详细部署dionaea低交互式蜜罐和记录分析(一)

今天偶然看到清华大学CCERT在中国教育报发表的文章,原文地址:http://wenku.baidu.com/view/827a5417650e52ea55189841.html ,还要收费1元。于是就决定写一篇关于对蜜罐进行部署和使用的详细文章。(一篇文章我一般都需要几天时间来完成的,To be perfect 是我做任何事情都喜欢追求的。)

一、初步认识dionaea

dionaea,中文的意思即捕蝇草,是否形容蜜罐很形象?dionaea是nepenthes(猪笼草)的发展和后续,更加容易被部署和使用。何谓蜜罐?引诱攻击者发起攻击,并能记录攻击者的活动信息。蜜罐一般分为两种类型:高交互式蜜罐和低交互式蜜罐。

低交互式蜜罐只是模拟出了真正操作系统的一部分,例如模拟一个FTP服务。虽然低交互式蜜罐容易建立和维护,但模拟可能不足以吸引攻击者,还可能导致攻击者绕过系统发起攻击,从而使蜜罐在这种情况下失效。

高交互式蜜罐是一部装有真正操作系统,并可完全被攻破的系统。与攻击者进行交互的是一部包含了完整服务的真实系统。用于网络安全的高交互式蜜罐提供了真实操作系统的服务和应用程序,使其可以获得关于攻击者更可靠的信息。但是部署和维护起来十分困难,而且被攻破的系统可能会被用来攻击互联网上其他的系统,这必须承担很高的风险。所以我们主要来研究今天我们的主题低交互式蜜罐dionaea。

二、在ubuntu上完整安装dionaea

首先我们需要装一些程序和库的支持,这也是装dionaea之前必要的。先建立两个文件夹,是我们安装包路径和安装路径。

接下来我们开始配置安装。

1、预安装

2、libev

3、libgcfg

4、libssl

5、libemu

6、sqlite3.3.7

7、Python3.2

8、cython

9、libpcap

10、libnl

好了,我们的准备工作到此结束,接下来开始配置安装dionaea。

安装dionaea

 

三、配置dionaea

dionaea默认的配置会记录所有的活动,比如调试、消息、警告、错误、信息等,我们只是自己部署测试,如果按照默认的话有时候记录的日志文件会非常巨大,所以先来修改下默认日志配置。

配置文件路径:/opt/dionaea/etc/dionaea/dionaea.comf

找到levels = “all”,加上-debug,改成levels = “all,debug”,选择调试模式。

找到levels = “warning,error”,去掉warning,改成levels = “error”,不记录警告。

对于模块的讲解,将在(三)中实例分析,这里不多赘述。

因为dionaea默认是将记录的二进制文件上传到sendbox中进行分析,但是为了高效方便,我们还是自己配置Http处理程序来接受,我们用到wwwhoney,一个基于python的Http蜜罐接收的小型服务器,下面我们来安装wwwhoney。

解压完毕设置好权限后我们需要修改目录下的cgiserver.py,这也是启动程序,但是我们需要修改下里面的配置。

找到cgi_directories = [“/cgi-bin/”] ,修改成wwwhoney目录下的cgi-bin目录,比如我的wwwhoney目录是在/pre.wwwhoney/,所以我就修改为cgi_directories = [“/pre.wwwhoney/cgi-bin/”],端口默认9000,可以改也可以不改。

然后启动。

返回了pid,说明启动成功,接下来我们打开firefox访问[url]http://127.0.0.1:9000/[/url]
终端返回数据。

然后我们启动dionaea。

返回结果,成功运行鸟。

(一)就此结束。在(二)里面,将介绍如何在dionaea.conf中进行适当的注释和添加,来确保wwwhoney进行正确的Http接收,并且会另述一种非完整的简洁安装方法,适合无基础的朋友,因为(一)中讲解的是完整安装。并且在(三)里面将会详细叙述实例分析的有效手段和多复合冗杂记录的高效途径以及配置图例进行GUI界面的查看。

[via@nandi]作者:Nandi