蜜罐

honeyd的真实用途是一个蜜罐系统，在tcp/ip层虚拟了主机的行为。用于发现网络环境中的网络扫描和探测行为，捕获扫描人的信息。这里我用到了扫描器的测试上面 首先说说我自己用到的地方，我有这么一个端口扫描器，完成之后一直没有做过许多主机一起扫描的情况。实现的原理是一个任务进程里面扫描所有目标主机。每个主机的扫描都启动一个新的子进程，为了进程之间传递小部分消息。用socketpair建立了管道。问题就出现在这个管道上，每个目标主机对应的子进程在端口扫描结束后就退出了，随带也关闭了这个管道。但是在主进程里面我就没有及时关闭，而是等到程序退出再一起关闭（事实上，程序退出，就算不关闭，也不在了）。这里的问题是没有考虑到一个任务扫描2000个目标机的使用场景。由于linux对单个进程打开的文件句柄数目是有限制的，所以就发生了" too many files opened"的错误提示，无法继续扫描。 解决与发现这个问题都多亏了honeyd的运行，虚拟了2000个假的ip。 下面介绍一下，honeyd的配置与运行。 安装完成之后（http://my.oschina.net/u/929415/blog/182599）。 安装完成后会在/usr/local/share/honeyd相应目录生成配置文件。 config.sample 文件是提供的配置文件的例子。 1

Part1 蜜罐网络简介 详情请见： [ http://drops.wooyun.org/papers/5968 ][url1-1] (蜜罐网络) [url1-1]: http://drops.wooyun.org/papers/5968 采用MHN中心服务器和树莓派蜜罐终端的方式主要考虑如下几点 MHN中心服务器可部署在独立ip的远程VPS上，部署简单，支持多种蜜罐 树莓派蜜罐终端成本低，部署也比较容易，部署好后可以即插即用 MHN中心服务器汇总数据，展示；使得蜜罐终端可以灵活部署在内外网，只要网络能连接到MHN中心服务器即可 MHN简介： MHN是一个开源软件，它简化了蜜罐的部署，同时便于收集和统计蜜罐的数据。用ThreatStream（ http://threatstream.github.io/mhn/ ）来部署，MHN使用开源蜜罐来收集数据，整理后保存在Mongodb中，收集到的信息也可以通过web接口来展示或者通过开发的API访问。 MHN能够提供多种开源的蜜罐，可以通过web接口来添加他们。一个蜜罐的部署过程很简单，只需要粘贴，复制一些命令就可以完成部署，部署完成后，可以通过开源的协议hpfeeds来收集的信息。 搭建好后，访问3000端口，就会看到默认的世界地图准备就绪（没有数据来源的情况下空白状态）： 首先看MHN中心服务器支持的蜜罐终端的类型（还是很丰富）: