mhn调试经验

cowrie

cowrie和kippo 都是mhn 的默认蜜罐之一，功能都是模拟ssh ，笔者已经验证在树莓派系统上kippo 很好用，但是他没有ipv6 的官方支持，在某一个issue 中一位大神提交了增加ipv6的版本，但是没有被master 分支采用，这里由于cowrie 比较活跃且有ipv6 支持，故安装之。

使用mhn 的默认安装脚本会显示

sed: can't read start.sh: No such file or directory

原因在于cowrie 进行了改版，变更了启动方式
使用这里的安装脚本即可成功启动
https://github.com/SmUrF3R5/mhn/blob/master/scripts/deploy_cowrie.sh

注意修改脚本后重新安装需要删除/opt/cowrie ，以及删除脚本中useradd 一行

开启ipv6 的方法，修改/opt/cowrie/cowrie.cfg

listen_endpoints = tcp6:2222:interface=\:\: tcp:2222:interface=0.0.0.0

snort

在ubuntu17.04 下安装mhn 的snort 组件，发现无法正常工作。

xxx@xxx-NF5280M3:~$ sudo supervisorctl status
snort                            FATAL     Exited too quickly (process log may have details)

查看log

xxx@xxx-NF5280M3:~$ cat /var/log/snort.log
        --== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file "/opt/snort/etc/snort.conf"
ERROR: /opt/snort/etc/snort.conf(45) Missing argument to HOME_NET
Fatal Error, Quitting..
Running in IDS mode

根据https://www.experts-exchange.com/questions/28704759/snort-HOME-NET-variable-not-working.html的说法

xxx@xxx-NF5280M3:/var/log$ sudo nano /opt/snort/etc/snort.conf
ipvar HOME_NET 192.168.1.0/24
sudo supervisorctl restart snort

问题解决

p0f

可能网卡名不是eth0，修改p0f_wrapper.sh

INTERFACE=eth0

否则可能反复starting

另外，在ubuntu 17.04 上，ifconfig 的输出与以往不同(inet addr变成inet)。
可能报错，查看/var/log/p0f.out

[-] PROGRAM ABORT : Syntax error! See 'man tcpdump' for help on filters.
         Location : prepare_bpf(), p0f.c:655

需要将p0f_wrapper.sh 进一步修改。

MY_ADDRESS=`ifconfig ${INTERFACE} | grep 'inet ' | cut -d: -f2 | awk '{ print $2}'`

conpot

对于树莓派的ubuntu，可能源名称不同，删除

echo "deb http://en.archive.ubuntu.com/ubuntu precise main multiverse" | sudo tee -a /etc/apt/sources.list