利用树莓派构建低成本分布式蜜罐系统

微步在线 等级 547 0 0

逛论坛发现一个很有意思的利用树莓派构建低成本分布式蜜罐系统的文,共享下

正文:

博主所在的是制造业,具体行业就不说了,公司在全国10个省会和直辖市有售后处2个省份有分公司,员工流动性很大,有时候客户来也要连网,关键是没有访客网络,IT就5个人负责网络建设,之前在网络安全唯一的投入是防火墙,最近老板要求加强内部网络安全感知,重点是:不加人,还没预算!

具体做事

在同学群里面问了下,在大厂搬砖的同学建议先找个免费蜜罐试试,github不知道最近为啥上不去了,在搜狗上找到一个国人做的蜜罐hfish,官网logo有点海王的感觉。

利用树莓派构建低成本分布式蜜罐系统

奇怪的是安装了默认捕捉不到任何攻击,看了文档才发现还要下载服务包和部署节点,这里不看文档真的不知道。头疼,让我那里找机器装节点。。。乱点界面猛然发现支持arm,拿出自己吃灰的2个树莓派做小白鼠的确可以跑起来,过了一周,看程序还在跑还挺稳定。。。

考虑办事处面积不大员工也不多,考虑用树莓派做蜜罐部署主机,在淘宝上看了下3B系列的260块一片,如果买12个店主还大方承诺送了12张8G sd卡,再加上12个USB电源插头和USB线,成本大概300*12块。为避免广告嫌疑,我就不截图了,大家到淘宝上找很多。

给老大看了下方案和我自己弄的实验环境,觉得可行,但让我只买10个树莓派只给办事处,考虑到分公司人多机器多,把2个分公司的树莓派换成公司淘汰的台式机,保证稳定还能降低成本(老大就是老大!)

说干就干,淘宝下单快递到了拆箱就不说了,需要提醒各位,千万不要买杂牌子的sd卡,我收货后才发现送的8g卡读写速度很不稳定!最后加钱换了sandisk 16g,耽误了好几天!

先用NOOBS给sd卡装系统,插入10张sd卡到树莓派并启动,web登录控制端生成一句话安装命令,下面是重点!是我从老大那里用一杯奶茶学来的绝技,使用SecureCRT在多台主机上一次性批量执行命令:

利用树莓派构建低成本分布式蜜罐系统

利用树莓派构建低成本分布式蜜罐系统

哈哈,刚执行完有些节点就已经上线了,给各个节点分门别类配置了模板,感觉很有成就感。

利用树莓派构建低成本分布式蜜罐系统

装好以后同事们都过来围观,在公司试运行几天觉得没问题了,发给各地分公司,告诉他们只要插电源和网线就行,别的不用管。

没几天分公司的节点陆陆续续都上线了,下面是真实内网捕获记录:

利用树莓派构建低成本分布式蜜罐系统

下面是真实的互联网云环境捕获记录:

利用树莓派构建低成本分布式蜜罐系统

跑了一段时间老大还比较满意,分公司的两个pc节点也上线了,在云上也部署了一个linux节点,云节点遭受的攻击明显比内网多,攻击方法也比较多样,在观察下。

Hfish支持配置信箱给自己发告警邮件,我用腾讯邮箱配成功了,在公司信箱里做了规则,来信会分配到指定目录。

利用树莓派构建低成本分布式蜜罐系统

威胁情报是干啥的没配,好像没什么影响。

Ps:后来知道是干啥的了,去这个网站注册一个账号给一个key,填上去在管理界面可以显示攻击IP别人已经识别的信息,发现只有在云环境有用,内网没用。

已知问题

强烈建议看下文档!好几次卡住了,看了文档才知道怎么回事。

1、登录端口在4433,一开始以为是80,怎么也打不开,程序安装的时候也没提示!登录用的https挺好,但是不知道为什么浏览器显示一个NET::ERR_CERT_AUTHORITY_INVALID错误,搜了下说是SSL证书问题,不太懂,反正点继续访问就行。 利用树莓派构建低成本分布式蜜罐系统

2、出厂默认用户名密码是admin/HFish2021,另外浏览器无法记录登录用户名密码,每次都要输入。

3、新装的管理端一定要去服务管理页面更新下,不知道是我网络问题还是hfish网络问题,个别时候会出现错误,多更新几次就行了。 利用树莓派构建低成本分布式蜜罐系统

4、管理端本身没有蜜罐能力,必须要装节点,不过我发现节点可以和管理端装在一台机器上。

5、节点装好了必须要配置模板,因为节点要应用模板才可以启动蜜罐服务。

利用树莓派构建低成本分布式蜜罐系统

6、一个节点只能模拟五个蜜罐。

基本就这些吧。

2021.09.10 更新

终于实现了全国12个办公区的分布式蜜罐系统搭建设想!在总公司部署一台控制端,使用树莓派+淘汰PC安装节点端,其中办公区分别模拟员工办公笔记本路由器,打印机部署响应的服务,后续计划增加云主机,模拟OA,SSH,网页邮件登录口,数据库几个常见服务,上线第一天就发现若干内网扫描,基本都是销售电脑,大部分是病毒,有两个比较严重是勒索软件,幸好发现的早。

Ps:发现hfish扫描感知页面数据不区分被扫描和蜜罐主机主动发出的请求,加了官方群,别人告知是个bug。

2021.9.24 更新

发现公网上SSH攻击极多,4天收集了差不多4000个去重的弱密码组合,用python处理下格式,然后去排查了一下内部系统弱密码,发现一堆123456,包括OA、财务、CRM系统,一通扯皮,最后也没完全搞定,深刻的理解了安全的本质是安全意识!不怕神一样的对手,就怕猪一样的队友!!!

利用树莓派构建低成本分布式蜜罐系统

2021.10.8 更新

历时4周,今天终于把蜜罐系统初步搞定了,用了10台树莓派和两台淘汰的PC机,整个蜜罐系统覆盖12个办事处,基本工作日每天能抓5-20个病毒木马,个别勒索软件,感觉自己的辛苦没白费。稍微复盘下这四周的工作,其中踩了很多坑,回头看感受颇深,首先是有问题多看文档自己搜,这样解决的问题记忆才深刻(感谢老大不厌其烦的指导),其次是以后要多关注社区产品,其实有很多社区免费产品做的还是不错的,至少在进步;打造这个蜜罐系统一共花费了3800块钱,包括10片树莓派、10套USB电源+电源线+亚克力外壳+sd卡;另外,还有一个意外的收获,就是学会了如何向大老板申请项目和经费,简单的说就是从大老板的角度出发,一定要开篇就几句话讲清楚你要做的这个东西能解决公司什么疑难杂症!然后简述下方案和成本,最好是调研多个方案,让大老板做选择题!最后才是介绍实现细节,这个部分甚至都可以忽略!职场做事和学校做学问真的有很大区别!

目前照猫画虎根据hfish官网文档施展乾坤大挪移(ctrl+c代码)在定做一个公司内部系统的web蜜罐,隐约觉得能做很多事情~ 想用python写一个webhook联动公司的防火墙,哎,看书去了。

文章转载自博客园@SecRookie 侵删

收藏
评论区

相关推荐

SecureCRT配合树莓派 使用教程
SecureCRT使用教程 如何建立连接 串口连接打开 SecureCRT这里需要提前安装一个USB转TTL驱动需要修改波特率 根据修改树莓派的文档”cmdline.txt“的操作我当时修改的是115200javadwcotg.lpmenable0 consoletty1 consoleserial0,115200 root/dev/mmcblk0p2 ro
认识树莓派及树莓派登录配置(SecureCRT)
什么是树莓派它是一款 基于ARM的微型电脑主板,以SD卡为内存硬盘,卡片主板周围有两个USB接口和一个网口,可连接键盘、鼠标和网线,同时拥有视频模拟信号的电视输出接口和HDMI高清视频输出接口,以上部件全部整合在一张仅比信用卡稍大的主板上, 具备所有PC的基本功能只需接通电视机和键盘,就能执行如电子表格、文字处理、玩游戏、播放高清视频等诸多功能。 Raspb
树莓派vim更新安装(SecureCRT)
将VIM更新到好用的版本默认的源是国外的,aptget 安装的时候失败,我们更新成国内的源。1、编辑sources.list打开终端 输入javasudo nano /etc/apt/sources.list2、用注释或直接删除原有的内容,并新增一条指令。javadeb http://mirrors.tuna.tsinghua.edu.cn/raspbian
用FIlezilla实现树莓派与Windows之间的文件互传
FILEZILLA之前用虚拟机的时候经常需要实现windows与Linux之间的文件互传,那么树莓派应该怎么办呢?可以用Fillezilla来实现。 如何在linux虚拟机中与windows共享文件?小提示如何在linux虚拟机中与windows共享文件?首先安装Vmware Tool找到Ubuntu中 点开虚拟机 点开设置选项设置完成之后 在l
树莓派 raspi
![](http://static.oschina.net/uploads/img/201508/26092309_2MuP.jpg) **一、简介:**raspi-config是Raspberry PI官方Raspbian镜像自带的一个系统配置工具。它都可以做什么呢?让我们来学习一下吧。raspi-config,会在系统首次启动时自动运行,就是那
树莓派 安装mysql
1.    首先更新我们树莓派的软件 `sudo` `apt-get update` 2.    等待更新完毕后安装mysql服务 `sudo` `apt-get` `install` `mysql-server` `3.` 安装过程中需要输入两次 mysql 中 root 的登录密码           安装成功后使用以下命令登录mysql
2.树莓派3安装archlinux配置web、samba和aria2
### 本文永久更新地址:[wwhl.wang](https://www.oschina.net/action/GoToLink?url=http%3A%2F%2Fwwhl.wang%2F%23%2Farticle%3Fid%3D16) #### archlinux一些常规配置,请看《[1.树莓派3安装archlinux通用配置部分](https://my
ARM64架构下,OpenJDK的官方Docker镜像为何没有8版本
### 为什么需要ARM64架构的OpenJDK8的Docker镜像 对现有的Java应用,之前一直运行在x86处理器环境下,编译和运行都是JDK8,如今在树莓派的Docker环境运行(也可能是其他ARM环境,如华为的泰山ARM服务器),需要JDK8镜像作为基础镜像。 ### OpenJDK的官方Dockerfile 去OpenJDK的docker镜像
ARM架构下的Docker环境,OpenJDK官方没有8版本镜像,如何完美解决?
### 为什么需要ARM架构下的OpenJDK8的Docker镜像? 对现有的Java应用,之前一直运行在x86处理器环境下,编译和运行都是JDK8,如今在树莓派的Docker环境运行(或者其他ARM架构电脑,例如华为泰山服务器),需要JDK8镜像作为基础镜像。 ### 现在有什么问题? 在[《ARM64架构下,OpenJDK的官方Docker镜像为何
C++primer学习笔记(六)
1. virtual函数是基类希望派生类重新定义的函数,希望派生类继承的函数不能为虚函数。根类一般要定义虚析构函数。 2. 派生类只能通过派生类对象访问protected成员,不能用基类对象访问。基类定义为virtual就一直为虚函数,派生类写不写virtual都是虚函数。用做基类的类必须是已定义的。 3. 存在虚函数+指针或引用=
EC20 raspberry pi 树莓派 4g上网 发短信
介绍 -- 由于项目需求,为了减少宽度,采用了树莓派zero,找了好久的网络模块,最后找到这款ec20 宽度与树莓派zero 基本相同~。我使用的是EC20(CEFAG) 全功能版本,4g + gps。 硬件连接 ---- ### 连接 [![be9ca9d4de0cb9a75230a357fdc76a8f.md.jpg](https://wx1.s
Elasticsearch和Kibana变更开源许可协议;Facebook利用AI增强为视障人士描述照片能力
\_开发者社区技术周刊\_又和大家见面了,快来看看这周有哪些值得我们开发者关注的重要新闻吧。 ![](https://static001.geekbang.org/infoq/0e/0ef0749d6a02848951b542a9d8828656.webp) > * 京东科技主导的开源项目ShardingSphere荣登国人主导开源项目活跃度第五 >
GPIO操作原理(Linux一切皆文件)
`Linux` 系统定义了一切皆文件的原则,甚至于硬件:`磁盘`,`软盘`,等……,这样的好处是,在不同的平台和硬件上都能形成统一的调用方式。 这里,我们从`树莓派`,探讨下`GPIO`的操作原理(非内核原理):通过 sysfs 方式控制 GPIO。 ![](https://oscimg.oschina.net/oscnet/149aab6e168e10
Linux(Ubuntu)笔记本用一根网线连接树莓派登录ssh进行管理并实现共享上网
共享上网前提:Ubuntu已经通过wlan0正常连接无线路由进行上网. 树莓派设置为自动获取IP(这也是Raspbian的默认网络配置). Ubuntu上在NetworkManager(状态栏的图形化网络配置工具)中编辑eth0: "IPv4设置"里的"方法"选择"与其他计算机共享". ![](https://static.oschina.n
MacOS下给树莓派安装Raspbian系统
### 下载镜像 前往 [树莓派官网](https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fwww.raspberrypi.org%2Fdownloads%2F "树莓派官网") 下载镜像。 点击 [最新版Raspbian](https://www.oschina.net/action/GoT

热门文章

最新文章