本人是计算机专业的大三在校生,平时喜欢玩一些安全方面的内容,最近听说微步的免费蜜罐hFish做的不错,还更新了一个很炫的大屏,重新在本地安装后发现功能都很完善了,还可以和微步情报社区做联动,感觉很不错,但是奈何自己没办法把蜜罐部署在公网上,也不知道公网的攻击流量是什么情况,想起来阿里云好像有个“飞天加速计划·高校学生在家实践”活动,于是来试试把这个蜜罐部署在公网上,学习一下流量分析和朔源研判。
在hFish官网下载蜜罐
搭建方式在官网已有详细讲解,这里就讲讲我在ECS上遇到的问题吧。一开始我尝试用CentOS8安装,但是发现4433端口始终被防火墙拦(事后发现是本机防火墙策略问题,这里用CentOS8应该没有问题),后来索性把系统重置为Windows Server,这样一来就有了浏览器,可以在本地访问管理界面,通过服务器的浏览器访问本地4433端口部署和管理蜜罐,第一次用阿里云服务器的VNC连接感觉延迟还挺低。
连接数据库
这里首推MySQL,据说其他数据库会有问题,在第一次setup界面会自动创建蜜罐需要的数据库,接下来进入本地的4433端口就可以访问蜜罐的管理界面了。
打开所部署蜜罐的端口
这里需要去安全组里面打开自己部署的蜜罐所需要的端口,然后就可以在公网上打开自己的蜜罐了,蜜罐也会捕捉现在访问者的公网ip。
分析蜜罐捕捉信息
- 连接微步情报社区,可以将每个ip的信誉罗列出来,我收集到一些还没有打标签的ip也会在社区打上标签。
- hFish支持webhook发送告警,这样就可以在手机上收到服务器蜜罐捕捉的信息了,而且还提供了相应的API帮助后续做蜜罐的数据分析。
- 可以在蜜罐中上传相应的密饵,以此可以更好的分析攻击者的攻击路径。
- 分析蜜罐捕获信息,高交互蜜罐可以捕捉到更多的信息,包括攻击者上传的病毒、连接之后的命令等,攻击者的病毒还可以直接使用微步云沙箱分析,普通蜜罐也可以查看攻击者的行为进行分析和朔源,但是我遇到的大部分都是僵尸服务器做的扫描,应该是没啥真实攻击者对我这刚建的服务器感兴趣。
心得:
自己在电脑上部署蜜罐没人来打我一点意思都没有,这次在服务器上部署蜜罐收获颇多,公网上有很多攻击流量,很多僵尸服务器在做扫描,我部署了一个服务器一天有几十上百条攻击ip,这样真实的攻击流量让我更好的学习了分析研判,运气好还可以实践一下朔源,后续会在服务器上部署更多的服务来学习,下一步还是想搭建一下网站试试,期待自己的技术慢慢进步吧哈哈哈。
