- 综合排序
- 最热优先
- 最新优先
- 来自专栏Naraku的专栏
MySQL蜜罐
TABULAR filename = "D:/temp/Client.txt" get_data(filename, client, addr) client.close() 蜜罐识别 有些协议实现不完善的蜜罐,会把任意输入的用户名以及密码当成正确的; 许多蜜罐为了读取客户端的任意文件来识别攻击者的身份,会把客户端第一条执行的命令作为读取客户端文件的数据包返回; 登陆成功后通过SQL IP,总连接次数 SELECT host,total_connections FROM sys.host_summary 参考文章 Read MySQL Client's File 溯源反制之MySQL蜜罐研究 MySQL蜜罐获取攻击者微信ID 浅谈Mysql蜜罐识别 我的博客即将同步至腾讯云+社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan
1.2K30发布于 2021-07-29 - 来自专栏Khan安全团队
蜜罐检测
核心功能功能模块技术实现URL去重输入文件哈希去重+结果文件增量校验智能限速令牌桶算法(支持动态时序调整)并发控制ThreadPoolExecutor线程池管理异常处理7大类错误分类统计(含QUIC协议错误) 蜜罐识别 无输入文件路径(UTF-8 编码) -t/--threads ❌ 10 个并发线程数(建议≤50) -r/--rate ❌无请求速率限制(请求数/秒) 输出文件文件名内容格式honeypot.txt 确认蜜罐
16400编辑于 2025-04-24 - 来自专栏安全小圈
蜜罐溯源
0x00软文目录 目录 前提 分析 email蜜罐 tomcat蜜罐 HSE蜜罐 epaper蜜罐 网络 ID 结果 附件 ? 0x01蜜罐介绍 前提 在以前,蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用,最后猎人再将熊一举拿下。 ? email蜜罐 据悉,首先进行信息探测踩点对email蜜罐,攻击源的IP为43.250.200.16【湖南省 联通】,去尝试访问80端口建立tcp的连接。 ? tomcat蜜罐 对tomcat蜜罐也进行了探测建立了tcp的连接,攻击源IP为175.0.52.248 【湖南省长沙市 电信】 ? epaper蜜罐 对epaper蜜罐进行了515次的攻击,尝试弱口令登录,地址 43.250.200.16 【湖南省 联通】 ? 进行目录穿越攻击 ? 暴力破解 ?
1.8K30发布于 2020-08-21 - 来自专栏giantbranch's blog
搭建mhn蜜罐管理系统并部署蜜罐
29911, uptime 0:18:41 mnemosyne RUNNING pid 28173, uptime 0:30:08 在另一机器部署蜜罐 非常简单 登录MHN server(就是上面我们配置好的机器,80端口就好) 点击 “Deploy” 选择一种蜜罐 (比如 “Ubuntu Dionaea”). 复制部署命令 登录到要部署的蜜罐服务器并用root用户运行 效果
35810编辑于 2024-12-31 - 来自专栏乌鸦安全
MYSQL蜜罐反制
应用场景 蜜罐是网络攻防对抗中检测威胁的重要产品。防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者。同样,攻击方也可以通过蜜罐识别技术来发现和规避蜜罐,减少被防守方溯源。 蜜罐环境能否迷惑攻击者一定程度上取决于搭建环境是否仿真,简单的环境容易被攻击者识破。现如今,弱口令依然是导致网络安全事件的主要因素,有时候一个弱口令可能导致企业被攻击者从外网打到内网。 mysql蜜罐通过搭建一个简单的mysql服务,如果攻击者对目标客户进行3306端口爆破,并且用navicat等工具连接蜜罐服务器,就可能被防守方读取本地文件,包括微信配置文件和谷歌历史记录等等,这样很容易被防守方溯源
4K40发布于 2021-08-05 - 来自专栏网络安全攻防
Mysql蜜罐使用
信息 参考连接 https://github.com/qigpig/MysqlHoneypot https://github.com/heikanet/MysqlHoneypot 溯源反制之MySQL蜜罐研究 MySQL蜜罐获取攻击者微信ID
83280编辑于 2022-05-07 - 来自专栏闪石星曜CyberSecurity
浅谈蜜罐机制
那么对于攻击的日渐频繁,蜜罐也应运而生: 从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。 这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。 ? 说道这里就不得不说一下蜜罐的类型了: 1、低交互蜜罐(简单): 低交互蜜罐最大的特点是模拟(设计简单且功能有限,安装配置和维护都很容易) 2、中交互蜜罐(中度): 中交互蜜罐是对真正的操作系统的各种行为的模拟 3、高交互蜜罐(困难): 高交互蜜罐具有一个真实的操作系统,它的优点体现在对攻击者提供真实的系统。 那么我们在这里简单说了一下蜜罐的类型,接下来我们说一下我通过蜜罐捕获东西 ? 看到这里大家或许觉得没啥。那么请看下面一张图 ?
1.9K30发布于 2020-07-27 - 来自专栏技术篇
浅析蜜罐技术
一、什么是蜜罐技术国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。 蜜罐根据交互程度(Level ofInvolvement)的不同可以分为高交互蜜罐和低交互蜜罐。蜜罐的交互程度是指攻击者与蜜罐相互作用的程度,高交互蜜罐提供给入侵者一个真实的可进行交互的系统。 相反的,低交互蜜罐只能模拟部分服务、端口、响应,入侵者不能通过攻击这些服务获得完全的访问权限。从实现方法上来分,蜜罐可分为物理蜜罐和虚拟蜜罐。 物理蜜罐是网络上一台真实的完整计算机,虚拟蜜罐是由一台计算机模拟的系统,但是可以响应发送给虚拟蜜罐的网络流量。五、蜜罐防护过程图片蜜罐防护过程包括诱骗环境构建、入侵行为监控、后期处理措施3个阶段。 目前蜜罐研究多为工程部署,而较少涉及蜜罐基础理论。敌手与蜜罐对抗属于典型的博弈行为,可以将黄开枝、洪颖、罗文宇等人的博弈论应用至蜜罐中,通过博弈分析验证,为蜜罐提供理论支撑。
1.3K30编辑于 2022-09-28 - 来自专栏程序生涯
HONEYPOT(蜜罐技术)
蜜罐技术(Honeypot):是一种被侦听、被攻击或已经被入侵的资源。 是一种被侦听、被攻击或已经被入侵的资源。 Honeypots(蜜罐)系统即为此而生。 蜜罐系统好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。 设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。 设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。 另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者等!
3.5K20发布于 2020-08-14 - 来自专栏应急响应
蜜罐安装和部署
蜜罐安装和部署实验步骤:安装和部署蜜罐:打开win7使用Xshell去连接蜜罐服务器,去上传web访问网页的软件包连接到蜜罐服务器之后,由于Xshell上传用命令执行上传会出现乱码,首先在win7上开启 ,节点会自动创建9个蜜罐服务,都是常见的这些蜜罐服务伪装成了常见的服务端口添加蜜罐服务:选择添加蜜罐服务,再创建一些蜜罐服务,比如添加一个企业开发经常用的自动化发布平台Jenkins在蜜罐服务器上,放通蜜罐服务的端口 (伪造的Jenkins平台)然后再伪装的Jenkins平台输入账号admin密码admin,看看返回(是一个中交互蜜罐服务)查看蜜罐的账号密码捕获,上一步输入用户名和密码后,在左边选择【威胁实体】—>【 @#,可以把这个用户名和密码放到企业信息监控里面,当蜜罐捕获到同样的用户名、密码时,说明这个开发账号、密码泄露了,需要赶紧整改然后在蜜罐服务伪装的Jenkins平台,https://192.168.0.3 @#后,再看看账号资产的监控信息可以看到,账号资产的监控信息中,企业信息监控捕获到一些泄露事件添加蜜饵:首先开启ssh的蜜罐服务,ssh蜜罐默认端口是22,由于和真实ssh服务冲突,默认是不启动的,将它改为飞默认端口
1K10编辑于 2024-08-14 - 来自专栏FreeBuf
T-Pot多蜜罐平台:让蜜罐实现更简单
这两年蜜罐技术被关注的越来越多,也渐形成低交互、中交互、高交互等交互程度的各类蜜罐,从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各功能型蜜罐。 随着虚拟化技术的发展,各种虚拟蜜罐也得到发展,可以通过虚拟机来实现高交互蜜罐,以及通过docker实现的业务型蜜罐,不再像是以前需要昂贵硬件设备的部署支撑,这也大大减少了蜜罐的部署成本,一台主机就可以实现整个集数据控制 MHN现代蜜网简化了蜜罐的部署,集成了多种蜜罐的安装脚本,可以快速部署、使用,也能够快速的从节点收集数据。国外也有很多公司做基于蜜罐的欺骗技术产品创新。 现在各功能蜜罐这么多,虽然MHN简化了各蜜罐的部署过程,但还是需要手动安装多个系统sensor来实现多个不同蜜罐。在蜜罐的研究过程中,有没有一个提供能更简单方便的平台实现我们对蜜罐的研究与使用。 T-Pot16.10多蜜罐平台直接提供一个系统iso,里面使用docker技术实现多个蜜罐,更加方便的蜜罐研究与数据捕获。
3.1K70发布于 2018-02-26 - 来自专栏FreeBuf
网络蜜罐技术探讨
,网络蜜罐没有涉及到。 那么本篇文章和大家聊聊网络蜜罐。 ? 为什么要研究网络蜜罐? A)服务型蜜罐伪装欺骗的毕竟是被动的,如果可以从网络层面对APT攻击行为做强制性诱导,而不是被动的等待黑客上钩,更能体现蜜罐安全价值。 光有服务型蜜罐有些单一,目前业界解决方案,有三个方向,模拟数据中心服务的蜜罐,基于沙箱技术的客户端的蜜罐,和网络型诱导蜜罐。 网络蜜罐的核心技术 诱导是蜜罐的核心价值所在,那么怎么才能把攻击者诱导进入到蜜罐网络呢?
2.5K90发布于 2018-02-08 - 来自专栏高防
蜜罐的详细介绍
蜜罐的定义 蜜罐的一个定义来自间谍世界,玛塔哈里 (Mata Hari) 式的间谍将恋爱关系用作窃取秘密的方式,被描述为设置“美人计”或“蜜罐”。 蜜罐通过刻意构建安全漏洞来吸引攻击者。例如,蜜罐可能具有响应端口扫描或弱密码的端口。脆弱的端口可能保持开放,以诱使攻击者进入蜜罐环境而不是更安全的实时网络。 这样,蜜罐可以帮助优化和改进其他网络安全系统。) 蜜罐的优点和缺点 蜜罐可以提供有关威胁如何进化的可靠情报。 蜜罐的危险 虽然蜜罐网络安全技术将有助于绘制威胁环境图,但蜜罐不会看到所有正在发生的事情,而只能看到针对蜜罐的活动。 由于蜜罐可以用作进一步入侵的踏板,因此请确保所有蜜罐都得到良好保护。“蜜墙”可以提供基本的蜜罐安全性,并阻止针对蜜罐的攻击进入您的实时系统。 总体而言,使用蜜罐的好处远大于风险。
1.6K00编辑于 2022-05-29 - 来自专栏建帅技术分享
Hfish安全蜜罐部署
一、Hfish蜜罐介绍 HFish蜜罐官网 HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、 可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。 HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性 二、安装部署 1.配置防火墙 请防火墙开启4433、4434,确认返回success(如之后蜜罐服务需要占用其他端口,可使用相同命令打开。)
1.1K50编辑于 2023-09-05 - 来自专栏网络安全攻防
HFish蜜罐搭建使用
基本介绍 HFish是一款基于Golang开发的跨平台多功能主动诱导型开源国产蜜罐框架系统,它从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力 ,其中管理端只用于数据的分析和展示,节点端进行虚拟蜜罐,最后由蜜罐来承受攻击 主要特点 HFish当前具备如下几个特点: 安全可靠:主打低中交互蜜罐,简单有效 功能丰富:支持基本网络 服务、OA系统、 蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听 https://192.168.17.132:4433/web/nodeList 可支持的蜜罐列表如下: https 攻击蜜罐 服务扫描 使用Nmap扫描蜜罐查看对应的服务信息: nmap 192.168.17.132 SSH蜜罐 使用Kali虚拟机尝试SSH远程登录Hfish蜜罐系统的主机 ssh root@ :9200/ 攻击记录: 文末小结 Hfish蜜罐部署简单,使用方便且功能强大,算是蜜罐界的一个标杆项目,更多的使用说明可以参考一下官方文档:https://hfish.io/#/
3.4K41编辑于 2022-05-07 - 来自专栏信安之路
网络蜜罐的前世今生
低交互式蜜罐不足 该阶段的蜜罐为低交互式蜜罐,只是模拟出了真正操作系统的一部分,例如模拟一个 FTP 服务。 在这种思想的引领下,衍生出了一种高交互蜜罐。高交互蜜罐提供真实的操作系统和真实的服务,因此,这种蜜罐的交互性最强,收集到的数据也最全面。 1、蜜罐监控者需记录下进出系统的每个数据包; 2、蜜罐本身上面的日志文件也是很好的数据来源,但日志文件很容易被攻击者删除。 高交互蜜罐优点 它们大大减少了所要分析的数据。 蜜罐作为一种解决方案,其开源产品和商用产品的不同特性、国内外的成熟的商业蜜罐解决方案介绍、蜜罐所涉及的核心技术分析,可见: 为什么这么多创业公司都在做「蜜罐」? 捕获针对性攻击的样本需要部署针对性的蜜罐,t-pot 虽融合了多种蜜罐,但可重构性不高。想利用开源的蜜罐作为捕获威胁的一种解决方式,还需要花更多的心思。
2.9K40发布于 2019-04-25 - 来自专栏一己之见安全团队
安全设备篇——蜜罐
蜜罐的定义 蜜罐是一种主动防御技术,通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击,从而可以对攻击行为进行捕获和分析。 ,这其实就是一个蜜罐模型了。 蜜罐应用 蜜罐的概念很简单,但是应用到各方面十分复杂,最新的一些技术有wifi蜜罐、xxx业务蜜罐。 也确实,形成这种局面的主要原因是因为蜜罐的开发和应用是存在一些矛盾的,即使蜜罐高度可自定义服务及漏洞类型等,但定下后很难更改,且就监测来说,态势感知、waf等绝对是优先于蜜罐的,同时也不是所有安全设备支持联动 蜜罐虽然是模拟漏洞,但蜜罐本身不可能保证得了自己完全无漏洞可被利用,就比如去年hvv爆出的某安蜜罐逃逸,虽然不知道实锤了没,up没有关注后续(某安因为up没有证书没给面试,好气好气),说明蜜罐并不是绝对安全的产品
78110编辑于 2024-06-27 - 来自专栏信安之路
基于docker的蜜罐学习
学习蜜罐之间先介绍两个概念,低交互式蜜罐和高交互式蜜罐。 低交互式蜜罐 低交互式蜜罐只是模拟出了真正操作系统的一部分,例如模拟一个FTP服务。 虽然低交互式蜜罐容易建立和维护,但模拟可能不足以吸引攻击者,还可能导致攻击者绕过系统发起攻击,从而使蜜罐在这种情况下失效。 高交互式蜜罐 高交互式蜜罐是一部装有真正操作系统,并可完全被攻破的系统。 数据收集是设置蜜罐的技术挑战。蜜罐监控者只要记录下进出系统的每个数据包,就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。 至此一个简单的蜜罐系统就完成了。 总结 本文主要简单介绍了一下一个蜜罐的搭建与测试,在企业安全防护中,蜜罐系统对于检测攻击者的攻击非常有效,一旦攻击者误入蜜罐,我们就可以第一时间得知消息,然后及时进行应急响应,尽量在最短的时间内将攻击者踢出大门之外
54500发布于 2018-08-08 - 来自专栏白安全组
可视化蜜罐安装
下载文件 https://github.com/decoymini/DecoyMini/releases 上传到Linux机器中,添加执行权限 chmod +x DecoyMini_Linux_x64_v2.0.5266.pkg 然后安装 ./DecoyMini_Linux_x64_v2.0.5266.pkg -install 安装后会提示输入IP,配置http或者https访问,最后设置端口即可访问 默认密码:Admin@123 账号:admin
38110编辑于 2023-02-25 - 来自专栏乌鸦安全
Mysql蜜罐反制cobalt strike
这一点比较重要,本文将对mysql蜜罐来做一个学习,其实在早些时候,ling师傅已经发过一篇mysql蜜罐反制的文章了: https://cloud.tencent.com/developer/article 网上有很多文章分析,mysql蜜罐反制是可以读取到本地的任意文件的,比如:微信id、Chrome历史记录等。 当然,在这个过程中,是人为的请求将本地的文件上传到远程服务器上的,具体流程可以见下图: 图片来源:溯源反制之MySQL蜜罐研究 4. 在这里直接点击连接测试: 此时看下蜜罐: 看下log文件,此时获得用户名。 防护方法 网上有很多这样的文章,下面这个师傅写的很详细了: 浅谈Mysql蜜罐识别 我认为最简单的方法: 1. 使用开源数据库,比如DBeaver 2.
99010编辑于 2022-12-19
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号