说明:
1 刚开始在kali上安装 kippo, 摸索了 很久, 只要一启动, 就会报错, 最后直接测试centOS 上安装, 测试完成
所以,整个的过程是,先改变ssh的默认监听端口,比如改到2015上,这样就不会影响你正常的使用ssh远程登录 ssh root@host -p 2015 。然后,部署 kippo,让它监听 22 号端口就完了。
事实上,端口号低于 1024 的都需要 root 权限,而我们让一个引诱攻击的蜜罐程序跑在root权限下显然是不安全的,所以需要做一个端口转发,把22上的所有流量转到大于1024的其他端口,这样kippo在普通用户权限下就可以监听。具体见下面的步骤。
1. 改变 ssh 默认端口。
root 权限下编辑 /etc/ssh/sshd_config 中得 port, 改成你想要的,比如 2015
然后重启 ssh 服务
sudo service ssh restart
2. 端口转发
前面提到,我们把22 端口上的所有数据转发到kippo将要监听的端口上,比如 2016
sudo iptables -t nat -A PREROUTING -p tcp –dport 22 -j REDIRECT –to-port 2016
3. 安装 kippo 依赖的异步事件库 twisted
sudo apt-get install python-twisted
4. 新建一个普通用户,比如叫 kippo,让我们的蜜罐程序跑在普通权限下。
sudo adduser kippo
接下来我们从 root 用户切换到 kippo 用户,后面的操作都在 kippo 用户下面进行。
su kippo
5. 下载 kippo 程序,kippo是用python写的,直接下载源码便可以运行。
git clone https://github.com/desaster/kippo.git
进入 kippo 的目录,然后运行 ./start.sh 脚本蜜罐就开始运行了。
不过如果你想让蜜罐更好玩,还可以在里面加一些东西,比如增加几个root的密码,这样让攻击者更加容易“破解”,还可以增加一些假的命令,具体可以查看参考资料[1]或者自己搜索。
1. 所有进入蜜罐的攻击者的操作都会被kippo记录在 log/tty/*.log 里面,你可以用kippo自带的工具 util/playlog.py 动态的复现蜜罐中小白的操作,效果很酷炫。
2. 还有一个叫 Kippo-Graph 的项目,可以在浏览器上以各种图表的方式展现log,不过需要apache支持,我的VPS安装了nginx,所以没有玩了。
最后,我的蜜罐, ssh root@192.241.227.52 密码 123456 ,欢迎大家来玩。