详细部署dionaea低交互式蜜罐和记录分析(二)

上一篇文章中:详细部署dionaea低交互式蜜罐和记录分析(一) ,分析了安装过程和部分配置,准备工作都已完毕,下面就开始进行高级配置和简便快捷安装方法。

一、dionaea.conf模块自定义高级配置

我们先来看下moudle节点,用来配置dionaeae所使用的工具模块,重点是ihandler段和services段,下面来看下这两个段的默认配置:

 

可以看到,在ihandlers的配置中,已经默认开启了使用SQLite数据库作为数据存储,另外几项重要的如mwserv,logxmpp,p0f,这些在(三)里面会详细说明。另外从services配置中,模拟开启了多项服务,可以选择不必要的禁用掉,下面是重要服务的说明:

Tftp:接收任意文件传输以及检测针对tftp服务利用漏洞的攻击细节。

ftp:允许任意登陆并截取所有上传的文件。

Smb和epmap:Server Message Block和endpoint map,大多数被针对攻击的对象。

http和https:web服务,服务端存储在$wwwroot/var/dionaea/wwwroot/目录下。($wwwroot是web的目录)

了解基本服务后可以选择不需要的进行注释或者删除来禁用,比如禁用ftp前面加上// 注释即可。

二、IP地址的片段化访问匹配

先来看如下默认配置:

 

我们可以设置为manual手动模式,只需把getifaddrs改成manual即可,但是需要提供具体的IP片段和接口给dionaea,继续看。

看对应的规则,如图(PS:貌似这是这部分文章的第一张图片吧。;)–):

201

因为dionaea默认是绑定所有的IPV4和IPV6的地址,如果迭代的话在初始化会相当浪费时间,有需要的话可以修改成上述的手动模式,自定义绑定的IP地址和分散片段,这需要自己定义IP片段和接口,对于定义规则可能有些朋友不懂,简单写了几个配置规则举例,仅供修改参考:

绑定IPV6用::,IPV4则是0.0.0.0,单个IP片段则是逗号分隔IP地址,可以按照自己的应用或者实验进行混合匹配。

三、快捷安装配置dionaea

/etc/dionaea/dionaea.conf.dist 需要移动下

配置文件中指定了目录 例如:

TFTP服务的目录指定到了var/dionaea/wwwroot 建立目录 给权限

然后替换成绝对地址

OK,var已经被替换成 /var了。下面贴图

启动dionaea:

202

查看监听:

203

查看伪造的服务:

204

[via@nandi]