安装Honeyd 1.5c和Arpd 0.2在CentOS 5(与gcc 4.x)

在CentOS 5(使用gcc 4.x)下安装Honeyd 1.5c和Arpd 0.2

本教程将介绍如何使用Honeyd(Virtual Honeypot)来安装蜜 。 Honeyd是在网络上创建虚拟主机的小型守护程序。 主机可以配置为运行任意服务,并且可以对其个性进行调整,使其显示为运行某些操作系统。

介绍

传统上,信息安全主要是防御性的。 防火墙,入侵检测系统,加密; 所有这些机制都用于防御资源。 策略是尽可能地保卫自己的组织,发现任何防守失败,然后对这些失败作出反应。 这种做法的问题是纯粹是防御性的,敌人有主动性。 在计算机术语中,Honeypot是用于检测,偏转或以某种方式抵制未经授权使用信息系统的尝试的陷阱。 通常它由计算机,数据或网络站点组成,其似乎是网络的一部分,但实际上是被隔离和监视的,并且似乎包含对攻击者的信息或资源。

本教程将介绍如何在CentOS 5.5服务器上编译和安装honeyd 1.5c。 我不会保证这将为您工作!

初步说明

在本教程中,我将使用以下主机:

*主机服务器: 192.168.245.128
*虚拟Honeypot1: 192.168.245.200
*虚拟Honeypot2: 192.168.245.201

这是一个小图,显示我们的设置:

主机IP = 192.168.245.128

192.168.245.200 192.168.245.201
------- + ------------ + --------
| |
+ - + - + + - + - +
| hp1 | | hp2 |
+ ----- + + ----- +
虚拟虚拟
Honeypot1Honeypot2

制备

你需要删除libdnet和libevent包,否则你将无法编译honeyd(见注)

yum remove libevent libevent-devel libdnet libdnet-devel 
yum install autoconf gcc python-devel

注意:由于honeyd中有一些不一致,请勿使用最新版本的libevent和libdnet

下载所需的软件包

在安装honeyd之前,需要下载几个包。

cd /tmp
wget http://monkey.org/~provos/libevent-1.3a.tar.gz
wget http://space.dl.sourceforge.net/project/libdnet/libdnet/libdnet-1.11/libdnet-1.11.tar.gz
wget http://www.citi.umich.edu/u/provos/honeyd/arpd-0.2.tar.gz

重要提示:不要下载最新版本的libevent和libdnet,因为honeyd有一些不一致之处。

安装所需的软件包

cd /tmp
tar -xvf libevent-1.3a.tar.gz
cd libevent-1.3a
./configure
make
make install

cd /tmp
tar -xvf libdnet-1.11.tar.gz
cd libdnet-1.11
./configure
make
make install

下载Arpd更新包

对于arpd-0.2在gcc 4.0.0下编译,文件arpd.c必须被修改。 将其替换为伊朗Honeynet Project网站,然后编译安装。

cd /tmp
tar -xvf arpd-0.2.tar.gz
cd arpd
wget http://www.honeynet.ir/software/honeyd/arpd.c
./configure
make
make install

运行arpd

Arpd是一个守护进程,用于监听未分配的IP地址的ARP请求和答案。 使用Arpd与Honeyd结合使用虚拟Honeypot可以在生产网络中填充未分配的地址空间。

/usr/local/sbin/arpd '192.168.245.200-192.168.245.201'

安装Honeyd 1.5c

cd /tmp
wget http://www.honeyd.org/uploads/honeyd-1.5c.tar.gz
tar -xvf honeyd-1.5c.tar.gz
cd honeyd-1.5c
./configure
make
make install

配置Honeyd

cd /usr/local/share/honeyd 
cp -v config.ethernet honeyd.conf
vi honeyd.conf

一些配置可以概述Honeyd.org网站中提供的功能。

这是示例配置:

create default
set default default tcp  action block
set default default udp  action block
set default default icmp action block
create honeypot-template
set honeypot-template  ethernet "00:22:FA:cc:dd:ee"
set honeypot-template  personality "Microsoft Windows XP SP2"
set honeypot-template  uptime 1234567
set honeypot-template  default tcp  action reset
set honeypot-template  default udp  action reset
set honeypot-template  default icmp action open
add honeypot-template  tcp port 135  open
add honeypot-template  tcp port 139  open
add honeypot-template  tcp port 445  open
add honeypot-template  tcp port 3389 block
add honeypot-template  tcp port 53 proxy 8.8.8.8:53
bind 192.168.245.200 honeypot-template
bind 192.168.245.201 honeypot-template

重要提示:IP地址应与主机相同,或者您应修改路由器的路由表,以允许发往这些IP地址的数据包到达您的Honeypot主机。

配置Linux防火墙

修改防火墙的规则以接受honeyd配置文件中定义的IP地址的数据包。 你应该有这样的东西:

$IPTABLES -A INPUT -d 192.168.245.200 -j ACCEPT 
$IPTABLES -A INPUT -d 192.168.245.201 -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

运行Honeyd

/usr/local/bin/honeyd -d -f /usr/local/share/honeyd/honeyd.conf -p /usr/local/share/honeyd/nmap.prints -x /usr/local/share/honeyd/xprobe2.conf -a /usr/local/share/honeyd/nmap.assoc --disable-webserver '192.168.245.200-192.168.245.201'

测试Honeyd

仅从主机外的IP地址运行此测试。

nmap -T4 -A -v 192.168.245.200

链接

伊朗Honeynet项目http//www.honeynet.ir/
Honeynet项目http//www.honeynet.org
Honeypothttp : //en.wikipedia.org/wiki/Honeypot_(computing)
Honeyd虚拟Honeypot: http : //honeyd.org/
CentOShttp : //www.centos.org/

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏