搭建蜜罐系统--kippo，用rinetd把22端口重定向到2222（蜜罐中）

kippo概述

蜜罐概述：
蜜罐是一种软件应用系统，用来充当入侵诱饵，引诱黑客前来攻击。 攻击者入侵后，通过监测与分析，就可以知道他是如何入侵的，随时了解针对组织服务器发动的最新的攻击和漏洞。 还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。
有两种基本类型的蜜罐技术：
高交互性蜜罐—设置一个全功能的应用环境，引诱黑客攻击。
低交互性蜜罐—模拟一个生产环境，所以只能提供有限的信息。
举例：当有用户访问我们服务器的22端口的时候，把访问重定向到对应的2222端口（蜜罐）。出发警告，并且查看用户做了哪些操作，收集信息。

搭建kippo

在github上下一个kippo：kippo。
环境：centos7虚拟机
先把依赖先安装一下。
yum install python-zope-interface python-pyasn1 -y
yum install -y python-twisted*
yum -y install python-devel mysql-devel
yum install -y python2-paramiko
yum -y install epel-release
yum -y install python-pip
pip install -i https://pypi.tuna.tsinghua.edu.cn/simple twisted==15.2.0
pip install mysql-python
pip install -i https://pypi.tuna.tsinghua.edu.cn/simple pycryp
注意kippo不能以root账号运行，给他新建一个账号
useradd -d /kippo kippo
安装mysql
yum install mariadb-server mariadb -y
systemctl start mariadb
安装kippo：git clone https://github.com/desaster/kippo.git
把kippo文件夹复制到/kippo 目录下面，并更改这个文件夹的所有者
cp -r kippo/ /kippo/
chown -R kippo:kippo /kippo
创建数据库和账号
进入mysql，吃创建数据库
create database kippo;
设置登录数据库的密码。
GRANT ALL PRIVILEGES ON kippo.* TO kippo@localhost IDENTIFIED BY ‘123456’;
初始化数据表
mysql -ukippo -p -Dkippo < /kippo/kippo/doc/sql/mysql.sql 在/kippo/kippo下面复制配置文件，并修改相应的配置
cd /kippo/kippo/
cp kippo.cfg.dist kippo.cfg
vim kippo.cfg 改：
163 #[database_mysql]
164 #host = localhost
165 #database = kippo
166 #username = kippo
167 #password = secret
168 #port = 3306
为：
[database_mysql]
host = localhost
database = kippo
username = kippo
password = 123456
port = 3306
启动开始程序
kippo使用方法
查看一下kippo监听的端口
netstat -antup | grep :22
关闭防火墙
systemctl disable firewalld && systemctl stop firewalld
kippo/data 的userdb.txt 保存了ssh登陆蜜罐的用户名和密码，也可以根据公司实际情况，添加更逼真的SSH账号和弱密码。

用ssh连接一下。ssh root@ip -p 2222(默认)
我们做的这些操作都可以在日志中查看的到。tail -f /kippo/kippo/log/kippo.log

回放攻击者流程
/kippo/kippo/utils/playlog.py /kippo/kippo/log/tty/20190608-161126-4574.log（你想回放的那个log）。

使用rinetd将更多服务器请求转给蜜罐

修改sshd端口：
vim /etc/ssh/sshd_config
改：
17 #Port 22
为：
17 Port 31911
重启ssh
systemctl restart sshd
安装rineted
解压压缩包 tar zxvf 压缩包
rinetd默认只有在进程被关闭的时候，才会把日志写到rined的日志文件中（/var/log/rinetd.log），也就是说当rinetd一直在运行的时候，即使有流量被转发了，也无法在日志文件中看到日志。所以在编译安装rinetd前，我们要先修改它的源代码，增加一个fflush函数强制更新日志，然后在去编译安装。
创建稍后编译需要用到的文件夹
mkdir -p /usr/man/man8
编译安装
1.make
2.make install
报错解决
cc -DLINUX -g-c -o rinetd.o rinetd.c
rinetd.c:176:6:警告:与内建函数‘log’类型冲突[默认启用]void log(int i, int coSe, int result);
cc -DLINUX -g-c -o match.o match.cgcc rinetd.o match.o -o rinetd
解决方法:修改Makefile文件
vim /root/rinetd/Makefile改:1 CFLAGS=-DLINUX -g
为:CFLAGS=-DLINUx -g -fno-builtin-log
还可能有错
vim /root/rinetd/rinetd.c 改：544 if ((bindPort == 0) || (bindPort >= 65536)) { 为：544 if ((bindPort == 0) || (bindPort >= 65535)) { 改：567 if ((connectPort == 0) || (connectPort >= 65536)) { 为：567 if ((connectPort == 0) || (connectPort >= 65535))
报错解决之后
创建配置文件
vim /etc/rinetd.conf
#写入以下内容
192.168.1.130 22 192.168.1.130 2222 logfile /var/log/rinetd.log
运行这个工具
/root/rinetd/rinetd
关掉工具的命令是 pkill rinetd
开启之后查看一下是不是正常运行了
命令：netstat -antup | grep :22

当攻击者用ssh访问22端口的时候会被转发至蜜罐的ssh服务。被成功跳转了。

注意：
收集信息的时候。蜜罐服务器也会记录一份日志，但是这地方记录的访问源IP是我们诱捕节点的IP，不是攻击者所在服务器的IP地址。所以：既需要收集rinetd转发的日志，也需要收集kippo日志。
rinetd日志：tar -f var/log/rinetd.log

kippo日志:tail -f /kippo/kippo/log/kippo.log ,
播放操作/kippo/kippo/utils/playlog.py /kippo/kippo/log/tty/20190608-161126-4574.log（对应的文件）