلاح الثعبان manual_password_reset.py إلغاء التنشيط خروج

0x07 استكشاف الأخطاء وإصلاحها

إذا وجدت أن الخدمة ليست طبيعية، يمكنك استخدام بعض الأوامر والمشي من خلال بعض السجلات لتحديد أين تكمن المشكلة، الأمر الأول هو supervisorctl، يمكنك ان ترى المشاكل العملية، وتلك الموجودة في التشغيل العادي

وضع supervisorctlv # قائمة وضع جميع العمليات supervisorctl إعادة تشغيل # إعادة تشغيل واحد أو كل عملية supervisorctl بدء # بدء عملية واحدة أو كل العمليات توقف supervisorctl # وقف عملية واحدة أو كل العمليات

إذا وجدت عملية لحالة خطأ أو خطأ جسيم، تحتاج إلى العثور على عملية المناظرة في ملف التكوين /etc/supervisor/conf.d/، عرض سجل للتحليل https://github.com/threatstream/mhn/wiki/MHN -Troubleshooting-دليل، وطلب المساعدة مشكلة واجهتها:

خطأ 1.honeymap في تركيب

الزئبق استنساخ ام go.net/ /opt/honeymap/server/src/code.google.com/p/ الذهاب البناء supervisorctl إعادة تشغيل honeymap

واجهة 0x08 MHN على شبكة الإنترنت

واجهة على شبكة الإنترنت MHN بسيطة للغاية واضحة، وهي المرة الأولى التي يتم فيها الوصول إلى القسم على شبكة الإنترنت، تحتاج إلى إدخال اسم الحساب وكلمة المرور، والدخول بنجاح سترى صفحة ملخص

1. هجمات كيف عديدة مع الهجمات خلال ال 24 ساعة الماضية

2. عدد الهجمات في IP الخمسة الاوائل

3. هاجم أعلى خمسة موانئ ميناء

الهجوم توقيعات 4.top 5

يمكن تكوين بعض الخيارات القائمة أو لمزيد من التفاصيل عن الهجوم

خريطة: مشاهدة IP المهاجم زعت على نطاق العالم

نشر: إضافة وتحرير ونشر النصوص مصيدة

قائمة كل من المهاجم: الهجمات

حمولات: كل هجوم الحمولة، في الواقع، يمكن مصائد مخترقي الشبكات عبر ثلاثة فقط جمع حمولة (الشخير، dionaea.glastofp)

القواعد: جميع قواعد الشخير وsuricata

Seneors: تسجيل عقدة ذات الصلة تركيب مصيدة التشغيل

الإعدادات: الخدمات مجموعة MHN

مهاجمة مصدر التوزيع العالمي، تشغيل الميناء في 3000، لم تتم مصادقتها، سوف تكون قادرا على رؤية، يمكنك القيام تحكم ACL الوصول المفتوح.

0x09 مصيدة العقد

يركز هذا القسم على مصيدة، كيفية تثبيت، كم هو سهل التشغيل، وكذلك تنشأ مشاكل، والحاجة إلى جعل تكوين خاص، وهلم جرا. وإجراء بعض الاختبارات لمعرفة كيف يمكن للمهاجمين، سجل مصيدة السلوك العدواني. وأخيرا MHN سيناقش كيفية جمع المعلومات والبيانات على شبكة الإنترنت عرضت.

9.1 العقد مصيدة تثبيت

مصيدة العقد تركيبها بسهولة، وتعتمد كافة العقد على نفس السيناريو تركيب منصة، MHN لكل منها مصيدة المقابلة، لذلك كان من السهل جدا لتثبيت، لا تتطلب سوى الخادم لتثبيت.

اختبرنا على أوبونتو 14.04 LTS. فمن المستحسن أن الوصول عبر سه، إن لم يكن، الرجاء تثبيت الغطاء الأمني، تعديل المنفذ المقابل 22، وإضافة جدار الحماية

تثبيت الغطاء الأمني

سودو الرابطة بين الحصول على التحديث && سودو الرابطة بين الحصول على ترقية && سودو الرابطة بين الحصول على تثبيت المفتوح خادم

تعديل المنفذ هو 2222

همة / الخ / سه / sshd_config بورت 2222

إعادة تشغيل الخدمة

سودو خدمة سه إعادة تشغيل

النصي التثبيت المحدد في الخادم MHN اجهة ويب، وهناك كل النصوص تركيب مصيدة تحت خيار "نشر".

بعد التثبيت يمكن التحقق من الأمر

سودو NETSTAT -tunlp # الإنتاج لرؤية اتصال الشبكة الحالي وضع supervisorctl # عرض حالة تشغيل

9.2 Wordpot

أولا، تثبيت مصيدة ورد على أوبونتو 14.04 LTS، بعد التثبيت سودو الكامل NETSTAT -tunlp ميناء عرض 80 مفتوح، يمكن سودو وضع supervisorctl عرض الوضع التشغيلي للخدمة. بعد زيارة الملكية الفكرية، وراجع ما يلي

إذا كنت ترغب في تغيير الإضافات الفسفور الابيض والإعدادات،

همة /opt/wordpot/wordpot.conf

مسح NMAP باستخدام الميناء 80

NMAP -A -pn -p80192.168.10.21

عن طريق تحديد 80 NMAP نرى ذلك هو وورد 2.8 HTTP تشغيل الإصدار 0.96 الإصدار تم تحديدها من بيثون 2.7.6. لن يتم تسجيل المسح المنفذ من هذا القبيل، والعودة إلى الخدمة MHN.

استخدام المسح الضوئي wpscan

wpscan -url HTTP: // IP /

9.3 p0f نظام السلبي البصمات

p0f هو نظام السلبي أدوات بصمات، والتي يمكن أن تساعد على التعرف بسرعة على نوع المعلومات وأنظمة التشغيل الأخرى، بل هو أيضا من السهل جدا للانتشار في MHN، قد استند p0f على بصمات الأصابع، وسرعان ما يقابل، وإن لم يكن عملية حسابية دقيقة، ولكن على درجة عالية من الاعتراف.

الانتاج بمقدار الأمر netstat يمكن أن يرى لم لا p0f لا تذهب إلى عملية جديدة لتنفيذ شبكة الرصد الجديد.

إذا كان المنفذ هو أن تكون محمية سه جدار حماية أو الأمامية IPS / IDS، بيانات حصلت عندما مزيد من المتاعب.

إذا كنا تثبيت الأجهزة المثبتة في p0f wordpot، 80 ميناء وصول الطلب wordpot wordpot لا الزناد التنبيه، ولكن مشغلات p0f، MHN هي فقط قادرة على المهاجمين منفذ العرض، ولكن لا يمكن عرضها على نوع نظام التشغيل، الجهوزية، وغيرها من المعلومات. سجلات p0f هي نص عادي، وتحليل وجمع البيانات ليست سهلة للغاية، ولكن لحسن الحظ API p0f، هناك أدوات أخرى موجودة والتي يمكن أن تساعدنا على تحليل بسرعة.

اذا كنت بحاجة الى نظام نظام الهجوم المستمر يمكن استخراجها من /var/log/p0f.out، يمكنك استخدام الثعبان، باش، الحوار الاقتصادي الاستراتيجي، البقرى، وما إلى ذلك لمساعدتك في الحصول بسرعة على المعلومات التي تريدها. ترغب في الحصول على معلومات حول نظام الملكية الفكرية، يمكنك استخدام الأمر التالي

البقرى -n "