设立蜜罐

Question

我家里有一台备用电脑，所以我决定把它变成蜜罐。到目前为止，我已经在它上安装了Windows (没有服务包)，并且在我的路由器上设置了将(一些)端口转发到蜜罐的规则。因为我的路由器不支持DMZ，所以我必须手动创建规则。目前，我转发TCP端口80、100-140和1000-1500 (我几乎随机选择了这些值)。在蜜罐上，我使用Wireshark来监控网络流量。

然而，蜜罐似乎并没有被感染。我只能从外面收到很少的交通。

我做错了什么？我必须把其他港口运过来吗？我一定要在网上做广告吗？

谢谢您的意见！

P.S.：我确实知道在家庭网络中运行蜜罐的危险。

Answer 1

如果您只想让您的蜜罐机器和僵尸网络的一部分被破坏，您需要在机器上运行易受攻击的服务。您选择的易受攻击的服务必须与您转发到蜜罐机器的端口相匹配，还必须匹配蠕虫正在积极尝试利用的服务。

对于Windows机器，转发端口137、138、139和445应该会给您带来大量的攻击流量。这些端口用于NetBIOS和Samba，它们都接收来自internet的源源不断的流量。

只有在蜜罐机器上运行web服务器时，转发端口80才会很有用。您可以向两个方向使用web服务器；要么运行已知漏洞的HTTP守护进程本身的旧版本，要么运行当前版本，然后在其上运行易受攻击的web应用程序，如较早版本的Wordpress或phpMyAdmin。

您可以尝试运行服务，并希望它们易受攻击，并且蠕虫正在试图利用它们，但是查找特定蠕虫所针对的服务并运行这些服务可能更有效。

解决这个问题的另一个方向是启用入口点的日志记录，并查看流量对您的影响。我怀疑您会在我前面提到的端口上看到很多流量，但是您可能也会看到其他端口上的流量。找出在您的机器上运行该服务的这些端口被用于。

关于蜜罐，我想补充几点：

蜜罐的目的是研究攻击者或蠕虫在破坏主机时所做的事情。您将希望在该框本身上设置广泛的监视和日志记录，以便从练习中实际获得一些有用的信息。这也是很重要的，你知道什么时候你已经妥协了。大多数蜜罐都在虚拟机中运行，以便让您更容易地将机器的当前状态与已知的良好副本进行比较。在蜜罐中这样做是不够的，因为rootkit可以修改您正在使用的工具来进行比较。

你会想要监控所有的流量进出蜜罐机。我指的是全包捕获。正常的方法是在交换机上设置一个生成端口，但如果您的交换机没有这种功能，则很可能可以在VM的管理程序中完成。你通常不会在蜜罐里这样做。

你说过你知道在你的家庭网络中运行你的蜜罐的危险。我想这意味着你也意识到了在把它放到网上之前你必须采取的预防措施。具体而言，配置您的网络和防火墙，这样蜜罐机器就不能联系到本地网络的任何其他部分。这也是一个很好的做法，要小心哪些出站连接，你允许它启动到互联网。它经常尝试的第一件事是下载一个rootkit和你可能感兴趣的工作程序，但是接下来的事情往往是开始攻击更多的目标，而这不是你通常想要允许的。

同时也存在制作蜜罐的特定工具。这些工具包括启用我前面提到的所有内容的整个hypervisor和VM堆栈。在同一个站点上，您可以找到测井、监测和分析工具和大量的关于如何运行蜜罐的信息，以及您可能看到的攻击它的人。

Answer 2

您创建的是一个高交互度的蜜罐(一个等待被破坏的实时系统，然后由一个预告调查员(当然就是您)进行分析)。我会从一个基于linux的低交互度蜜罐开始。它创建了一个虚拟文件系统和假服务，使攻击者(或他们的自动化工具)相信这是一个“真实”的系统，而您将只运行蜜罐服务。安装和捕获探针的一个非常简单的工具是基波，一个SSH蜜罐。我一直在为它开发一个可视化工具，这可能是您感兴趣的(当然，您也会得到一个很好的数据演示)。另一个众所周知的低交互度蜜罐是蜜蜜，但是设置起来有点困难，当然这取决于您打算做什么(当然，蜜月可以模拟带有路由器、服务器、工作站等的整个网络体系结构)。

Answer 3

虽然大多数答案都是正确的，但我觉得他们缺少了一些信息。

首先，我想澄清的是，它取决于您正在安装的蜜大麻的类型，然后它决定您是否想安装广泛的监视或不像低交互蜜罐，您不想做任何广泛的配置在一般情况下。但如果你使用高交互或物理蜜罐与自己的IP，这是主要用于研究类别。

这意味着，无论您指定什么为蜜罐，您的期望和目标都是让系统被探测、攻击和潜在利用，Honeybot通过在计算机上打开1000多个UDP和TCP侦听套接字来工作，而这些套接字是为了模拟易受攻击的服务而设计的。此外，它也是一种检测和反应工具，而不是有一点价值的预防。

取决于您正在使用的软件，它们中的大多数都带有电子邮件和通知警报。就像蜂蜜，男人陷阱，蜜月。更好地部署在防火墙上。

还有一件事要记住，蜜罐如果没有受到攻击，它们是毫无价值的，如果你像前面提到的那样将或希望捕获完整的数据包，这意味着你也给了一个熟练的攻击者劫持你的蜜罐的机会。如果攻击者设法破坏了你的一个蜜罐，他可能会试图攻击其他不受你控制的系统。这些系统可以位于Internet的任何地方，攻击者可以使用您的蜜罐作为攻击敏感系统的垫脚石。