蜜罐

honeyd 用于压力测试-配置和运行

旧巷老猫 提交于 2020-03-02 17:03:01
honeyd的真实用途是一个蜜罐系统,在tcp/ip层虚拟了主机的行为。用于发现网络环境中的网络扫描和探测行为,捕获扫描人的信息。这里我用到了扫描器的测试上面 首先说说我自己用到的地方,我有这么一个端口扫描器,完成之后一直没有做过许多主机一起扫描的情况。实现的原理是一个任务进程里面扫描所有目标主机。每个主机的扫描都启动一个新的子进程,为了进程之间传递小部分消息。用socketpair建立了管道。问题就出现在这个管道上,每个目标主机对应的子进程在端口扫描结束后就退出了,随带也关闭了这个管道。但是在主进程里面我就没有及时关闭,而是等到程序退出再一起关闭(事实上,程序退出,就算不关闭,也不在了)。这里的问题是没有考虑到一个任务扫描2000个目标机的使用场景。由于linux对单个进程打开的文件句柄数目是有限制的,所以就发生了" too many files opened"的错误提示,无法继续扫描。 解决与发现这个问题都多亏了honeyd的运行,虚拟了2000个假的ip。 下面介绍一下,honeyd的配置与运行。 安装完成之后(http://my.oschina.net/u/929415/blog/182599)。 安装完成后会在/usr/local/share/honeyd相应目录生成配置文件。 config.sample 文件是提供的配置文件的例子。 1

点亮我的攻击地图:树莓派蜜罐节点部署实战

别等时光非礼了梦想. 提交于 2019-11-26 14:26:37
Part1 蜜罐网络简介 详情请见: [ http://drops.wooyun.org/papers/5968 ][url1-1] (蜜罐网络) [url1-1]: http://drops.wooyun.org/papers/5968 采用MHN中心服务器和树莓派蜜罐终端的方式主要考虑如下几点 MHN中心服务器可部署在独立ip的远程VPS上,部署简单,支持多种蜜罐 树莓派蜜罐终端成本低,部署也比较容易,部署好后可以即插即用 MHN中心服务器汇总数据,展示;使得蜜罐终端可以灵活部署在内外网,只要网络能连接到MHN中心服务器即可 MHN简介: MHN是一个开源软件,它简化了蜜罐的部署,同时便于收集和统计蜜罐的数据。用ThreatStream( http://threatstream.github.io/mhn/ )来部署,MHN使用开源蜜罐来收集数据,整理后保存在Mongodb中,收集到的信息也可以通过web接口来展示或者通过开发的API访问。 MHN能够提供多种开源的蜜罐,可以通过web接口来添加他们。一个蜜罐的部署过程很简单,只需要粘贴,复制一些命令就可以完成部署,部署完成后,可以通过开源的协议hpfeeds来收集的信息。 搭建好后,访问3000端口,就会看到默认的世界地图准备就绪(没有数据来源的情况下空白状态): 首先看MHN中心服务器支持的蜜罐终端的类型(还是很丰富):