【网络安全】蜜罐部署实战DecoyMini攻击诱捕

蜜罐部署实战&DecoyMini攻击诱捕

  • 前言
  • 一、蜜罐
    • 1. 概念
    • 2. 蜜罐溯源常见方式
    • 3. 蜜罐分类
  • 二、蜜罐项目实战
    • 1. 配置DecoyMini
      • 1.1 命令行窗口运行
      • 1.2 修改配置信息
    • 2. 登录DecoyMini
    • 3. 克隆网站
      • 3.1 增加仿真网站
      • 3.2 增加诱捕器
      • 3.3 查看端口监听
      • 3.4 克隆成功(蜜罐)
      • 3.5 蜜罐诱捕
    • 4. 蜜罐流量分析
      • 4.1 弱口令攻击网站
        • 4.1.1 生成诱捕策略
        • 4.1.2 开启BurpSuite拦截
        • 4.1.3 Intruder开始攻击
        • 4.1.4 开始攻击
        • 4.1.5 查看诱捕日志
      • 4.2 SQL注入攻击网站
        • 4.2.1 sqlmap安装配置
          • (1)官网下载
          • (2)安装sqlmap
        • 4.2.2 抓取BurpSuite数据包
        • 4.2.3 sqlmap攻击
        • 4.2.4 查看诱捕日志
  • 三、DecoyMini介绍
    • 1. 背景
    • 2. 应用场景
      • 2.1 互联网攻击诱捕分析
      • 2.2 内网横向攻击监测预警
      • 2.3 网络攻防对抗演习监测
    • 3. 主要功能
      • 3.1 监控
        • (1)风险态势
        • (2)仪表盘
      • 3.2 攻击
        • (1)风险事件
        • (2)诱捕日志
      • 3.3 诱捕
        • (1)诱捕策略
        • (2)安全规则
        • (3)攻击特征
      • 3.4 仿真
        • (1)仿真模板
        • (2)增加仿真网站
        • (3)增加仿真主机
      • 3.5 处置
        • (1)预警通知
        • (2)内生情报
      • 3.6 节点
        • (1)节点管理
        • (2)节点分组


前言

文章到底在讲什么?
省流:实战演示,教你如何伪造一个钓鱼网站,获取对方信息

在这里插入图片描述

一、蜜罐

1. 概念

蜜罐这个词,最早是被猎人使用的。猎人把罐子装上 蜂蜜,然后放个陷阱,专门用来捕捉喜欢甜食的熊

后来在网络安全领域里, 人们就把欺骗攻击者的诱饵称为“蜜罐”。

即模拟各种常见的应用服务,诱导攻击者攻击

从而记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。

在这里插入图片描述

2. 蜜罐溯源常见方式

常见两种方式:

1、网站上插入特定的js文件(大多数)

2、网站上显示需要下载某插件

3. 蜜罐分类

1、低交互蜜罐

2、中交互蜜罐

3、高交互蜜罐

在这里插入图片描述

二、蜜罐项目实战

以下操作均在虚拟机

1. 配置DecoyMini

DecoyMini是一款智能仿真与攻击诱捕工具

链接: DecoyMini百度网盘链接
提取码:2ddy

1.1 命令行窗口运行

进入文件根目录,输入

DecoyMini_Windows_v2.0.6691.exe

在这里插入图片描述

默认地址0000

1.2 修改配置信息

首先,我们要选择http,输入

h

回车

在这里插入图片描述

接下来设置端口为

7890

设置成功

在这里插入图片描述

查看端口,输入

netstat -ano | findstr "7890"

端口7890已经处于监听状态

在这里插入图片描述

2. 登录DecoyMini

浏览器中打开

127.0.0.1:7890

输入默认账号密码

admin
Admin@123

在这里插入图片描述

登录成功

在这里插入图片描述

首先要仿真,模拟甲方的内网系统

3. 克隆网站

比如说我们找到一个这样的网站

它的网址

14.29.190.82:9005

在这里插入图片描述
我们想要克隆一个和它一模一样的网站(蜜罐)出来

首先需要用DecoyMini先仿造一个系统

3.1 增加仿真网站

我们进入刚刚配置好的系统,点击仿真,增加仿真网站

输入模板ID和模板名称,在网站地址中,我们将刚刚找到的网站地址粘贴过去

在这里插入图片描述

网站更新时间一般设置为7天

点击增加,出现了刚刚部署的九芒星仿真网站

在这里插入图片描述

3.2 增加诱捕器

然后开始诱捕,打开诱捕-诱捕策略-增加诱捕器

模板使用刚刚的九芒星网站

外部访问IP设置为虚拟机的ip

在这里插入图片描述

协议设置为http,端口设置为8081

点击确定

在这里插入图片描述

启用成功后,选择应用

等待一会,蜜罐会自动利用爬虫爬取原网站的样式

复刻一个一模一样的网站

3.3 查看端口监听

查看8081端口启用情况

netstat -ano | findstr "8081"

处于监听状态

在这里插入图片描述

因为DecoyMIni部署在虚拟机上,我们就假设物理机是攻击者,开始渗透刚刚制作好的蜜罐

在物理机中,对于两个一模一样的网站,很难分辨真假。

假设某环保局的审批业务在C段,那我们把蜜罐放到相应的C段,很容易迷惑对方,进行误操作。

3.4 克隆成功(蜜罐)

我们在物理机上的浏览器打开该网址,用的就是刚刚配置的8081端口

192.168.149.129:8081

克隆成功

在这里插入图片描述

会发现和刚刚的网址不一样

3.5 蜜罐诱捕

假设有人无意中打开该虚假网址,并且输入账号密码提交后

在这里插入图片描述

那么就会在蜜罐后台的诱捕日志中看到诱捕的信息

在这里插入图片描述

可以看到攻击者(受害者)的用户信息

在这里插入图片描述
以及被攻击者(蜜罐)的信息

在这里插入图片描述

以及诱捕日志详情

在这里插入图片描述
以上操作,只是用户无意中尝试登录,并无恶意,那接下来我们就用弱口令和SQL注入的方式来演示,黑客在攻击该蜜罐的时候,会发生什么事

4. 蜜罐流量分析

4.1 弱口令攻击网站

4.1.1 生成诱捕策略

我们先利用它自带的模板生成一个策略

外部访问IP同样是虚拟机IP地址

协议http,端口我们用8082

在这里插入图片描述

现在后台就多了一个业务,名字为九芒星管理后台

在这里插入图片描述

打开burpsuite,用内置浏览器打开该网址

http://192.168.149.129:8082/#/

这就是模板中自带的管理系统,我们拿它为例来测试黑客攻击

在这里插入图片描述

4.1.2 开启BurpSuite拦截

先输入账号密码,然后开启BurpSuite拦截

在这里插入图片描述

点击登录后,BurpSuite会拦截到刚刚输入的用户名和密码

在这里插入图片描述

4.1.3 Intruder开始攻击

利用Intruder模块对密码进行获取

![在这里插入图片描述

4.1.4 开始攻击

在payloads设置中加载一个密码字典,开始攻击

密码字典的话网上任意找一个即可,由于该网站是蜜罐,不存在拿到一个虚假网站的密码一说,故只是辅助参考

在这里插入图片描述

攻击中

在这里插入图片描述

4.1.5 查看诱捕日志

然后在DecoyMini的诱捕日志中会看到刚刚的攻击记录

短短几秒钟发起了几百条攻击

在这里插入图片描述

点击最右侧,可以看到日志详情

在这里插入图片描述

同样可以看到攻击者画像

在这里插入图片描述

攻击者特征

在这里插入图片描述
以及风险日志

在这里插入图片描述
还可以将攻击者IP加入黑名单或白名单中

在这里插入图片描述

4.2 SQL注入攻击网站

4.2.1 sqlmap安装配置

(1)官网下载

打开官网

http://sqlmap.org/

点击右侧图标下载压缩包

在这里插入图片描述

把压缩包解压,重命名,放在安装的Python根目录下:

在这里插入图片描述

(2)安装sqlmap

打开sqlmap文件夹,地址栏输入cmd命令行进入sqlmap

sqlmap.py -h

在这里插入图片描述

出现帮助信息则安装成功

4.2.2 抓取BurpSuite数据包

同样先在克隆的系统(蜜罐)中输入账号密码,然后开启拦截,点击提交后,将生成的数据包复制

在这里插入图片描述

然后在sqlmap根目录下新建test.txt文件,把密码11111换成*

在这里插入图片描述

4.2.3 sqlmap攻击

在根目录下,cmd打开窗口输入

python .\sqlmap.py -r .\test.txt

在这里插入图片描述

此时已经开始攻击

4.2.4 查看诱捕日志

我们在诱捕日志中可以看到攻击信息

出现了数十条攻击信息

在这里插入图片描述

可以看到攻击者画像,首次攻击时间、最近攻击时间、浏览器指纹以及攻击的目标都显示在上面

在这里插入图片描述

三、DecoyMini介绍

它的全称是智能仿真与攻击诱捕工具

1. 背景

它是市场上诸多蜜罐安全产品的一种,蜜罐产品还有很多,比如
默安的幻盾、幻阵;360的蜃景;腾讯的御阵等等

由于蜜罐也是欺骗防御的一种,传统的安全防御思路,是防守者需要充分全面的对网络和系统的安全漏洞和风险进行分析、评估和整改来确保整个网络安全,但网络攻击面太多,导致很难发现所有的风险,故欺骗防御技术应运而生。

攻击者很容易触碰到安全人员设下的诱捕陷阱而导致暴露攻击行为,通过蜜罐等欺骗技术可以有效改变攻防不对称,变被动为主动,是对传统防御的有力增强。

2. 应用场景

DecoyMini 可以部署到不同的网络环境里,提供多样化的攻击诱捕能力。

典型的应用场景介绍如下:

2.1 互联网攻击诱捕分析

面对互联网攻击频繁,各种高级、隐蔽的攻击层出不穷;而用传统安全设备很难有效防御,安全运维人员应付起来也是疲于奔命。

在这里插入图片描述

通过部署 DecoyMini,利用丰富多样的仿真模板,部署典型的蜜罐映射到外网,提供常态化的外网攻击感知能力;也可以利用自定义蜜罐能力,将个性化的蜜罐映射到外网,对互联网上尝试攻击我方的攻击源进行诱捕和监测;支持与网关设备联动来及时对外部攻击进行处置和阻断,提升对外部攻击的处置和响应能力。

2.2 内网横向攻击监测预警

通常内网的访问控制都不严格,攻击横向移动比较容易;而内网系统往往漏洞未能及时修补、弱口令威胁也相当严峻,极易遭受恶意的攻击。

在这里插入图片描述

通过部署 DecoyMini,在内网部署一些常用的应用、服务蜜罐,并开启网络扫描、连接监听等功能,就可以提供常态化的内网横向攻击监测感知能力,可以及时发现感染勒索、挖矿、蠕虫等病毒木马的失陷主机,潜伏到内网的攻击者,以及内部人员发起的各种攻击行为。

2.3 网络攻防对抗演习监测

近几年来攻防演习常态化进行,在攻防演习中需要有手段能够对红队的攻击进行监测、对攻击的进展进行跟踪,同时对攻击行为进行溯源反制。

在这里插入图片描述

通过部署 DecoyMini,可以对红队的攻击行为进行监测,支撑对攻击套路进行分析,用以指导蓝队制定更为有效的防御措施;同时,用蜜罐为载体构造场景可以来投递溯源、反制工具,实现对红队的溯源。结合攻击的完整日志和攻击者画像,协助完整溯源攻击链,获得溯源得分。

3. 主要功能

3.1 监控

监控模块又两个,风险态势和仪表板

(1)风险态势

风险态势可查看“攻击类型”、“攻击次数”、“被攻击目标”、“攻击源分布”、“事件趋势”、“最新事件”等分布图

在这里插入图片描述

(2)仪表盘

仪表盘则是主要用于展示系统的关键指标和数据,以图表等可视化的形式来进行展示

在这里插入图片描述

3.2 攻击

其中又包含风险事件和诱捕日志

(1)风险事件

风险事件管理页面展示系统产生的所有风险事件信息,按时间由近到远进行展示,并提供对风险事件进行快速查询和分析的功能。

在这里插入图片描述

(2)诱捕日志

诱捕日志管理功能提供对攻击者在诱捕器中所有操作行为:包括网络操作、命令执行、文件操作以及文件等数据进行综合浏览、查询的功能。

在这里插入图片描述

3.3 诱捕

诱捕又分为诱捕策略、安全规则和攻击特征三大块

(1)诱捕策略

诱捕策略用于配置各诱捕探针需要执行的诱捕策略。

在这里插入图片描述

(2)安全规则

安全规则用于配置系统安全监测规则,包括威胁情报配置和黑白名单配置等。
在这里插入图片描述

(3)攻击特征

攻击特征则是借助检测规则,对攻击的类型、级别、信息进行归纳总结

在这里插入图片描述

3.4 仿真

仿真又分为仿真模板、增加仿真网站和增加仿真主机三块

(1)仿真模板

仿真模板提供对系统各仿真能力进行配置管理的功能,通过仿真模板可以快速、灵活自定义仿真内容。

在这里插入图片描述

(2)增加仿真网站

仿真网站则是可以自定义的添加网站配置信息

在这里插入图片描述

(3)增加仿真主机

仿真主机同样可以添加一台主机,模拟目标主机

在这里插入图片描述

3.5 处置

处置分为预警通知和内生情报两块

(1)预警通知

预警通知可以自定义添加报警规则,满足条件则发出预警

在这里插入图片描述

(2)内生情报

内生情报可以选择周期和数量限制,来对不同情报格式就行利用

在这里插入图片描述

3.6 节点

节点分为节点管理和节点分组

(1)节点管理

节点管理主要包含节点信息查看、节点信息修改、节点策略运行情况查看等功能。

在这里插入图片描述

(2)节点分组

节点分组可以针对不同类型进行分组,方便管理

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/44265.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

《我为什么要听你的 如何与强势的人相处》读书笔记二

目录 反驳例子 勇敢反击的益处 一些重要的自我保护法 不要再讲述你生活中的细节 别答应那些表意不明的请求 记录下一切 第一时间告知亲友 拒绝成为中间人 区别对待强势者 谨慎应对奉承话 想方设法快点跑 反驳例子 例子 例子: 例子: 例子&am…

Qt 类似vscode和matlab的分屏显示效果

运行截图 向右分屏 多分屏 全屏显示 介绍 实现了一个类似vscode和matlab的标签页显示分屏效果,支持鼠标拖拽分屏、全屏显示,可自适应调整大小,程序把要显示的Widget独立出来,可随时替换为其他的用户自定义Widget&#xff0c…

rust gtk 桌面应用 demo

《精通Rust》里介绍了 GTK框架的开发,这篇博客记录并扩展一下。rust 可以用于桌面应用开发,我还挺惊讶的,大学的时候也有学习过 VC,对桌面编程一直都很感兴趣,而且一直有一种妄念,总觉得自己能开发一款很好…

二、Java框架基础02 XML

二、XML 2.1 XML 简介 XML 即可扩展标记语言,一种简单的数据存储语言,使用一系列简单的标记来描述结构化数据 XML 的特点 XML 与操作系统,编程语言的开发平台无关规范统一,实现不同系统之间的数据交互 2.1.1 XML 的文档结构 以下…

[数学建模] [2019年A 模拟练习][层次分析法、熵值法、多目标优化、主成分分析法] 4. 深圳居民健康水平评估与测控模型研究

1、前言 2019年“深圳杯”数学建模挑战赛A题 原题,这个是当时学校内部校赛所作,为了拿到参加国赛名额,也权当是做一个简单的练手。 本次练习属于综合评判类,常用的方法无非 层次分析法、熵值法、多目标优化、主成分分析法 等&am…

引入第三方字体库 第三方字体库Google Fonts

googlefonts官方网站 googlefonts中国网站 本人是在微信小程序中引入 在static中建一个文件夹font-family 例如字体链接:https://fonts.font.im/css?familyKirangHaerang 将该链接的返回的资源的复制到css文件中 font-family.css /* [0] */ font-face {font-fam…

MURF20100CTR-ASEMI快恢复对管封装、尺寸、参数

编辑:ll MURF20100CTR-ASEMI快恢复对管封装、尺寸、参数 型号:MURF20100CTR 品牌:ASEMI 芯片个数:2 芯片尺寸:102MIL*2 封装:TO-220F 恢复时间:50ns 工作温度:-50C~150C 浪…

VSCode_常用插件_最新推荐

本文介绍前端开发领域常用的一些VSCode插件,插件是VSCode最重要的组成部分之一,本文列出了个人觉得是有用或有趣的一些插件。 一、代码管理相关插件 1、GitLens — Git supercharged 该插件增强了 VS Code 中的 Git,通过丰富的可视化和强…

Python 快速简单搭建HTTP本地服务器,内网通过浏览器访问

1 下载python https://www.python.org/downloads/ 2 安装python,安装时候选择把path加入电脑环境变量 3 由于python内建了简单http服务包,因此对于python来说,只需输入一行命令,就能轻松打开http服务。当然,要运行网页…

SQL-每日一题【619.只出现一次的最大数字】

题目 MyNumbers 表: 单一数字 是在 MyNumbers 表中只出现一次的数字。 请你编写一个 SQL 查询来报告最大的 单一数字 。如果不存在 单一数字 ,查询需报告 null 。 查询结果如下例所示。 示例 1: 示例 2: 解题思路 1.题目要求我…

CPU渲染or GPU渲染,你选对了吗?看完这六点就懂了!

在进行动画或效果图渲染时,选择适合的渲染方式对于项目的速度和质量至关重要。CPU渲染和GPU渲染作为两种主要的渲染方式,哪一种更适合你现在的情况?接下来我将从以下六个方面带大家深入了解,看完就知道怎么选了。 1.渲染原理 CPU…

gradio初体验

背景 近期随着很多开源大模型的出现,对于其如何落地,或者说充分地去挖掘其实际应用领域和商业价值变得格外重要。于是乎,对于不懂技术的前方市场或销售人员,如何在没有形成AI产品之前向其展示算法模型效果呢?这时候gr…

Spring 多数据源方法级别注解实现

Spring框架提供了多种数据源管理方式,其中多数据源管理是其中之一。多数据源管理允许应用程序使用多个数据源,而不是只使用一个数据源,从而提高了应用程序的灵活性和可靠性。 多数据源管理的主要目的是让应用程序能够在不同的数据库之间切换&…

【RabbitMQ(day1)】RabbitMQ的概述和安装

入门RabbitMQ 一、RabbitMQ的概述二、RabbitMQ的安装三、RabbitMQ管理命令行四、RabbitMQ的GUI界面 一、RabbitMQ的概述 MQ(Message Queue)翻译为消息队列,通过典型的【生产者】和【消费者】模型,生产者不断向消息队列中生产消息&…

SIGIR 2023 | 语音让对话推荐更easy,火山语音联合新加坡科学研究院发布业内首个语音对话推荐数据集

近年来,推荐系统在工业界取得了巨大成功,甚至成为互联网发展中不可或缺的增长引擎,基于此研究者们也在积极探索推荐系统的新形态,其中对话推荐系统(Conversational Recommender System,简称CRS)…

Mac上安装sshfs

目录 写在前面安装使用参考完 写在前面 1、本文内容 Mac上安装sshfs 2、平台 mac 3、转载请注明出处: https://blog.csdn.net/qq_41102371/article/details/130156287 安装 参考:https://ports.macports.org/port/sshfs/ 通过port安装 点击啊insta…

Qt/C++音视频开发49-多级连保存和推流设计(同时保存到多个文件/推流到多个平台)

一、前言 近期遇到个用户需要多级联的保存和推流,在ffmpegsave多线程保存类中实现这个功能,越简单越好,就是在推流的同时,能够开启自动转储功能,一边推流的同时一边录像保存到本地视频文件。最初设想的一个方案是new两…

【MySQL】之复合查询

【MySQL】之复合查询 基本查询多表查询笛卡尔积自连接子查询单行子查询多行子查询多列子查询在from子句中使用子查询 合并查询小练习 基本查询 查询工资高于500或岗位为MANAGER的雇员,同时还要满足他们的姓名首字母为大写的J按照部门号升序而雇员的工资降序排序使用…

源码对接微软Azure OpenAI 规范注意点

众所周知,我们是访问不通OpenAI官方服务的,但是我们可以自己通过代理或者使用第三方代理访问接口 现在新出台的规定禁止使用境外的AI大模型接口对境内客户使用,所以我们需要使用国内的大模型接口 国内的效果真的很差,现在如果想合…

深圳湾晚霞下的职场分享:723深圳COC社区活动回顾

文章目录 深圳湾晚霞下的职场分享:723深圳COC社区活动回顾前言人物观察架构师李肯连续创业者石云升鸿蒙布道师坚果 职友分享个人分享 后记最后分享一波:深圳湾晚霞美图! 深圳湾晚霞下的职场分享:723深圳COC社区活动回顾 前言 ​…