什麼是 Cowrie?
Cowrie是一個SSH和Telnet蜜罐的媒介交互,用於記錄蠻力攻擊和攻擊者執行的shell交互。Cowrie還充當SSH和telnet代理來觀察攻擊者對另一個系統的行為。因此可以把這個軟件在22端口啟動,然後真是的ssh服務在另外一個端口啟動。如果有黑客入侵你的系統或者服務器,其實進入的是一個虛擬系統,這樣就可以把他們的行為記錄下來。
什麼是蜜罐?
蜜罐技術本質上是一種對攻擊方進行欺騙的技術,通過佈置一些作為誘餌的主機、網絡服務或者信息,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析,瞭解攻擊方所使用的工具與方法,推測攻擊意圖和動機,能夠讓防禦方清晰地瞭解他們所面對的安全威脅,並通過技術和管理手段來增強實際系統的安全防護能力。
蜜罐好比是情報收集系統。蜜罐好像是故意讓人攻擊的目標,引誘黑客前來攻擊。所以攻擊者入侵後,你就可以知道他是如何得逞的,隨時瞭解針對服務器發動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯繫,收集黑客所用的種種工具,並且掌握他們的社交網絡。
Cowrie文檔
https://cowrie.readthedocs.io/en/latest/
Cowrie安裝
1.使用時python開發,因此需要安裝python環境,推薦安裝python3
2.下載代碼:
git clone http://github.com/cowrie/cowrie
3.設置python虛擬環境:
virtualenv --python=python3 cowrie-env
4.修改配置文件
[telnet]
enabled = true
5.啟動
bin/cowrie start
6.監聽22端口
sudo iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2222
7.可以使用守護進程(Supervisord)
/etc/supervisor/conf.d/cowrie.conf
[program:cowrie]
command=/home/lxf/cowrie/bin/cowrie start
directory=/home/cowrie/cowrie/
user=cowrie
autorestart=true
redirect_stderr=true
修改 bin/cowrie>
DAEMONIZE=""
to:
DAEMONIZE="-n"
更詳細文檔參考:https://cowrie.readthedocs.io/en/latest/INSTALL.html#step-1-install-dependencies
Cowrie體驗
docker安裝
docker run -p 2222:2222 cowrie/cowrie
ssh連接
ssh -p 2222 root@localhost
密碼:1234
測試
輸入命令:ls -l / 命令測試
查看Cowrie的日誌輸出
2019-10-09T14:11:08+0000 [SSHChannel session (0) on SSHService b'ssh-connection' on HoneyPotSSHTransport,2,172.17.0.1] Command found: ls -l /
使用putty連接
查看日誌
閱讀更多 閒著沒事聊會 的文章
