Kippo:一款強大的SSH蜜罐工具
0×00 前言
首先給大家介紹一下蜜罐,蜜罐最爲重要的功能是對系統中所有操作和行爲進行監視和記錄,他可以幫助我們追蹤溯源。簡單的說蜜罐就是一個“假目標”,故意暴露一個網絡中的弱點給攻擊者,攻擊者會對這個“假目標”發起攻擊,在攻擊的過程中殊不知自己的IP地址和操作等信息都被一一記錄下來。過研究和分析這些信息,可以分析出攻擊者採用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息。在企業內部在不同網絡內搭建多個蜜罐誘捕節點可以大大幫助我們提高攻擊追蹤溯源的能力。蜜罐的作用大小取決於蜜罐的真實性,越“真”越能欺騙到攻擊者“上當”。
Kippo是一款強大的SSH蜜罐工具,它具有很強的互動性,當攻擊者拿到了蜜罐的SSH口令後可以登錄到蜜罐服務器執行一些常見的Linux命令。
0×01 搭建
在搭建Kippo之前首先給大家介紹一個蜜罐系統——HoneyDrive,HoneyDrive是一個運行在linux下的蜜罐系統,在HoneyDrive上具有幾十個各種各樣的蜜罐程序,如Dionaea、Amun malware honeypots,Wordpot等 ,Kippo是HoneyDrive上比較典型的蜜罐。HoneyDrive就是一個Xubuntu的虛擬機系統,把虛擬機導入到vmware或VMbox中就可以運行了。
我們可以在HoneyDrive中運行以下命令來運行Kippo。
/honeydrive/kippo/start.sh
當運行成功後,我們可以使用SSH工具,如XSHELL來連接我們創建的蜜罐。
在蜜罐中可以執行基本的Linux的命令,他都會有回覆,如ifconfig、ps等命令。如下如,當然了,這個顯示的IP地址是虛假的地址。
我們如何查看是誰連接我的蜜罐呢?執行了什麼操作呢?可以在HoneyDrive中使用這個命令來查看:
cat /honeydrive/kippo/log/kippo.log
0×02 圖形化界面
Kippo還帶有圖形化界面,可以在瀏覽器中查看登錄的IP、操作、及統計報表。可在瀏覽器中使用以下URL進行訪問:
http://IP/kippo-graph/