|
|
|
联系客服020-83701501

详细部署dionaea低交互式蜜罐和记录分析(二)

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
详细铺排dionaea低交互式蜜罐和记录分析(2)

上1篇文章中:详细铺排dionaea低交互式蜜罐和记录分析(1)?,分析了安顿过程和全数配置,筹办义务都已完毕,下面就劈头中断高级配置和烦琐快速安顿方法。

1、dionaea.conf模块自界说高级配置

咱们先来看下moudle节点,用来配置dionaeae所操作的工具模块,重点是ihandler段和services段,下面来看下这两个段的默认配置:

Default
123四56789101112131四151617 ihandlers = {            handlers = ["ftpdownload", "tftpdownload", "emuprofile", "cmdshell", "store", "uniquedownload",             "logsql",//            "virustotal",//            "mwserv",//            "submit_http",//            "logxmpp",//            "nfq",//            "p0f",//            "surfids",//            "fail2ban"            ]        }         services = {            serve = ["http", "https", "tftp", "ftp", "mirror", "smb", "epmap", "sip","mssql", "mysql"]        }

 

梗概看到,在ihandlers的配置中,曾经默认封锁了操作SQLite数据库作为数据存储,别的几项求助的如mwserv,logxmpp,p0f,这些在(三)内里会详细说明。别的从services配置中,模拟封锁了多项办事,梗概选择没必要要的禁用掉,下面是求助办事的说明:

Tftp:接收利便文件传输以及检测针对tftp办事利用漏洞的进攻细节。

ftp:答允利便登陆并截取悉数上传的文件。

Smb和epmap:Server Message Block和endpoint map,大少数被针对进攻的工具。

http和https:网站办事,办事端存储在$wwwroot/var/dionaea/wwwroot/目次下。($wwwroot是网站的目次)

理解基本办过后梗概选择没必要要的中断讲明大要删除来禁用,好比禁用ftp前面加上// 讲明即可。

2、IP地址的片段化访问成婚

先来看如下默认配置:

Default
123 mode = "getifaddrs"    addrs = { eth0 = ["::"] }}

 

咱们梗概设置为manual手动模式,只要把getifaddrs改成manual即可,然而必要供应详细的IP片段和接口给dionaea,持续看。

看对应的规定,如图(PS:貌似这是这全数文章的第1张图片吧。;)–):

201

因为dionaea默认是绑定悉数的IPV四和IPV6的地址,如果迭代的话在初始化会相称挥霍光阴,有必要的话梗概批改成上述的手动模式,自界说绑定的IP地址和分手片段,这必要自己界说IP片段和接口,关于界说规定或者有些朋友不懂,复杂写了几个配置规定举例,仅供批改参考:

Default
12 //在eth1绑定悉数的IPV四H和IPV6地址:  addrs = { eth1 = [“::”], eth1 = [“0.0.0.0”] }

Default
12 //在eth1绑定悉数的IPV6地址:  addrs = { eth1 = [“::”] }

Default
12 //在eth2绑定.99,在eth1绑定悉数的IPV四地址:  addrs = { eth2 = [“192.168.1.99”], eth1 = [“0.0.0.0”] }

Default
12 //在eth2绑定.99和.101:  addrs = { eth2 = [“192.168.1.99”, “192.168.1.101”] }

Default
12 //在eth1绑定悉数的IPV四地址:  addrs = { eth1 = [“0.0.0.0”] }

绑定IPV6用::,IPV四则是0.0.0.0,单个IP片段则是逗号合并IP地址,梗概按照自己的操作大要实验中断混合成婚。

三、快速安顿配置dionaea

Default
123 root@ruo~# add-apt-repository ppa:honeynet/nightlyroot@ruo:~# apt-get updateroot@ruo:~# apt-get install dionaea

/etc/dionaea/dionaea.conf.dist 必要移动下

Default
1 root@ruo:~# mv /etc/dionaea/dionaea.conf.dist /etc/dionaea/dionaea.conf

配置文件中指定了目次 例如:

Default
12 tftp = {            root = "var/dionaea/wwwroot"

TFTP办事的目次指定到了var/dionaea/wwwroot 建立目次 给权限

Default
123四 root@ruo:~# mkdir -p /var/dionaea/wwwrootroot@ruo:~# mkdir -p /var/dionaea/binariesroot@ruo:~# mkdir -p /var/dionaea/logroot@ruo:~# chown -R nobody:nogroup /var/dionaea/

尔后改换成绝对地址

Default
123四56 root@ruo:~# sed -i 's/var/dionaea///g' /etc/dionaea/dionaea.confroot@ruo:~# sed -i 's/log///var/dionaea/log//g' /etc/dionaea/dionaea.confroot@ruo:~# cat /etc/dionaea/dionaea.conf | grep /var/di        file = "/var/dionaea/log/dionaea.log"        file = "/var/dionaea/log/dionaea-errors.log"root@ruo:~#

OK,var曾经被改换成 /var了。下面贴图

带动dionaea:

202

查抄监听:

203

查抄编造的办事:

204

[via@nandi]

数安新闻+更多

证书相关+更多