亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

蜜罐在近幾年的攻防實(shí)戰(zhàn)演習(xí)中大放光彩，它作為欺騙防御的重要技術(shù)，是主動(dòng)防御的主要方法，也是實(shí)戰(zhàn)由被動(dòng)向主動(dòng)轉(zhuǎn)變最有效的手段，用好蜜罐可有效提升網(wǎng)絡(luò)安全防御能力。蜜罐的核心是仿真能力，所能提供的仿真能力和用戶環(huán)境貼合度越高誘捕效果越好。因此蜜罐在部署時(shí)，往往都需要根據(jù)部署環(huán)境對(duì)蜜罐仿真的各類對(duì)象和數(shù)據(jù)進(jìn)行定制化，將自有的一些業(yè)務(wù)系統(tǒng)站點(diǎn)例如辦公系統(tǒng)、ERP系統(tǒng)、信息發(fā)布平臺(tái)等做成蜜罐部署出來(lái)，這樣的蜜罐誘惑性更高，對(duì)攻擊的誘捕效果也會(huì)更好。

互聯(lián)網(wǎng)上已經(jīng)有不少免費(fèi)的蜜罐工具，但這些蜜罐工具絕大多數(shù)功能單一、成熟度不高、缺乏持續(xù)更新維護(hù)，很難支持對(duì)自有業(yè)務(wù)系統(tǒng)等個(gè)性化需求的仿真。本文介紹一款免費(fèi)的蜜罐軟件——DecoyMini，它是由北京吉沃科技有限公司基于商業(yè)化蜜罐產(chǎn)品積累而推出的完全免費(fèi)的蜜罐工具，工具支持主流操作系統(tǒng)、安裝使用簡(jiǎn)單、安全穩(wěn)定，支持插件化的仿真模板，支持從論壇一鍵下載模板來(lái)快捷部署蜜罐，同時(shí)提供蜜罐自定義能力，通過(guò)界面可視化編排配置即可部署對(duì)自有業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)協(xié)議和服務(wù)進(jìn)行仿真的蜜罐。

本文將介紹用DecoyMini免費(fèi)蜜罐工具來(lái)配置仿真自有業(yè)務(wù)系統(tǒng)蜜罐，并演示業(yè)務(wù)系統(tǒng)蜜罐部署后對(duì)攻擊誘捕的實(shí)戰(zhàn)效果。

1.?? 軟件安裝

前往“https://github.com/decoymini” 或者“https://gitee.com/decoymini”免費(fèi)下載最新版本的DecoyMini，支持Windows 7/Win10/Windows Server 32/64位、CentOS/Ubuntu/Debian/Kali 32/64位、樹莓派等操作系統(tǒng)，讀者根據(jù)自己的操作系統(tǒng)類型選擇對(duì)應(yīng)的安裝包進(jìn)行下載，普通辦公電腦的硬件配置就可以正常安裝使用。

DecoyMini支持單節(jié)點(diǎn)部署模式和分布式部署模式， 本文示例環(huán)境以單節(jié)點(diǎn)模式來(lái)進(jìn)行部署。

Windows下，以管理員身份運(yùn)行cmd，輸入如下命令進(jìn)行安裝：

DecoyMini_Windows_v1.0.xxxx.exe -install

Linux下安裝，以 CentOS 64 位為例，對(duì)安裝文件賦予可執(zhí)行權(quán)限，用管理員權(quán)限執(zhí)行如下安裝命令：

./DecoyMini_Linux_x64_v1.0.xxxx.pkg -install

按需選擇DecoyMini管理端監(jiān)聽的地址和端口后，即可完成DecoyMini的安裝。

安裝好DecoyMini軟件后，使用安裝時(shí)配置的 IP 和端口即可訪問(wèn)管理端登錄頁(yè)面，用DecoyMini論壇帳號(hào)或者本地預(yù)置帳戶admin可登錄DecoyMini管理端。

2.?? 創(chuàng)建仿真模板

使用DecoyMini部署業(yè)務(wù)系統(tǒng)蜜罐前，需要先配置業(yè)務(wù)系統(tǒng)的仿真模板。DecoyMini支持以下兩種方式來(lái)創(chuàng)建業(yè)務(wù)系統(tǒng)仿真模板：

• 自動(dòng)創(chuàng)建：指定待仿真的目標(biāo)業(yè)務(wù)系統(tǒng)地址，軟件自動(dòng)爬取業(yè)務(wù)系統(tǒng)站點(diǎn)網(wǎng)頁(yè)來(lái)創(chuàng)建仿真模板，推薦用于信息發(fā)布類業(yè)務(wù)系統(tǒng)的自動(dòng)仿真；
• 手動(dòng)創(chuàng)建：手動(dòng)下載待仿真的目標(biāo)業(yè)務(wù)系統(tǒng)站點(diǎn)網(wǎng)頁(yè)進(jìn)行上傳，配置相關(guān)仿真參數(shù)和訪問(wèn)映射規(guī)則，完成模板的手動(dòng)創(chuàng)建，適用于采用自動(dòng)創(chuàng)建頁(yè)面爬取不完整或需定制化仿真內(nèi)容等其它場(chǎng)景。

對(duì)于自定義的仿真模板支持導(dǎo)出分享，可以分享到其它DecoyMini環(huán)境，實(shí)現(xiàn)仿真能力的快速遷移；也可以分享到DecoyMini技術(shù)論壇，將有機(jī)會(huì)獲得論壇禮品或現(xiàn)金獎(jiǎng)勵(lì)。

2.1.?? 自動(dòng)創(chuàng)建

DecoyMini提供自動(dòng)仿真指定業(yè)務(wù)系統(tǒng)站點(diǎn)的能力，通過(guò)系統(tǒng)內(nèi)置的網(wǎng)頁(yè)爬蟲對(duì)指定目標(biāo)網(wǎng)站進(jìn)行自動(dòng)爬取可以快速生成對(duì)應(yīng)業(yè)務(wù)系統(tǒng)站點(diǎn)的本地鏡像。利用此功能，可以快速生成自有業(yè)務(wù)系統(tǒng)的仿真模板，并作為誘捕器（蜜罐）部署出來(lái)。主要操作步驟如下：

（1）進(jìn)入DecoyMini仿真模板管理界面，在左側(cè)仿真模板樹形列表中點(diǎn)擊“增加仿真網(wǎng)站”來(lái)增加一個(gè)仿真的站點(diǎn)：

在“模板配置”中配置相關(guān)參數(shù)，填入要仿真的目標(biāo)業(yè)務(wù)系統(tǒng)網(wǎng)站地址（支持http和https），配置網(wǎng)站數(shù)據(jù)同步周期（單位：天），值>0時(shí)每間隔指定天數(shù)自動(dòng)重新爬取業(yè)務(wù)系統(tǒng)頁(yè)面來(lái)更新模板，值為0不自動(dòng)爬取更新。

（2）當(dāng)完成參數(shù)配置后點(diǎn)擊“增加”按鈕，稍等片刻待DecoyMini后臺(tái)完成網(wǎng)站內(nèi)容爬取彈出提示消息后，就完成對(duì)自定義網(wǎng)站仿真模板的增加操作。

采用自動(dòng)創(chuàng)建模式增加的仿真模板，還可以繼續(xù)手動(dòng)編輯模板仿真頁(yè)面數(shù)據(jù)和參數(shù)，來(lái)定制化仿真內(nèi)容。

2.2.?? 手動(dòng)創(chuàng)建

手動(dòng)創(chuàng)建“WEB仿真模板”的子模板，將下載的業(yè)務(wù)系統(tǒng)站點(diǎn)網(wǎng)頁(yè)打包上傳，配置模板的仿真網(wǎng)頁(yè)數(shù)據(jù)和訪問(wèn)映射規(guī)則，完成模板的手動(dòng)創(chuàng)建。

2.2.1? 業(yè)務(wù)系統(tǒng)網(wǎng)頁(yè)下載

用網(wǎng)站下載工具或者瀏覽器下載功能將需要仿真的業(yè)務(wù)系統(tǒng)網(wǎng)站頁(yè)面下載保存，以瀏覽器下載保存為例，具體操作方法如下：

（1）用瀏覽器瀏覽需要仿真的網(wǎng)頁(yè)，用瀏覽器保存網(wǎng)頁(yè)功能將網(wǎng)頁(yè)保存到本地。

保存時(shí)候注意文件名用英文，保存類型選擇保存全部?jī)?nèi)容。

（2）對(duì)保存下來(lái)的網(wǎng)頁(yè)文件，根據(jù)需要可以對(duì)網(wǎng)頁(yè)內(nèi)容進(jìn)行定制化處理，處理完畢后，將網(wǎng)頁(yè)以及依賴的圖片等資源文件用zip格式進(jìn)行打包。

（3）將打包好的zip文件名更改為 res_package.zip 待用（res_package.zip 為DecoyMini仿真模板資源文件壓縮包保留名稱，當(dāng)上傳的壓縮包文件名為此名稱時(shí)，則會(huì)自動(dòng)解壓包里的文件到“數(shù)據(jù)文件”目錄下）。

2.2.2? 創(chuàng)建仿真子模板

（1）登錄DecoyMini管理中心，切換到“仿真模板”界面，點(diǎn)擊WEB仿真模板“創(chuàng)建子模板”來(lái)創(chuàng)建一個(gè)新的WEB仿真子模板。

輸入子模板信息后，完成子模板創(chuàng)建操作。

（2）在左側(cè)模板列表中選擇新創(chuàng)建的子模板，切換到“資源文件”標(biāo)簽，在資源文件左側(cè)目錄樹中選擇“數(shù)據(jù)文件”，將剛制作好的資源文件包 res_package.zip 文件進(jìn)行上傳。

上傳完成后，則可以在文件列表里看到 res_package.zip 壓縮包解壓后的全部文件清單。

（3）資源文件上傳完畢后，點(diǎn)擊“應(yīng)用”按鈕應(yīng)用資源文件，應(yīng)用后的資源文件數(shù)據(jù)才會(huì)被蜜罐所使用。

（4）點(diǎn)擊“參數(shù)設(shè)置”標(biāo)簽，可以查看當(dāng)前模板已經(jīng)配置的參數(shù)，其中類型為“動(dòng)態(tài)解析”的參數(shù)軟件會(huì)根據(jù)攻擊者訪問(wèn)請(qǐng)求來(lái)動(dòng)態(tài)解析，在響應(yīng)數(shù)據(jù)配置里可以用“{{參數(shù)標(biāo)識(shí)}}”格式來(lái)引用對(duì)應(yīng)參數(shù)的值。

（5）切換到 “響應(yīng)數(shù)據(jù)”標(biāo)簽，來(lái)配置將攻擊者的訪問(wèn)請(qǐng)求和資源文件做關(guān)聯(lián)，根據(jù)不同的請(qǐng)求可以配置響應(yīng)對(duì)應(yīng)的仿真數(shù)據(jù)。

在本例中將攻擊者訪問(wèn)根路徑與資源文件里index.html文件關(guān)聯(lián)，配置方法為：在“響應(yīng)數(shù)據(jù)”列表里編輯名稱為“首頁(yè)”的響應(yīng)數(shù)據(jù)項(xiàng)，請(qǐng)求路徑配置為“/” ，響應(yīng)數(shù)據(jù)選擇“數(shù)據(jù)文件”輸入“index.html”后保存。則蜜罐在收到攻擊者訪問(wèn)“/”路徑的請(qǐng)求時(shí)將響應(yīng)數(shù)據(jù)文件里index.html文件的內(nèi)容。

其他訪問(wèn)路徑對(duì)應(yīng)的響應(yīng)數(shù)據(jù)可參考上述方法依次進(jìn)行配置，多條響應(yīng)數(shù)據(jù)將從第一條開始往后匹配，直到匹配到為止；若未能匹配上則會(huì)響應(yīng)標(biāo)識(shí)為notexists里的響應(yīng)數(shù)據(jù)。

2.2.3? 配置記錄登錄賬戶

部署業(yè)務(wù)系統(tǒng)蜜罐除關(guān)注哪些IP來(lái)訪問(wèn)外，記錄攻擊者嘗試登錄業(yè)務(wù)系統(tǒng)的賬號(hào)也有助于對(duì)攻擊者進(jìn)行溯源分析。DecoyMini支持通過(guò)界面編排配置，實(shí)現(xiàn)記錄攻擊者嘗試登錄業(yè)務(wù)系統(tǒng)的賬戶的功能。

在上節(jié)配置的仿真模板基礎(chǔ)上，配置攻擊者登錄的用戶名、密碼獲取參數(shù)，以及有效的用戶名和密碼等信息。參數(shù)標(biāo)識(shí)配置為post.userId，將從POST數(shù)據(jù)里提取名稱為userId的值，post.password將從POST數(shù)據(jù)里提取名稱為password的值，配置有效的登錄賬號(hào)為 admin / 123456。

在響應(yīng)數(shù)據(jù)部分增加對(duì)登錄請(qǐng)求相關(guān)的響應(yīng)配置。

關(guān)鍵的幾個(gè)響應(yīng)數(shù)據(jù)配置方法說(shuō)明如下：

（1）修改業(yè)務(wù)系統(tǒng)登錄頁(yè)面代碼，攻擊者執(zhí)行登錄操作時(shí)調(diào)用login.js里的login函數(shù)，將登錄用戶名和密碼POST到“/api/user/login”這個(gè)地址，如果服務(wù)端響應(yīng)狀態(tài)碼為200則跳轉(zhuǎn)到業(yè)務(wù)系統(tǒng)主頁(yè)面，否則顯示登錄失敗的提示。

（2）對(duì)登錄請(qǐng)求進(jìn)行響應(yīng)：判斷請(qǐng)求的路徑是否為“/api/user/login”，且登錄用戶名和密碼為預(yù)設(shè)的用戶名和密碼時(shí)，響應(yīng)登錄成功的狀態(tài)數(shù)據(jù)。

配置接收到登錄請(qǐng)求后，記錄登錄日志，同時(shí)記錄登錄的用戶名和密碼。

（3）當(dāng)發(fā)送的登錄請(qǐng)求用戶名和密碼與預(yù)設(shè)的用戶名密碼不匹配時(shí)，登錄失敗，響應(yīng)登錄失敗狀態(tài)和錯(cuò)誤消息，并配置記錄日志。

（4）配置當(dāng)輸入了預(yù)設(shè)的用戶名和密碼后，顯示指定的業(yè)務(wù)系統(tǒng)主界面。

記錄登錄賬戶的完整配置內(nèi)容請(qǐng)參見DecoyMini內(nèi)置 “WEB業(yè)務(wù)系統(tǒng)示例”仿真模板。

2.2.4? 發(fā)布模板

編輯確認(rèn)仿真模板的基礎(chǔ)信息，如模板名稱、事件日志類型、類別、描述等，完成編輯后便可“發(fā)布”仿真模板，發(fā)布后的仿真模板就可以在誘捕策略里部署使用。

3.?? 部署蜜罐

配置完成業(yè)務(wù)系統(tǒng)仿真模板后，切換到“誘捕策略”界面來(lái)部署蜜罐。DecoyMini支持虛擬IP技術(shù)，支持在一臺(tái)蜜罐上虛擬多IP來(lái)模擬多臺(tái)主機(jī)，快速組建蜜罐群，有效提高蜜罐的覆蓋率，用較小的部署資源實(shí)現(xiàn)最大化的攻擊誘捕效果。

（1）增加誘捕器（蜜罐），選擇剛發(fā)布的業(yè)務(wù)系統(tǒng)仿真模板，配置蜜罐外部訪問(wèn)IP、監(jiān)聽端口、協(xié)議等環(huán)境參數(shù)。

蜜罐的“外部訪問(wèn)IP”可以填寫網(wǎng)絡(luò)可達(dá)范圍內(nèi)的空閑IP，將蜜罐直接部署在這個(gè)空閑IP上，例如網(wǎng)絡(luò)里10.1.18.84這個(gè)IP未使用，則可將外部訪問(wèn)IP配置為10.1.18.84，蜜罐部署好后，攻擊者通過(guò)10.1.18.84就能夠訪問(wèn)到此業(yè)務(wù)系統(tǒng)蜜罐。

DecoyMini支持動(dòng)態(tài)端口功能，配置端口時(shí)支持特定端口、端口列表或端口范圍，當(dāng)配置為端口列表或端口范圍，蜜罐在運(yùn)行時(shí)將會(huì)自動(dòng)從中隨機(jī)選取一個(gè)端口來(lái)部署此蜜罐。

訪問(wèn)業(yè)務(wù)系統(tǒng)蜜罐協(xié)議支持HTTP或HTTPS，DecoyMini已經(jīng)內(nèi)置了默認(rèn)的SSL證書，如果需要自定義，可以將新的證書文件和密鑰文件分別命名為server.crt和server.key替換仿真模板資源文件“配置文件”目錄里同名文件。

（2）配置完部署蜜罐的必要參數(shù)后，點(diǎn)擊“確定”保存蜜罐配置。

（3）點(diǎn)擊“應(yīng)用”按鈕將誘捕策略下發(fā)到誘捕探針來(lái)生成對(duì)應(yīng)的蜜罐。

4.?? 部署效果

在DecoyMini上部署好蜜罐之后，用瀏覽器訪問(wèn)誘捕策略里配置的地址就可以訪問(wèn)到仿真的業(yè)務(wù)系統(tǒng)站點(diǎn)。

以下為筆者模擬攻擊者發(fā)起請(qǐng)求，展示業(yè)務(wù)系統(tǒng)蜜罐對(duì)攻擊的誘捕效果。

4.1.?? 攻擊事件日志

當(dāng)攻擊者訪問(wèn)到業(yè)務(wù)系統(tǒng)蜜罐后，在系統(tǒng)的風(fēng)險(xiǎn)事件里可以查看到相關(guān)風(fēng)險(xiǎn)事件告警信息。DecoyMini支持關(guān)聯(lián)分析，支持對(duì)同類事件進(jìn)行自動(dòng)合并，這可以有效降低告警數(shù)量、提高告警準(zhǔn)確度，從而大大降低安全運(yùn)維投入。

風(fēng)險(xiǎn)事件的詳細(xì)信息中包含兩部分：事件詳情和關(guān)聯(lián)誘捕日志列表。

事件詳情展示了風(fēng)險(xiǎn)事件的名稱、描述、類型、合并數(shù)量、攻擊源 IP、攻擊目的 IP、匹配到的關(guān)聯(lián)分析規(guī)則名稱、威脅影響和解決方案、風(fēng)險(xiǎn)事件合并開始時(shí)間和結(jié)束時(shí)間等屬性。

關(guān)聯(lián)誘捕日志展示的為此風(fēng)險(xiǎn)事件關(guān)聯(lián)的誘捕日志列表：

在系統(tǒng)的“誘捕日志”里可以查看到完整的攻擊日志信息；仿真模板配置了記錄攻擊賬戶功能，當(dāng)攻擊者嘗試登錄業(yè)務(wù)系統(tǒng)時(shí)，在對(duì)應(yīng)的誘捕日志里可以查看到嘗試登錄的賬戶信息，包括登錄使用的用戶名和密碼等。

4.2.?? 攻擊預(yù)警

當(dāng)攻擊者訪問(wèn)到業(yè)務(wù)系統(tǒng)蜜罐時(shí)，DecoyMini支持配置多種預(yù)警方式及時(shí)將告警通知到安全管理人員手里，包括郵件告警、彈窗告警、企業(yè)微信、釘釘?shù)确绞剑仓С滞ㄟ^(guò)Syslog格式將告警信息輸出到其它系統(tǒng)來(lái)實(shí)現(xiàn)對(duì)攻擊進(jìn)行聯(lián)動(dòng)處置。

采用自動(dòng)預(yù)警通知，可實(shí)現(xiàn)用極少的資源和人力投入，就可以實(shí)現(xiàn)7×24小時(shí)不間斷遠(yuǎn)程值守，安全管理人員隨時(shí)隨地都能輕松掌握網(wǎng)絡(luò)的風(fēng)險(xiǎn)態(tài)勢(shì)。

4.3.?? 攻擊過(guò)程分析

在風(fēng)險(xiǎn)事件詳情或者誘捕日志里查看日志詳情時(shí)，除可以看到該誘捕日志詳細(xì)信息外，還支持以“時(shí)間線”方式以時(shí)間先后順序展示該攻擊者的詳細(xì)操作，還原攻擊的完整過(guò)程。

在風(fēng)險(xiǎn)事件或誘捕日志界面中，點(diǎn)擊誘捕器（蜜罐）鏈接，可以查看到攻擊此誘捕器的IP畫像，畫像直觀展示了攻擊此蜜罐的源IP分布以及攻擊頻率等信息。

點(diǎn)擊事件列表或事件詳情中的“被攻擊IP”，可以展示對(duì)應(yīng)被攻擊IP的畫像，畫像展示了攻擊該IP的攻擊來(lái)源情況以及攻擊的蜜罐范圍。

4.4.?? 攻擊溯源

DecoyMini不僅能夠?qū)暨M(jìn)行監(jiān)測(cè)、對(duì)失陷進(jìn)行感知，同時(shí)它也具備攻擊溯源能力。當(dāng)攻擊者訪問(wèn)部署的業(yè)務(wù)系統(tǒng)蜜罐后，通過(guò)內(nèi)置在業(yè)務(wù)系統(tǒng)蜜罐內(nèi)的反制腳本，就能夠自動(dòng)獲取到攻擊者主機(jī)的多種特征信息，包括真實(shí)IP、主機(jī)特征、瀏覽器特征等等。同時(shí)DecoyMini已經(jīng)與盛邦安全的網(wǎng)絡(luò)空間資產(chǎn)探測(cè)平臺(tái)聯(lián)動(dòng)，能夠自動(dòng)查詢攻擊IP所在主機(jī)最近一段時(shí)間開啟的端口和服務(wù)，為溯源攻擊者的真實(shí)身份提供了多維度的數(shù)據(jù)支撐。

點(diǎn)擊事件列表或事件詳情中的“攻擊IP”，可以展示對(duì)應(yīng)攻擊IP的畫像，包括攻擊者地域信息、攻擊影響范圍、主機(jī)特征、瀏覽器特征、主機(jī)曾開啟的服務(wù)等信息。

點(diǎn)擊畫像上的基本信息、主機(jī)特征、瀏覽器特征、曾使用服務(wù)，可以鉆取到對(duì)應(yīng)攻擊IP的攻擊者特征詳情；點(diǎn)擊攻擊目標(biāo)的IP或誘捕器，可以鉆取到此IP對(duì)該攻擊目標(biāo)實(shí)施攻擊產(chǎn)生的風(fēng)險(xiǎn)事件和詳細(xì)誘捕日志列表。

5.?? 總結(jié)

面對(duì)當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)、及時(shí)發(fā)現(xiàn)更具隱蔽性和多樣性的攻擊行為，對(duì)網(wǎng)絡(luò)安全防御手法上需要有所創(chuàng)新。通過(guò)在網(wǎng)絡(luò)部署蜜罐，以攻防對(duì)抗思路為基礎(chǔ)，以攻擊者視角去發(fā)現(xiàn)威脅，可有效彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)安全防御方案的弱點(diǎn)，構(gòu)建主動(dòng)感知網(wǎng)絡(luò)威脅的能力，協(xié)助提升網(wǎng)絡(luò)安全監(jiān)測(cè)、響應(yīng)及防御能力。

本文介紹了使用DecoyMini來(lái)部署業(yè)務(wù)系統(tǒng)蜜罐的基本方法，讀者可以參考去配置滿足自己需求的業(yè)務(wù)系統(tǒng)蜜罐。DecoyMini作為一款優(yōu)秀的國(guó)產(chǎn)免費(fèi)蜜罐軟件，具備豐富的攻擊誘捕和溯源分析功能，提供靈活的蜜罐自定義能力，支持快速組建蜜罐群，是企業(yè)零成本構(gòu)建欺騙防御能力的得力工具，值得企業(yè)部署嘗試。

參考鏈接：

DecoyMini免費(fèi)下載：https://github.com/decoymini

DecoyMini技術(shù)論壇：https://bbs.decoyit.com