邮箱:service@hongdaqianqiu.com
上一篇文章中:详细部署dionaea低交互式蜜罐和记录分析(一) ,分析了安装过程和部分配置,准备工作都已完毕,下面就开始进行高级配置和简便快捷安装方法。
一、dionaea.conf模块自定义高级配置
我们先来看下moudle节点,用来配置dionaeae所使用的工具模块,重点是ihandler段和services段,下面来看下这两个段的默认配置:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
ihandlers = {
handlers = [“ftpdownload”, “tftpdownload”, “emuprofile”, “cmdshell”, “store”, “uniquedownload”,
“logsql”,
// ”virustotal”,
// ”mwserv”,
// ”submit_http”,
// ”logxmpp”,
// ”nfq”,
// ”p0f”,
// ”surfids”,
// ”fail2ban”
]
}
services = {
serve = [“http”, “https”, “tftp”, “ftp”, “mirror”, “smb”, “epmap”, “sip”,“mssql”, “mysql”]
}
|
可以看到,在ihandlers的配置中,已经默认开启了使用SQLite数据库作为数据存储,另外几项重要的如mwserv,logxmpp,p0f,这些在(三)里面会详细说明。另外从services配置中,模拟开启了多项服务,可以选择不必要的禁用掉,下面是重要服务的说明:
Tftp:接收任意文件传输以及检测针对tftp服务利用漏洞的攻击细节。
ftp:允许任意登陆并截取所有上传的文件。
Smb和epmap:Server Message Block和endpoint map,大多数被针对攻击的对象。
http和https:web服务,服务端存储在$wwwroot/var/dionaea/wwwroot/目录下。($wwwroot是web的目录)
了解基本服务后可以选择不需要的进行注释或者删除来禁用,比如禁用ftp前面加上// 注释即可。
二、IP地址的片段化访问匹配
先来看如下默认配置:
|
1
2
3
|
mode = “getifaddrs”
addrs = { eth0 = [“::”] }
}
|
我们可以设置为manual手动模式,只需把getifaddrs改成manual即可,但是需要提供具体的IP片段和接口给dionaea,继续看。
看对应的规则,如图(PS:貌似这是这部分文章的第一张图片吧。;)–):
因为dionaea默认是绑定所有的IPV4和IPV6的地址,如果迭代的话在初始化会相当浪费时间,有需要的话可以修改成上述的手动模式,自定义绑定的IP地址和分散片段,这需要自己定义IP片段和接口,对于定义规则可能有些朋友不懂,简单写了几个配置规则举例,仅供修改参考:
|
1
2
|
//在eth1绑定所有的IPV4H和IPV6地址:
addrs = { eth1 = [“::”], eth1 = [“0.0.0.0”] }
|
|
1
2
|
//在eth1绑定所有的IPV6地址:
addrs = { eth1 = [“::”] }
|
|
1
2
|
//在eth2绑定.99,在eth1绑定所有的IPV4地址:
addrs = { eth2 = [“192.168.1.99”], eth1 = [“0.0.0.0”] }
|
|
1
2
|
//在eth2绑定.99和.101:
addrs = { eth2 = [“192.168.1.99”, “192.168.1.101”] }
|
|
1
2
|
//在eth1绑定所有的IPV4地址:
addrs = { eth1 = [“0.0.0.0”] }
|
绑定IPV6用::,IPV4则是0.0.0.0,单个IP片段则是逗号分隔IP地址,可以按照自己的应用或者实验进行混合匹配。
三、快捷安装配置dionaea
|
1
2
3
|
root@ruo~# add-apt-repository ppa:honeynet/nightly
root@ruo:~# apt-get update
root@ruo:~# apt-get install dionaea
|
/etc/dionaea/dionaea.conf.dist 需要移动下
|
1
|
root@ruo:~# mv /etc/dionaea/dionaea.conf.dist /etc/dionaea/dionaea.conf
|
配置文件中指定了目录 例如:
|
1
2
|
tftp = {
root = “var/dionaea/wwwroot”
|
TFTP服务的目录指定到了var/dionaea/wwwroot 建立目录 给权限
|
1
2
3
4
|
root@ruo:~# mkdir -p /var/dionaea/wwwroot
root@ruo:~# mkdir -p /var/dionaea/binaries
root@ruo:~# mkdir -p /var/dionaea/log
root@ruo:~# chown -R nobody:nogroup /var/dionaea/
|
然后替换成绝对地址
|
1
2
3
4
5
6
|
root@ruo:~# sed -i ‘s/var/dionaea///g’ /etc/dionaea/dionaea.conf
root@ruo:~# sed -i ‘s/log///var/dionaea/log//g’ /etc/dionaea/dionaea.conf
root@ruo:~# cat /etc/dionaea/dionaea.conf | grep /var/di
file = “/var/dionaea/log/dionaea.log”
file = “/var/dionaea/log/dionaea-errors.log”
root@ruo:~#
|
OK,var已经被替换成 /var了。下面贴图
启动dionaea:
查看监听:
查看伪造的服务:
[via@nandi]
Copyright © hongdaChiaki. All Rights Reserved. 鸿大千秋 版权所有
联系方式:
地址: 深圳市南山区招商街道沿山社区沿山路43号创业壹号大楼A栋107室
邮箱:service@hongdaqianqiu.com
备案号:粤ICP备15078875号
