蜜月还是个不错的选择？

Question

我一直在调查如何为研究目的部署蜜罐，Honeyd似乎是最受欢迎和最适合我需求的选择，但它似乎太老了，这个软件的最后一个版本是七年前推出的(2007年)，这让我想到它是否仍然是一个好的蜜罐解决方案。

我想知道是否有其他的解决方案，如蜜尼在他的时代，还是它仍然是最好的选择？，什么是新的趋势在蜜罐？最常见的部署研究蜜罐的方法是什么？

我需要在受到攻击的网络中部署蜜罐，最常见的攻击是端口扫描、NETBIOS SMB-DS会话设置、SNMP请求、ICMP等，但有400多种攻击类型。

我也想把这个蜜罐和目前部署的snort集成在一起，为了最优的数据收集，什么是最好的选择？或者我可以集成不同的蜜罐解决方案？

谢谢你提前..。

Answer 1

我在我的内部网络中使用了VM上的ssh蜜罐。这是一个专门的蜜罐，给我两个方面的信息：

1. 任何试图登录端口22的人都是一个糟糕的参与者，我可以将连接信息与我的流量日志关联起来。我还可以看到哪些凭据试图查看哪些帐户可能被破坏。
2. 一旦用户登录(它总是允许用户登录)，它就会记录所有击键用户类型，这对于收集攻击者意图以及攻击的复杂程度的数据非常有用。

对于我的需要，一个高交互性的ssh蜜罐非常好的工作，因为它提供的数据是有用的。您需要根据您希望得到的数据以及您计划如何使用这些数据来选择蜜罐。

从我选择的解决方案中，我看不到的是攻击其他服务，如http、电子邮件等。这一切都取决于您想要保护什么。

Answer 2

在这方面有许多选择。如果honeyd是wa，那么让我说我是NOVA项目的忠实粉丝--它使用honeyd作为基础，并提供了一个易于使用的web以及数据相关设施。

有关官方主页，请参见novaproject.org。

Nova项目是开源的。有关源代码和安装说明，请参见github页面。

如果您想要一些预编译的东西，多动症是一种选择。