Honeyd 是一款非常优秀的开源虚拟蜜罐软件,由 Google 公司软件工程师 Niels Provos
于 2003 年开始研发,2005 年发布v1.0 正式版,目前已发布了 v1.5b。
Honeyd能让一台主机在一个模拟的局域网环境中配有多个地址(曾测试过的最多可以
达到65536个),外界的主机可以对虚拟的蜜罐主机进行ping、traceroute等网络操作,虚拟
主机上任何类型的服务都可以依照一个简单的配置文件进行模拟,也可以为真实主机的服务
提供代理。
Honeyd可以通过提供威胁检测与评估机制来提高计算机系统的安全性,也可以通过将
真实系统隐藏在虚拟系统中来阻止外来的攻击者。因为Honeyd只能进行网络级的模拟,不
能提供真实的交互环境,能获取的有价值的攻击者的信息比较有限,所以Honeyd所模拟的
蜜罐系统常常是作为真实应用的网络中转移攻击者目标的设施,或者是与其他高交互的蜜罐
系统一起部署,组成功能强大但花费又相对较少的网络攻击信息收集系统
实验环境
centos-5.5
实验软件
gcc gcc-c++ pcre
libevent-1.3c.tar.gz
libdnet-1.11.tar.gz
libdnsres-0.1a.tar.gz
arpd-0.2.tar.gz
libpcap-1.1.1.tar.gz
honeyd-1.5c.tar.gz
软件安装
tar zxvf libevent-1.4.14b-stable.tar.gz
cd libevent-1.4.14b-stable
./configure
make
make install
tar zxvf libdnet-1.11.tar.gz
cd libdnet-1.11
./configure
make
make install
ln -s /usr/local/lib/libnet.1 /lib/libnet.1
tar zxvf libpcap-1.1.1.tar.gz
cd libpcap-1.1.1
./configure
make
make install
tar zxvf libdnsres-0.1a.tar.gz
cd libdnsres-0.1a
./configure
make
make install
tar zxvf arpd-0.2.tar.gz
cd arpd
vim arpd.c
添加 35#define __FUNCTION__ ""
./configure
make
make install
tar zxvf honeyd-1.5c.tar.gz
cd honeyd-1.5c
./configure
make
make install
如果在安装过程中没有报错,证明安装正确。如果敲击honeyd
Honeyd V1.5c Copyright (c) 2002-2007 Niels Provos
honeyd[776]: started with
Warning: Impossible SI range in Class fingerprint "IBM OS/400 V4R2M0"
Warning: Impossible SI range in Class fingerprint "Microsoft Windows NT 4.0 SP3"
honeyd[776]: listening promiscuously on eth0: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip )) and not ether src 00:0c:29:2f:29:e3
Honeyd starting as background process 证明honeyd安装成功
验证
服务端 centos5.5+honeyd 192.168.0.102
客户端 windowsxp 192.168.0.103
实现目的:客户端(windows xp,开启不断ping操作,测试服务端蜜罐效果)
arpd 192.168.0.103 绑定攻击源ip
arpd: error while loading shared libraries: libpcap.so.1: cannot open shared object file:No such file or directory
解决办法
cat /etc/ld.so.conf
include ld.so.conf.d/*.conf
echo "/usr/local/lib" >> /etc/ld.so.conf
ldconfig
arp 192.168.0.103 绑定成功
Address HWtype HWaddress Flags Mask Iface
192.168.0.103 ether 00:0C:29:E1:7C:52 C eth0
mkdir /var/log/honeyd
touch /var/log/honeyd/honeyd.log 存放日志文件
touch /var/log/honeyd/service.log 存放系统日志文件
chown -R nobody:nobody /var/log/honeyd/*.log 更改权限
ll /var/log/honeyd/ 查看权限
total 0
-rw-r--r-- 1 nobody nobody 0 Aug 6 09:37 honeyd.log
-rw-r--r-- 1 nobody nobody 0 Aug 6 09:38 service.log
使用说明
-d 非守护程序的形式,允许冗长的调试信息。
-P 在一些系统中,pcap 不能通过 select(2)来获得事件通知是不可能的,在这种情况下,honeyd 需要在轮训模式下工作,这个标志位是使论询位有效的。
-l logfile 对日志包和日志文件的连接是被日志文件指定的。
-s servicelog 将honeyd记录的服务层日志写入到指定的服务日志文件中。
-x xprobe 读 xprobe 类型的指纹,这个文件决定了 honeyd 如何响应 ICMP 指纹工具。
-a assoc 读联系 nmap 风格指纹和 xprobe 指纹风格的文件。
-f file 读取名为 file 的配置文件。
-i interface 指定侦听的接口,可以指定多个接口。
--version 打印出版本信息同时退出。
-include-dir 用作插件开发,指定 honeyd 存贮它的头文件的位置
net 指定IP地址或者网络或者IP地址范围,如果没有指定,honeyd将监视它能看见的任何IP地址的流量
[--webserver-address address]
[--webserver-port port]
[--webserver-root path]
[--rrdtool-path path]
[--fix-webserver-permissions]
指定Honeyd软件内建Web服务的地址、端口和根目录,以及Web服务依赖的RRDTool的位置,--fix-webserver-permissions修正Web目录权限设置导致网页不可读取问题
honeyd -d -l /var/log/honeyd/honeyd.log -s /var/log/honeyd/service.log --fix-webserver-permissions 192.168.0.103 192.168.0.103为攻击者的ip
Warning: Impossible SI range in Class fingerprint "IBM OS/400 V4R2M0"
Warning: Impossible SI range in Class fingerprint "Microsoft Windows NT 4.0 SP3"
honeyd[816]: listening promiscuously on eth0: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip and (host 192.168.0.103))) and not ether src 00:0c:29:2f:29:e3
honeyd[816]: Demoting process privileges to uid 99, gid 99
honeyd[816]: Connection to closed port: udp (192.168.0.103:138 - 192.168.0.255:138)
honeyd[816]: Connection to closed port: udp (192.168.0.103:138 - 192.168.0.255:138)
less /var/log/honeyd/honeyd.log
2013-08-06-09:45:33.4609 honeyd log started ------
2013-08-06-09:46:42.9764 udp(17) - 192.168.0.103 138 192.168.0.255 138: 233
2013-08-06-09:47:42.5534 udp(17) - 192.168.0.103 138 192.168.0.255 138: 229
less /var/log/honeyd/service.log
2013-08-06-09:45:33.4611 honeyd log started ------
通过蜜罐系统可以有效的查询,攻击者的ip、以及日志记录,我只是做实验所以至演示了ping
本文出自 “mailfile” 博客,谢绝转载!