发新话题
打印

[原创] 详细部署dionaea低交互式蜜罐和记录分析(二)

[原创] 详细部署dionaea低交互式蜜罐和记录分析(二)

文章标题:详细部署dionaea低交互式蜜罐和记录分析(二)
文章作者:Nandi
团队:Evil0ctal & U.S.T.A
博客:http://ruo.me
原始出处:邪恶八进制
首发:邪恶八进制


  上一篇文章中:详细部署dionaea低交互式蜜罐和记录分析(一) ,分析了安装过程和部分配置,准备工作都已完毕,下面就开始进行高级配置和简便快捷安装方法。



一、dionaea.conf模块自定义高级配置

  我们先来看下moudle节点,用来配置dionaeae所使用的工具模块,重点是ihandler段和services段,下面来看下这两个段的默认配置:
复制内容到剪贴板
代码:
ihandlers = {
                        handlers = ["ftpdownload", "tftpdownload", "emuprofile", "cmdshell", "store", "uniquedownload",
                        "logsql",
//                        "virustotal",
//                        "mwserv",
//                        "submit_http",
//                        "logxmpp",
//                        "nfq",
//                        "p0f",
//                        "surfids",
//                        "fail2ban"
                        ]
                }

                services = {
                        serve = ["http", "https", "tftp", "ftp", "mirror", "smb", "epmap", "sip","mssql", "mysql"]
                }
  
可以看到,在ihandlers的配置中,已经默认开启了使用SQLite数据库作为数据存储,另外几项重要的如mwserv,logxmpp,p0f,这些在(三)里面会详细说明。另外从services配置中,模拟开启了多项服务,可以选择不必要的禁用掉,下面是重要服务的说明:

  Tftp:接收任意文件传输以及检测针对tftp服务利用漏洞的攻击细节。
  
  ftp:允许任意登陆并截取所有上传的文件。
  Smb和epmap:Server Message Block和endpoint map,大多数被针对攻击的对象。
  
  http和https:web服务,服务端存储在$wwwroot/var/dionaea/wwwroot/目录下。($wwwroot是web的目录)

  了解基本服务后可以选择不需要的进行注释或者删除来禁用,比如禁用ftp前面加上// 注释即可。

二、IP地址的片段化访问匹配

  先来看如下默认配置:
复制内容到剪贴板
代码:
mode = "getifaddrs"
        addrs = { eth0 = ["::"] }
}
我们可以设置为manual手动模式,只需把getifaddrs改成manual即可,但是需要提供具体的IP片段和接口给dionaea,继续看。

  看对应的规则,如图(PS:貌似这是这部分文章的第一张图片吧。;)--):

  

    因为dionaea默认是绑定所有的IPV4和IPV6的地址,如果迭代的话在初始化会相当浪费时间,有需要的话可以修改成上述的手动模式,自定义绑定的IP地址和分散片段,这需要自己定义IP片段和接口,对于定义规则可能有些朋友不懂,简单写了几个配置规则举例,仅供修改参考:
复制内容到剪贴板
代码:
//在eth1绑定所有的IPV4H和IPV6地址:
  addrs = { eth1 = [“::”], eth1 = [“0.0.0.0”] }
  
复制内容到剪贴板
代码:
//在eth1绑定所有的IPV6地址:
  addrs = { eth1 = [“::”] }
  
复制内容到剪贴板
代码:
//在eth2绑定.99,在eth1绑定所有的IPV4地址:
  addrs = { eth2 = [“192.168.1.99”], eth1 = [“0.0.0.0”] }
  
复制内容到剪贴板
代码:
//在eth2绑定.99和.101:
  addrs = { eth2 = [“192.168.1.99”, “192.168.1.101”] }
  
复制内容到剪贴板
代码:
//在eth1绑定所有的IPV4地址:
  addrs = { eth1 = [“0.0.0.0”] }
  
绑定IPV6用::,IPV4则是0.0.0.0,单个IP片段则是逗号分隔IP地址,可以按照自己的应用或者实验进行混合匹配。


三、快捷安装配置dionaea
复制内容到剪贴板
代码:
root@ruo~# add-apt-repository ppa:honeynet/nightly
  root@ruo:~# apt-get update
  root@ruo:~# apt-get install dionaea
  
/etc/dionaea/dionaea.conf.dist 需要移动下
复制内容到剪贴板
代码:
root@ruo:~# mv /etc/dionaea/dionaea.conf.dist /etc/dionaea/dionaea.conf
  
配置文件中指定了目录 例如:
复制内容到剪贴板
代码:
tftp = {
                        root = "var/dionaea/wwwroot"
  
TFTP服务的目录指定到了var/dionaea/wwwroot 建立目录 给权限
复制内容到剪贴板
代码:
root@ruo:~# mkdir -p /var/dionaea/wwwroot
  root@ruo:~# mkdir -p /var/dionaea/binaries
  root@ruo:~# mkdir -p /var/dionaea/log
  root@ruo:~# chown -R nobody:nogroup /var/dionaea/
  
然后替换成绝对地址
复制内容到剪贴板
代码:
root@ruo:~# sed -i 's/var\/dionaea\///g' /etc/dionaea/dionaea.conf
root@ruo:~# sed -i 's/log\//\/var\/dionaea\/log\//g' /etc/dionaea/dionaea.conf
root@ruo:~# cat /etc/dionaea/dionaea.conf | grep /var/di
                file = "/var/dionaea/log/dionaea.log"
                file = "/var/dionaea/log/dionaea-errors.log"
root@ruo:~#
  
OK,var已经被替换成 /var了。下面贴图

  启动dionaea:

  

  查看监听:

  

  查看伪造的服务:

  


  下次回来写最后一部分(三)--应用篇,请大家持续关注博客http://ruo.me/

The End

[ 本帖最后由 Nandisec 于 2013-10-20 14:11 编辑 ]
没有什么过不去,只是再也回不去。

TOP

我的爱情在前列腺治疗中度过!(转贴)
  我是在无知中得的慢性前列腺炎的,当我看着小便时尿道里流出白色的液体时我不知道这是什么东西,我还以为是自己没有性生活精液满出来了。但那时没有任何的症状也不在意,但接下来的时间我总感觉身体总有点不对劲,人也变越来越不自信。但后来知道主要还是手yin引起的!
  我自己在药店里买些药吃了一下,以为一星期或者半个月就会好的。可是吃了在药店里买了一车开头带“前列”两个字的药对我的前列腺既然没有任何的进展。这时有点慌了,因为时间已经快5年了,其中刚开始也到国营的大医院泌尿科看过病。那里人山人海,很多比我年龄大的人围着医生,叫我这个小伙子怎么开口说自己有这毛病呢!医生不耐烦的听了我准备得很充足的讲述就把我打发了,说了声没事就给开了些中西搭配的药。那时等我去医院药房领了药时还是很有信心的,这下一定可以好了。因为毕竟这是我们这地方最好的医院了!结果还是又一次的令我失望了。后来我在广播里也买了些药也没什么作用!
   就这样拖到我25岁时谈了个女朋友,我非常爱她。我那时性功能很差,当我们一接吻时下面一硬第二天就会很不舒服。我不敢去碰她,在情人节的那天夜里,当我们吃过晚饭后,她在路上说你今天去哪我就去哪。我结果还是把他送回了家,因为我知道我那天肯定不行的。我知道她心里肯定也有想法,后来我借出差广州之名在广州呆了一个多月,想借这一个月无任何干扰的情况下治疗好我的病,我在广州北京路上一家很大的药店里买了一种叫前列通瘀胶囊和前列安栓,连用一个月后结果还是没有进展。回来后我一直不敢碰她,她说我不爱她?我不知道怎么回答这个问题,我想解释,但我不知道如何向她解释。就这样我们分手了!
  那时我其实很伤心,我不能这样下去了,我要在最短的时间去治疗好我的慢性前列腺。结果就是这样的想法使我的前列腺情况更加恶化了。我就在报纸上看哪家私营医院好,结果选中了一家说10天可以治疗好的,我就去了,吊瓶尿道微波等。一天要花一千多元的人民虽然有点心痛,但一想10天就可以好了也是值的。但10天过去了结果还是没进展,这时我失望到极点!
   经过这10天的治疗后我的情况越来越糟糕了,症状也越来越多了。既然出现了尿道红肿了,可能就是这次在私营医院治疗过程中产生的。结果真的过了一个多月这家私营医院被电视台暴光了。后来这家私营医院就倒闭了。但中国还有多少家这样的医院啊。就这样我的情况越来越不好了!
在一次无意中发现一个病友发的贴子,抱着试试的心理在google输入“ 前列腺健康治疗网 ” 找到了这治疗前列腺的网站。觉得里面说得还是蛮有道理的,我前列腺治疗的出路可能就在这里了。但又有点不放心,因为经历了那么多次的治疗都没有什么进展使我对任何的前列腺产品都没有信心了。但最终战胜疾病的信心还是主导了我,我邮购了几种网站推荐的产品,令我欣喜的是开始服用了10天不到就感觉到前列腺各种症状明显减轻了,我觉的这次真的有救了。现在已经连续服用3个月了,前列腺各种烦人的症状基本上都没有了,性功能现在也正常了。勃起的硬度达到了十几岁那个水平了。
   从20岁到30岁的青春时期我基本都是在吃药中度过的,现在人也渐渐步入中年了,我是在这10年的前列腺治疗经历中成长的。人能有多少个十年呢?以后再也不手yin了,现在准备结婚了,我现在要更加倍的爱我的爱人!
经历了那么长时间的疾病煎熬我也得出了一些经验。给大家我的一些建议,仅供参考:
1一旦有症状,立即去检查:容易疲劳,小腹疼痛,手心爱出汗,手疼痛,手掌脚掌有硬块,阴囊潮湿,尿道口有白色分泌物,伴随失眠耳鸣腰痛尿频,尿痛,尿等待,尿无力,尿线细,疼痛坠胀,右侧睾丸感觉有东西在动,便秘,尿道口红肿,舌苔白厚等等
2适当的锻炼,如打篮球慢跑,不要从事重体力劳动和运动。注意休息,不熬夜。不要久坐和长时间骑自行车,注意保暖,不要坐在凉东西上。注意个人卫生,
3不要看黄色东西。 忌频繁手yin,节制xing生活。
4多吃吃西红柿,南瓜子,苹果等。少吃羊肉鸡肉牛肉海鲜,不吸烟喝酒 。
5不憋尿,保持心情舒畅最重要。

TOP

发新话题