0x00 前言

---

From: https://itandsecuritystuffs.wordpress.com/2015/02/03/honeypot-networks/

PS：測試過程中有的忘記截圖了，就直接用的原文章的圖片。翻譯過程中做了少量的修改，英語好的可以直接看原文。

這篇文章中，主要討論蜜罐和蜜罐網路，以及如何使用它們保護真實的系統，我們稱之為這個系統為MHN(Modern Honey Network，現代蜜網)，它可以快速部署、使用，也能夠快速的從節點收集資料。

0x01 什麼是蜜罐

---

蜜罐是存在漏洞的，暴露在外網或者內網的一個虛假的機器,具有以下這些特徵：

1.其中重要的一點機器是虛假的，攻擊者需要花費時間攻破。在這段時間內，系統管理員能夠鎖定攻擊者同時保護真正的機器。

2.能夠學習攻擊者針對該服務的攻擊技巧和利用程式碼。

3.一些蜜罐能夠捕獲惡意軟體，利用程式碼等等，能夠捕獲攻擊者的0day,同時可以幫助逆向工程師透過分析捕獲的惡意軟體來提高自身系統的安全性

4.在內網中部署的蜜罐可以幫助你發現內網中其他機器可能存在的漏洞。

蜜罐是把雙刃劍，如果不能正確的使用，有可能遭受更多的攻擊，模擬服務的軟體存在問題，也會產生新的漏洞。

蜜罐分為幾下幾類：

１．低互動式：低互動式模擬常規的服務，服務存在漏洞，但是模擬的這些漏洞無法被利用，開發和維護這種型別的蜜罐比較容易。

２．高互動式：高互動式使用的是真實的服務，有助於發現服務存在的新漏洞，同時能夠記錄所有的攻擊，但是，部署困難、維護成本高，一旦服務上存在的漏洞被利用，容易引發新的安全問題。

３．粘性蜜罐(Tarpits)：這種型別的蜜罐，使用新的IP來生成新的虛擬機器，模擬存在服務的漏洞，來做誘餌。因此攻擊者會花費長時間來攻擊，就有足夠的時間來處理攻擊，同時鎖定攻擊者。

還有其他型別的蜜罐，比如專門捕獲惡意軟體的，資料庫漏洞利用程式和垃圾郵件等等。當部署兩個或者兩個以上蜜罐時可以稱之為蜜網。

網上關於蜜罐的一些定義：

1.什麼是蜜罐：

http://www.sans.org/security-resources/idfaq/honeypot3.php

2.蜜網：

http://www.honeynet.org/

3.蜜罐專案：

https://www.projecthoneypot.org/，攻擊者的ＩＰ和攻擊者的一些資料統計。

4.蜜罐的wiki：

http://en.wikipedia.org/wiki/Honeypot_(computing)

0x02 現代密網(MHN)

---

MHN是一個開源軟體，它簡化了蜜罐的部署，同時便於收集和統計蜜罐的資料。用ThreatStream（http://threatstream.github.io/mhn/）來部署，MHN使用開源蜜罐來收集資料，整理後儲存在Mongodb中，收集到的資訊也可以透過web介面來展示或者透過開發的API訪問。

MHN能夠提供多種開源的蜜罐，可以透過web介面來新增他們。一個蜜罐的部署過程很簡單，只需要貼上，複製一些命令就可以完成部署，部署完成後，可以透過開源的協議hpfeeds來收集的資訊。

MHN支援以下蜜罐：

1.Sort:https://www.snort.org/

2.Suricata:http://suricata-ids.org/

3.Dionaea:http://dionaea.carnivore.it/,它是一個低互動式的蜜罐，能夠模擬MSSQL, SIP, HTTP, FTP, TFTP等服務 drops中有一篇介紹：/papers/?id=4584

4.Conpot:http://conpot.org/

5.Kippo:https://github.com/desaster/kippo，它是一箇中等互動的蜜罐，能夠下載任意檔案。 drops中有一篇介紹：/papers/?id=4578

6.Amun:http://amunhoney.sourceforge.net/，它是一個低互動式蜜罐，但是已經從2012年之後不在維護了。

7.Glastopf：http://glastopf.org/

8.Wordpot：https://github.com/gbrindisi/wordpot

9.ShockPot：https://github.com/threatstream/shockpot，模擬的CVE-2014-6271，即破殼漏洞

10.p0f：https://github.com/p0f/p0f

0x03 MHN的硬體要求

---

MHN伺服器：

4 GB Ram
Dual Core Processor
40 Gb Drive

蜜罐：

512 Mb – 1 Gb
Dual Core CPU
20 Gb Drive

具體部署時取決以蜜罐所在的位置，在防火牆後面或者在直接暴露在網際網路上，被攻擊次數不同，消耗的資源肯定也不同。如果只是測試著玩256M的記憶體就足夠了。

0x04 MHN的安裝

---

因為ThreatStream有部署指令碼，所以安裝MHN很簡單，我們在只安裝了OpenSSH的Ubuntu 14.04 LTS (64 bits)上進行測試，安裝步驟如下：

#!bash    
sudo apt-get update && sudo apt-get upgrade
sudo apt-get install git
cd /opt
sudo git clone https://github.com/threatstream/mhn
cd /opt/mhn/scripts

新版本中已經做了修改，安裝前可以做一下檢查

#!bash
sudo vim install_mnemosyne.sh

找到修改CHANNELS，新增shockpot.events 修改成下面的樣子

#!bash
CHANNELS=’amun.events,conpot.events,thug.events,beeswarm.hive,dionaea.capture,dionaea.connections,thug.files,beeswarn.feeder,cuckoo.analysis,kippo.sessions,glastopf.events,glastopf.files,mwbinary.dionaea.sensorunique,snort.alerts,wordpot.events,p0f.events,suricata.events,shockpot.events’

sudo ./install_hpfeeds.sh
sudo ./install_mnemosyne.sh 
sudo ./install_honeymap.sh

安裝完成後執行sudo supervisorctl status看到四個服務起來了

機器位於公網，就可以跳過這一步，如果只是放在內網裡面，則需要配置mnemosyne的配置檔案

#!bash
sudo vim /opt/mnemosyne/mnemosyne.cfg
ignore_rfc1918 = False

允許節點使用私有地址和伺服器進行通訊

重啟服務

#!bash
sudo supervisorctl restart mnemosyne

執行最後一個指令碼，對MHN進行配置

#!bash
sudo ./install_mhnserver.sh

    ===========================================================

MHN Configuration

===========================================================

Do you wish to run in Debug mode?: y/n n

Superuser email: [email protected]
Superuser password: 

Superuser password: (again): 

Server base url [“http://1.2.3.4″]: http://192.168.5.3

Honeymap url [http://1.2.3.4:3000]: http://192.168.5.3:3000

Mail server address [“localhost”]: 

Mail server port [25]: 

Use TLS for email?: y/n y

Use SSL for email?: y/n y

Mail server username [“”]:  

Mail server password [“”]: 

Mail default sender [“”]: 

Path for log file [“mhn.log”]: 

這個過程需要比較長的時間，需要初始化資料庫，同時還要插入Snort/Suricata規則，指令碼執行結束後，直接訪問配置中定義的base url，登入後就可以配置

0x06 MHN伺服器安裝

---

一旦安裝了基礎的服務，就能夠部署蜜罐節點了，透過web來展示相關資料等等，可以根據具體的境況做一些簡單的調整。

例如要非匿名的將收集到得攻擊資料回傳到ThreatStream，要做以下操作

#!bash
cd /opt/mhn/scripts
sudo ./disable_collector.sh

執行enable_collector.sh可以開啟

如果想修改smtp服務的配置，可以編輯config.py，

絕對路徑

#!bash
/opt/mhn/server/config.py 
cd /opt/mhn/server
sudo vim config.py 
sudo supervisorctl restart mhn-uwsgi

儘量不要使用超級管理員來配置，可以從web頁面中新增其他的使用者，但是所有使用者都是超級使用者，沒有任何區別，當你刪除使用者的時候，實際上並沒有吧該使用者刪除，只是在資料庫中標記為"not active",同時該使用者不能再次被使用，除非更改資料庫。

也可以從終端去直接更改使用者的密碼

#!bash
sudo su
cd /opt/mhn/
source env/bin/activate
cd server
python manual_password_reset.py
deactivate
exit

0x07 排錯

---

如果發現服務不正常，你可以使用一些命令和排查一些日誌來來判斷問題出在哪裡，第一個命令就是supervisorctl，可以看到那些程式出問題了，那些在正常的執行

#!bash    
supervisorctlv status

#列出所有程式的狀態
supervisorctl　restart [process|all]
#重啟單個或者全部程式
supervisorctl start [process|all]
#開始單個程式或者全部程式
supervisorctl stop [process|all]
#停止單個程式或者全部程式

如果你發現一個程式的狀態為ERROR或者FATAL，就需在 /etc/supervisor/conf.d/找到對應程式的配置檔案，檢視日誌進行分析 https://github.com/threatstream/mhn/wiki/MHN-Troubleshooting-Guide，尋求幫助 遇到的問題：

1.honeymap在安裝的時候報錯

#!bash
hg clone http://code.google.com/p/go.net/    
mv go.net/ /opt/honeymap/server/src/code.google.com/p/
go build
supervisorctl restart honeymap

0x08 MHN的web介面

MHN的web介面是很簡潔明瞭的，第一次訪問web截面時，需要輸入賬戶名和密碼，登入成功後會看見一個總結性的頁面

1.在最近24小時內有多少攻擊著攻擊

2.攻擊次數排在前五的IP

3.被攻擊埠排在前五的埠

4.top 5的攻擊簽名

還有一些選單選項可以進行配置或者獲取更多的攻擊細節

Map:檢視攻擊者的IP在全球的分佈

Deploy:新增，編輯和使用蜜罐的部署指令碼

Attacks:所有攻擊者的列表

Payloads:所有攻擊的payload，其實只有三種蜜罐可以收集payload(snort,dionaea.glastofp)

Rules:所有的snort和suricata規則

Seneors:有安裝蜜罐節點操作的相關記錄

Settings:MHN服務的設定

攻擊來源全球的分佈圖,執行在3000埠，是不需要驗證就能看到的，可以做ACL開控制訪問。

0x09 蜜罐節點

---

這一節中，主要討論蜜罐，如何安裝，多麼容易操作，以及會出現的問題，是否需要在進行特殊的配置等等。也會進行一些測試，看攻擊者如何攻擊，蜜罐對攻擊行為的記錄。最後會討論MHN如何收集資訊，以及web所展現的資料。

9.1 安裝蜜罐節點

---

安裝蜜罐節點很容易，所有的節點都基於同樣的平臺，MHN上對每個蜜罐都有對應的安裝指令碼，所以安裝起來是非常容易的，只需要一個伺服器去安裝。

我們在Ubuntu 14.04 LTS 上進行測試。建議透過ssh去訪問，如果不可以，請安裝ssh，修改對應的22埠，同時加防火牆保護

安裝ssh

#!bash
sudo apt-get update && sudo apt-get upgrade && sudo apt-get install openssh-server

修改埠為2222

#!bash    
vim /etc/ssh/sshd_config

Port 2222

重啟服務

#!bash    
sudo service ssh restart

定義的安裝指令碼在MHN伺服器的web介面中，在"Deploy"這個選項下有所有蜜罐的安裝指令碼。

http://192.168.5.11/ui/manage-deploy/?script_id=11

安裝完成後可以透過以下命令來檢查

#!bash
sudo netstat –tunlp
＃產看當前的網路連線情況
supervisorctl status
#檢視執行狀態

9.2 Wordpot

---

首先，安裝一個wordpress蜜罐在Ubuntu 14.04 LTS上，安裝完成後 sudo netstat –tunlp檢視80埠是否開啟， sudo supervisorctl status可以檢視服務的執行狀態。 訪問後該ip,看到下圖

如果想更改wp的外掛和相關設定，

#!bash
vim /opt/wordpot/wordpot.conf

使用nmap掃描該80埠

#!bash
nmap -A -Pn -p80 192.168.10.21

透過nmap識別80看到的是wordpress 2.8，執行的http版本是0.96,識別出來的python 2.7.6的版本。這種埠掃描不會被記錄，回傳到MHN服務。

使用wpscan進行掃描

#!bash
wpscan –url http://ip/

9.3 p0f被動指紋識別系統

---

p0f是一個被動的系統指紋識別工具，藉助它可以快速識別作業系統的型別和其他的資訊，它在MHN中部署也是很容易的，p0f有可以根據已有的指紋，能夠快速的匹配，雖然不是一個精確計算，但是識別度很高。

透過netstat命令的輸出可以看到沒有p0f沒有去新建新的程式來實現網路監聽。

如果所要保護的ssh埠處於防火牆後或者前端有一個IPS/IDS，獲取這些資料的時候就比較麻煩。

如果我們在安裝了wordpot的機器上安裝p0f，一個訪問wordpot的80埠的請求不會觸發wordpot的報警，但是p0f會觸發，MHN只是能夠顯示攻擊者攻擊的埠，但是不能顯示關於作業系統型別，uptime和其他的資訊。p0f的日誌是純文字的，分析和收集資料不是太容易，還好p0f存在API，還有一些其他的工具，可以幫助我們快速分析。

如果需要正在進行攻擊的系統系統的資訊，可以從/var/log/p0f.out中提取，可以使用python、bash、sed、grep等來幫助你快速的獲取想要的資訊。 想要獲取相關ip的系統資訊，可以使用以下這個命令

#!bash
grep -n “\[ 192.168.10.151.*\(syn\)\|os\s*=” /var/log/p0f.out

如果想要獲得更多關於p0f的資訊，訪問 http://www.sans.org/security-resources/idfaq/p0f.php，檢視相關介面資訊https://github.com/p0f/p0f/blob/master/docs/README，還有很重要的一點，p0f把攻擊的資訊儲存在MHN服務的mongodb中，其他的一些資訊，如作業系統型別等資訊沒有展現出來，有可能下一個版本會對這些資訊進行展示。

9.4 kippo蜜罐

---

kippo是一箇中等互動式的ssh蜜罐，安裝它很容易，但是要注意以下

1.ssh服務預設監聽的是22埠，/etc/ssh/sshd_config為預設配置檔案，要想正常執行，需要修改監聽埠到2222。

2.安裝完成後需要重啟服務。

3.supervisor可以使kippo程式執行，但是不能夠停止它，這需要修改部署指令碼

進入web的deploy介面，選擇kippo,在部署指令碼後新增下面這些東西

#!bash
command=/opt/kippo/start.sh #modify this command for the line below

command=su kippo -c “authbind –deep twistd -n -y /opt/kippo/kippo.tac -l /opt/kippo/log/kippo.log –pidfile /opt/kippo/kippo.pid”

stopsignal=QUIT #Modify this line for the line below

stopasgroup=true

編輯完成後點選update儲存，安裝完成後就可以看到kippo監聽在22埠,ssh服務在2222埠，下次ssh登入的伺服器的時候需要指定ssh -p 2222 ip，否則登入的為kippo。

以下是一些關於kippo的介紹，包括如何配置以及工作原理：

1.預設的ssh登入賬戶名密碼為root/12345,也可以進行配置，配置的路徑在 /opt/kippo/data/userdb.txt，同時當攻擊者登陸後，使用useradd和passwd新增賬戶和密碼的時候也會儲存在這個檔案裡面．

2.當攻擊者下載檔案時，下載的檔案會被儲存在/opt/kippo/dl

3.可以設定蜜罐中命令執行後的返回值，也可以新增命令．例如來修改ifconfig命令的輸出，可以編輯/opt/kippo/txtcmds/sbin/ifconfig這個文字檔案。

4.有一個特點就是，當攻擊者輸入exit想退出的時候，其實沒有退出，只是顯示退出，給攻擊者一個假象，以為回到的他的本機，他接下來的操作還是會被記錄到日誌中。

5.你可以更改/opt/kippo/honeyfs，裡面儲存模擬的系統的檔案等內容，使蜜罐更像真實環境。

6.log儲存在/opt/kippo/log/kippo.log，你也可以修改配置，把log儲存到資料庫中，資料庫的表結構在 /opt/kippo/doc/sql目錄中。

7.每一次登入成功後的操作都會把日誌單獨再儲存一份，儲存的路徑在/opt/kippo/log/tty,可以透過在/opt/kippo/utils中的playlog.py指令碼，來重現這個操作過程。

安裝和配置kippo後，如果有人嘗試登入，會被記錄登入所使用的使用者名稱和密碼。

我們用nmap來掃描，看到以下資訊

根據nmap的輸出，我們看到22埠已經被識別為ssh服務，其中輸出的ssh版本能夠在kippo.cfg中被修改，這種簡單的掃描是不會在MHN服務上產生記錄的 如果我們使用hydra(https://www.thc.org/thc-hydra/),去進行暴力破擊(hydra -l root -P darkc0de.lst ssh://192.168.10.21),hydra在連線的時候 會出現一些問題，但是我們使用 medusa(http://foofus.net/goons/jmk/medusa/medusa.html)時，暴力破解的命令如下

#!bash
medusa -u root -P darkc0de.lst -M ssh -h 192.168.10.21

每進行一次嘗試登入，都會產生一條掃描記錄，如果想更瞭解kippo，可以參考http://edgis-security.org/honeypot/kippo/

9.5 Suricata網路入侵檢測和阻止引擎

---

Suricata的部署指令碼沒有問題，直接執行就好了，部署完成後需要重啟服務。Suricata是一個IDS,監聽的介面為eth0,規則是透過crontab中的/etc/cron.daily/update_suricata_rules.sh指令碼，每天都從MHN服務更新的(可以開啟或者關閉規則)

正如supervisor顯示的，只有一個程式，沒有生成其他的服務，因為他只是一個IDS,如果我們使用nmap進行掃描，只看到一個ssh服務，這側掃描會被記錄，同時在MHN中顯示

Sensor Log:

MHN Server:

Suricata只會把攻擊報告給MHN服務，但是攻擊細節儲存在Suricata的日誌中，不會被顯示

1./var/log/suricata.log:日誌記錄了Suricata程式相關的資訊，如啟動報錯，錯誤的規則等等，這份日誌由supervisor產生
2./var/log/suricata/：設計到suricata操作的輸入日誌，報警日誌，http請求日誌，dns請求日誌等等
3./var/log/suricata/http.log：http請求，不是報警
4./var/log/suricata/fast.log：一行儲存一個報警
5./var/log/suricata/eve.json：格式為json，包含報警和相關的事件
6./var/log/suricata/unified2.alert：報警檔案為Barnyard2格式
（http://www.forensicswiki.org/wiki/Barnyard2）

Suricata的配置檔案

1./opt/suricata/etc/suricata/classification.config :報警的優先順序
2./opt/suricata/etc/suricata/reference.config ：使用的漏洞資料庫
3./opt/suricata/etc/suricata/suricata.yaml ：suricata的配置檔案
4./opt/suricata/etc/suricata/reference.config ：透過配置來減少報警的數量，例如不想記錄所有ICMP請求的來源為一樣的ＩＰ

IDS/IPS配置是很複雜的，這裡只是簡單的說明，需要詳細瞭解suricata的，訪問這裡http://suricata-ids.org/docs/

9.6 snort

---

snort是像Suricata一樣的IDS/IPS，和Suricata使用類似的規則，同時工作方式也很像，同樣部署指令碼沒有問題，透過crontab.daily來更新規則庫，不會其他用來監聽連線的服務

它的配置檔案和Suricata使用的suricata.yaml很像，它的配置檔案為snort.conf，日誌儲存在/var/log/snort/alert目錄下.

想更加了解snort，訪問https://www.snort.org/

9.7 Amun

---

Amun蜜罐已經好久沒有更新了，這裡不做過多的討論。

9.8 Shockpot

---

Shockpot是一個web蜜罐，用來模擬破殼漏洞,CVE-2014-6271 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271,破殼漏洞是一個影響很廣泛的漏洞，影響Mac OsX,Linux和Unix，這個漏洞產生在GNU Bash(shell)上，允許遠端命令執行，雖然已經出現了補丁，但不是所有的機器都有更新。使用這個蜜罐，可以用來捕獲這個漏洞的利用程式碼，

關於這個漏洞的詳情https://shellshocker.net/

部署指令碼有一些問題，進入Deploy頁面，選擇Shockpot對期做一點修改,在＂#Config for supervisor. ＂和＂EOF＂中加入一下程式碼

[fetch_public_ip]

enabled = false

urls = [“http://api.ipify.org",”
http://bot.whatismyipaddress.com/”]

如果伺服器有公網IP，就加入上面這一段．

安裝完成後重啟服務

看到以下執行的程式，有一個新的服務在80上監聽

如果透過瀏覽器去訪問http://ip ，會看到"It Works!"這個預設的Apache頁面

telnet ip 80
GET / HTTP/1.0

返回以下頭部

顯示這是一個Debian伺服器，使用了PHP和OpenSSL

nmap -A -p80 192.168.10.21

上面的這些操作MHN是不會記錄的，下面我們來攻擊蜜罐

#!bash
curl -H “User-Agent: () { :; }; /bin/ping -c 1 TARGET_HOST_IP” http://SHOCKPOT_IP     

我看看到日誌裡輸出/var/log/shockpot/shockpot.log report

MHN中的記錄

更多關於破殼的利用https://blog.cloudflare.com/inside-shellshock/

9.9 Conpot

---

Conpot是一個工業控制系統和Scada蜜罐，針對這些型別的攻擊是在近幾年快速增長，是因為安全在工業系統中要求較低，才造成了現在這種場面，安全專家們也在想辦法保護這些脆弱的系統。

安裝簡單，安裝完成後需要重啟服務，使用supervisorctl status 可以看到一個程式，但是使用netsta 可以看到好幾個監聽的埠。

Conpot使用了一些模組，能夠提供以下服務

MODBUS TCP —> tcp/502
HTTP —> tcp/80
SNMP —> udp/161
S7COMM —> tcp/102

使用nmap掃描

nmap -A -p1-1000 192.168.10.21

#!bash
nmap -sU -p161–script snmp-sysdescr 192.168.10.21

產生的記錄

9.10 Glastopf

---

Glastopf是最好的web蜜罐，它模擬了很多漏洞，特別是遠端檔案包含漏洞，可以捕獲到攻擊只插入的檔案．部署依舊很簡單，安裝完成後重啟服務，你會看到一個程式

netstat 會有以下輸出

模擬的http,mongodb只在本地監聽．

#!bash
nmap -A -p80 192.168.10.21

你能看到模擬的是apache，我們使用web漏洞掃瞄器像niko(https://cirt.net/Nikto2) nikto -h 192.168.10.21

nikto報告了5536個專案，顯然蜜罐對攻擊者很有吸引力，我們到MHN的web介面上看到所有的攻擊報告，但是如果我們點選Payload，選擇glastopf.events,我們可以看到很多記錄，在“Regex term”中輸入"rfi"會看到下面這些

對於這些被下載的檔案，我們能夠看到它們的md5值，這些檔案都儲存在/opt/glastopf/data
Glastopf是很好配置的，/opt/glastopf/glastopf.cfg配置檔案，日誌/opt/glastopf/log/glastopf.log.

官網

https://www.honeynet.org/sites/default/files/files/KYT-Glastopf-Final_v1.pdf

9.11 dionaea

---

dionaea將有漏洞的服務暴露出來，允許攻擊者傳送儲存任何檔案，安裝簡單

看到下面

暴露的服務

服務列表

#!bash
tcp/5060 —> SIP Protocol
tcp/5061 —> SIP Protocol over TLS
tcp/135 —>  Remote procedure Call RPC
tcp/3306 —> MySQL Database
tcp/42 —>  WINS Protocol
tcp/21 —> FTP Protocol
tcp/1433 —> MSSQL
tcp/445 —> SMB over TCP
udp/5060 —> SIP Protocol
udp/69 —> TFTP

nmap -sS -sV -p1-65535 192.168.10.21

在掃描結果中，我們看到ftp和smb服務的指紋是＂Dionaea Honeypot＂，這種掃描產生的記錄都被記錄了，掃描UDP

#!bash
nmap -sU -sV -p69,5060 192.168.10.21

我們沒有修改banner，會被nmap識別，如果需要修改，編輯 /usr/lib/dionaea/python/dionaea這個python檔案，需要更加了解他，訪問http://www.securityartwork.es/2014/06/05/avoiding-dionaea-service-identification/?lang=en，配置檔案在 /etc/dionaea/dionaea.conf,日誌儲存在/var/dionaea/log/dionaea.log

使用nessus進行掃描，發現了53個問題，45個info，３個緊急

我們看到有MS04-007漏洞，這個漏洞能夠執行任意程式碼，透過向主機傳送ASN.1編碼後的資料包，Metasploit中使用的模組是 “MS04-007 Microsoft ASN.1 Library Bitstring Heap Overflow”，使用Metasploit發起攻擊，會返回“The SMB server did not reply to our request”，這種攻擊會報告給mhn,攻擊的細節儲存在/var/dionaea/bistreams/.

0x10 總結

---

我們已經大概瞭解了mhn的總體概況，怎麼安裝和怎麼去部署蜜罐節點，還有這些蜜罐大概的一些情況。如果你清楚你想做的，部署蜜網是很有用的．可以獲取攻擊者更準確的資訊，然後來做防禦。

在部署蜜罐節點是，儘可能的根據具體情況來組合部署，這樣可以是攻擊者花費更多的時間，從中獲取更多的資訊，爭取到更多的響應時間。

例如snort,Glastopf,Dionaea和kippo，在具體部署之前先要好好測試，避免在真實環境中出現意想不到的問題。

個人的看法： 曾經做過類似的一個東西，不過相比這個來說就有些粗糙了，MHN中支援的開源蜜罐種類很多，基本已經涵蓋了現有所有的開源蜜罐，可以根據具體的業務場景來組合。也可以根據具體的場景來做二次開發，因為回傳的資料有些簡單了。如果是放置在內網中，報警功能就很有必要性，內網中得蜜罐只是為了能夠延緩攻擊的進度，以及及時發現入侵，從而切斷入口。