详细部署dionaea低交互式蜜罐和记录分析（二）

上一篇文章中：详细部署dionaea低交互式蜜罐和记录分析（一），分析了安装过程和部分配置，准备工作都已完毕，下面就开始进行高级配置和简便快捷安装方法。

一、dionaea.conf模块自定义高级配置

我们先来看下moudle节点，用来配置dionaeae所使用的工具模块，重点是ihandler段和services段，下面来看下这两个段的默认配置：

ihandlers = {             handlers = ["ftpdownload", "tftpdownload", "emuprofile", "cmdshell", "store", "uniquedownload",              "logsql", //            "virustotal", //            "mwserv", //            "submit_http", //            "logxmpp", //            "nfq", //            "p0f", //            "surfids", //            "fail2ban"             ]         }          services = {             serve = ["http", "https", "tftp", "ftp", "mirror", "smb", "epmap", "sip","mssql", "mysql"]         }

可以看到，在ihandlers的配置中，已经默认开启了使用SQLite数据库作为数据存储，另外几项重要的如mwserv，logxmpp，p0f，这些在（三）里面会详细说明。另外从services配置中，模拟开启了多项服务，可以选择不必要的禁用掉，下面是重要服务的说明：

Tftp：接收任意文件传输以及检测针对tftp服务利用漏洞的攻击细节。

ftp：允许任意登陆并截取所有上传的文件。

Smb和epmap：Server Message Block和endpoint map，大多数被针对攻击的对象。

http和https：web服务，服务端存储在$wwwroot/var/dionaea/wwwroot/目录下。（$wwwroot是web的目录）

了解基本服务后可以选择不需要的进行注释或者删除来禁用，比如禁用ftp前面加上// 注释即可。

二、IP地址的片段化访问匹配

先来看如下默认配置：

mode = "getifaddrs"     addrs = { eth0 = ["::"] } }

我们可以设置为manual手动模式，只需把getifaddrs改成manual即可，但是需要提供具体的IP片段和接口给dionaea，继续看。

看对应的规则，如图（PS：貌似这是这部分文章的第一张图片吧。;)–）：

因为dionaea默认是绑定所有的IPV4和IPV6的地址，如果迭代的话在初始化会相当浪费时间，有需要的话可以修改成上述的手动模式，自定义绑定的IP地址和分散片段，这需要自己定义IP片段和接口，对于定义规则可能有些朋友不懂，简单写了几个配置规则举例，仅供修改参考：

//在eth1绑定所有的IPV4H和IPV6地址：   addrs = { eth1 = [“::”], eth1 = [“0.0.0.0”] }

//在eth1绑定所有的IPV6地址：   addrs = { eth1 = [“::”] }

//在eth2绑定.99，在eth1绑定所有的IPV4地址：   addrs = { eth2 = [“192.168.1.99”], eth1 = [“0.0.0.0”] }

//在eth2绑定.99和.101：   addrs = { eth2 = [“192.168.1.99”, “192.168.1.101”] }

//在eth1绑定所有的IPV4地址：   addrs = { eth1 = [“0.0.0.0”] }

绑定IPV6用：：，IPV4则是0.0.0.0，单个IP片段则是逗号分隔IP地址，可以按照自己的应用或者实验进行混合匹配。

三、快捷安装配置dionaea

root@ruo~# add-apt-repository ppa:honeynet/nightly root@ruo:~# apt-get update root@ruo:~# apt-get install dionaea

/etc/dionaea/dionaea.conf.dist 需要移动下

root@ruo:~# mv /etc/dionaea/dionaea.conf.dist /etc/dionaea/dionaea.conf

配置文件中指定了目录例如：

tftp = {             root = "var/dionaea/wwwroot"

TFTP服务的目录指定到了var/dionaea/wwwroot 建立目录给权限

root@ruo:~# mkdir -p /var/dionaea/wwwroot root@ruo:~# mkdir -p /var/dionaea/binaries root@ruo:~# mkdir -p /var/dionaea/log root@ruo:~# chown -R nobody:nogroup /var/dionaea/

然后替换成绝对地址

root@ruo:~# sed -i 's/var/dionaea///g' /etc/dionaea/dionaea.conf root@ruo:~# sed -i 's/log///var/dionaea/log//g' /etc/dionaea/dionaea.conf root@ruo:~# cat /etc/dionaea/dionaea.conf | grep /var/di         file = "/var/dionaea/log/dionaea.log"         file = "/var/dionaea/log/dionaea-errors.log" root@ruo:~#

OK，var已经被替换成 /var了。下面贴图

启动dionaea：

查看监听：

查看伪造的服务：

[via@nandi]