在CentOS 5(使用gcc 4.x)下安装Honeyd 1.5c和Arpd 0.2
本教程将介绍如何使用Honeyd(Virtual Honeypot)来安装蜜罐 。 Honeyd是在网络上创建虚拟主机的小型守护程序。 主机可以配置为运行任意服务,并且可以对其个性进行调整,使其显示为运行某些操作系统。
介绍
传统上,信息安全主要是防御性的。 防火墙,入侵检测系统,加密; 所有这些机制都用于防御资源。 策略是尽可能地保卫自己的组织,发现任何防守失败,然后对这些失败作出反应。 这种做法的问题是纯粹是防御性的,敌人有主动性。 在计算机术语中,Honeypot是用于检测,偏转或以某种方式抵制未经授权使用信息系统的尝试的陷阱。 通常它由计算机,数据或网络站点组成,其似乎是网络的一部分,但实际上是被隔离和监视的,并且似乎包含对攻击者的信息或资源。
本教程将介绍如何在CentOS 5.5服务器上编译和安装honeyd 1.5c。 我不会保证这将为您工作!
初步说明
在本教程中,我将使用以下主机:
*主机服务器: 192.168.245.128
*虚拟Honeypot1: 192.168.245.200
*虚拟Honeypot2: 192.168.245.201
这是一个小图,显示我们的设置:
主机IP = 192.168.245.128
192.168.245.200 192.168.245.201
------- + ------------ + --------
| |
+ - + - + + - + - +
| hp1 | | hp2 |
+ ----- + + ----- +
虚拟虚拟
Honeypot1Honeypot2
制备
你需要删除libdnet和libevent包,否则你将无法编译honeyd(见注)
yum remove libevent libevent-devel libdnet libdnet-devel
yum install autoconf gcc python-devel
注意:由于honeyd中有一些不一致,请勿使用最新版本的libevent和libdnet
下载所需的软件包
在安装honeyd之前,需要下载几个包。
cd /tmp
wget http://monkey.org/~provos/libevent-1.3a.tar.gz
wget http://space.dl.sourceforge.net/project/libdnet/libdnet/libdnet-1.11/libdnet-1.11.tar.gz
wget http://www.citi.umich.edu/u/provos/honeyd/arpd-0.2.tar.gz
重要提示:不要下载最新版本的libevent和libdnet,因为honeyd有一些不一致之处。
安装所需的软件包
cd /tmp
tar -xvf libevent-1.3a.tar.gz
cd libevent-1.3a
./configure
make
make install
cd /tmp
tar -xvf libdnet-1.11.tar.gz
cd libdnet-1.11
./configure
make
make install
下载Arpd更新包
对于arpd-0.2在gcc 4.0.0下编译,文件arpd.c必须被修改。 将其替换为伊朗Honeynet Project网站,然后编译安装。
cd /tmp
tar -xvf arpd-0.2.tar.gz
cd arpd
wget http://www.honeynet.ir/software/honeyd/arpd.c
./configure
make
make install
运行arpd
Arpd是一个守护进程,用于监听未分配的IP地址的ARP请求和答案。 使用Arpd与Honeyd结合使用虚拟Honeypot可以在生产网络中填充未分配的地址空间。
/usr/local/sbin/arpd '192.168.245.200-192.168.245.201'
安装Honeyd 1.5c
cd /tmp
wget http://www.honeyd.org/uploads/honeyd-1.5c.tar.gz
tar -xvf honeyd-1.5c.tar.gz
cd honeyd-1.5c
./configure
make
make install
配置Honeyd
cd /usr/local/share/honeyd
cp -v config.ethernet honeyd.conf
vi honeyd.conf
一些配置可以概述Honeyd.org网站中提供的功能。
这是示例配置:
create default set default default tcp action block set default default udp action block set default default icmp action block create honeypot-template set honeypot-template ethernet "00:22:FA:cc:dd:ee" set honeypot-template personality "Microsoft Windows XP SP2" set honeypot-template uptime 1234567 set honeypot-template default tcp action reset set honeypot-template default udp action reset set honeypot-template default icmp action open add honeypot-template tcp port 135 open add honeypot-template tcp port 139 open add honeypot-template tcp port 445 open add honeypot-template tcp port 3389 block add honeypot-template tcp port 53 proxy 8.8.8.8:53 bind 192.168.245.200 honeypot-template bind 192.168.245.201 honeypot-template
重要提示:IP地址应与主机相同,或者您应修改路由器的路由表,以允许发往这些IP地址的数据包到达您的Honeypot主机。
配置Linux防火墙
修改防火墙的规则以接受honeyd配置文件中定义的IP地址的数据包。 你应该有这样的东西:
$IPTABLES -A INPUT -d 192.168.245.200 -j ACCEPT
$IPTABLES -A INPUT -d 192.168.245.201 -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
运行Honeyd
/usr/local/bin/honeyd -d -f /usr/local/share/honeyd/honeyd.conf -p /usr/local/share/honeyd/nmap.prints -x /usr/local/share/honeyd/xprobe2.conf -a /usr/local/share/honeyd/nmap.assoc --disable-webserver '192.168.245.200-192.168.245.201'
测试Honeyd
仅从主机外的IP地址运行此测试。
nmap -T4 -A -v 192.168.245.200
链接
伊朗Honeynet项目 : http : //www.honeynet.ir/
Honeynet项目 : http : //www.honeynet.org
Honeypot : http : //en.wikipedia.org/wiki/Honeypot_(computing)
Honeyd虚拟Honeypot: http : //honeyd.org/
CentOS : http : //www.centos.org/
