cmstop网站内容管理系统(蜜罐免费的蜜罐软件——DecoyMini免费蜜罐工具)

　　cmstop网站内容管理系统(蜜罐免费的蜜罐软件——DecoyMini免费蜜罐工具)

　　蜜罐近年来在实际攻防演练中大放异彩。作为欺骗防御的一项重要技术，它是主动防御的主要手段，也是实战中变被动为主动的最有效方式。使用蜜罐可以有效地改善网络。安全防御能力。蜜罐的核心是模拟能力。能够提供的模拟能力越高，与用户环境的契合度越高，诱捕效果就越好。因此，在部署蜜罐时，往往需要根据部署环境定制蜜罐模拟的各种对象和数据，将自己的一些业务系统站点，如办公系统、ERP系统、信息发布平台等蜜罐。部署，

　　网上已经有很多免费的蜜罐工具，但是这些蜜罐工具大多在功能列表一、上还不够成熟，缺乏持续更新和维护，难以支撑自身业务系统等个性化需求. 模拟。本文介绍一款免费的蜜罐软件——DecoyMini，是一款基于商业蜜罐产品积累的完全免费的蜜罐工具。工具支持主流操作系统，安装使用方便，安全稳定，支持插件模拟模板支持从论坛一键下载模板快速部署蜜罐，并提供自定义能力蜜罐。模拟自己业务系统的蜜罐，

　　本文将介绍使用DecoyMini免费蜜罐工具配置和模拟自家业务系统蜜罐，并演示部署业务系统蜜罐后的攻击诱捕实战效果。

　　1.软件安装

　　免费下载最新版本的 DecoyMini。支持Windows 7/Win10/Windows Server 32/64位、CentOS/Ubuntu/Debian/Kali 32/64位、树莓派等操作系统。读者可以根据自己的操作系统类型选择相应的安装方式。包下载完毕，普通办公电脑的硬件配置就可以正常安装使用了。

　　DecoyMini 支持单节点部署模式和分布式部署模式。本文示例环境采用单节点方式部署。

　　Windows下，以管理员身份运行cmd，输入以下命令进行安装：

　　DecoyMini_Windows_v1.0.xxxx.exe -install

　　Linux下安装，以CentOS 64位为例，赋予安装文件可执行权限，以管理员权限执行以下安装命令：

　　./DecoyMini_Linux_x64_v1.0.xxxx.pkg -install

　　根据需要选择DecoyMini管理终端监控的地址和端口后即可完成DecoyMini安装。

　　安装好DecoyMini软件后，使用安装时配置的IP和端口访问管理终端的登录页面，使用DecoyMini论坛账号或本地预设账号admin登录DecoyMini管理终端。

　　

　　2.创建模拟模板

　　在使用 DecoyMini 部署业务系统蜜罐之前，需要配置业务系统的模拟模板。DecoyMini 支持以下两种方式创建业务系统模拟模板：

　　• 自动创建：指定要模拟的目标业务系统地址，软件自动爬取业务系统网站创建模拟模板，推荐用于信息发布业务系统的自动模拟；

　　•手动创建：手动下载和上传要模拟的目标业务系统站点网页，配置相关模拟参数和访问映射规则，完成模板的手动创建。适用于使用自动创建的页面抓取不完整或需要自定义的模拟内容。场景。

　　自定义仿真模板支持导出共享，可共享至其他DecoyMini环境，实*敏*感*词*奖励。

　　2.1.自动创建

　　DecoyMini提供了自动模拟指定业务系统站点的能力，通过系统内置的网络爬虫自动爬取指定目标网站可以快速生成对应业务系统站点的本地镜像。使用该功能，您可以快速生成自己业务系统的模拟模板，并将其部署为陷阱（蜜罐）。主要操作步骤如下：

　　（1）进入DecoyMini仿真模板管理界面，点击左侧仿真模板树列表中的“添加仿真网站”添加仿真站点：

　　

　　在“模板配置”中配置相关参数，填写要模拟的目标业务系统地址网站（支持http和https），配置网站数据同步周期（单位：天），当值>0 每隔指定天数自动重新爬取业务系统页面更新模板，值为0 不自动爬取更新。

　　

　　（2）完成参数配置后点击“添加”按钮，稍等片刻，等待DecoyMini后台完成网站内容抓取并弹出提示信息，即可完成自定义 网站 模拟模板。添加操作。

　　使用自动创建模式添加的仿真模板，您可以继续手动编辑模板仿真页面的数据和参数，自定义仿真内容。

　　2.2.手动创建

　　手动创建“WEB仿真模板”子模板，将下载的业务系统站点网页打包上传，配置模板的仿真网页数据和访问映射规则，完成模板的手动创建。

　　2.2.1业务系统网页下载

　　使用网站下载工具或浏览器下载功能下载并保存需要模拟的业务系统网站的页面。以浏览器下载保存为例，具体操作方法如下：

　　(1）使用浏览器浏览需要模拟的网页，使用浏览器保存网页功能将网页保存到本地。

　　

　　保存时注意文件名是英文的，保存类型选择保存所有内容。

　　

　　(2）对于保存的网页文件，可以根据需要自定义网页内容，处理后将网页和依赖图片等资源文件打包成zip格式。

　　

　　(3）把打包好的zip文件的名字改成res_package.zip以后用(res_package.zip是DecoyMini仿真模板资源文件的压缩包的保留名。当上传的压缩包文件名是这个名称，它会自动将包中的文件解压缩到“数据文件”目录）。

　　2.2.2创建仿真子模板

　　（1）登录DecoyMini管理中心，切换到“模拟模板”界面，点击WEB模拟模板“创建子模板”，新建WEB模拟子模板。

　　

　　输入子模板信息后，完成子模板创建操作。

　　

　　(2）在左侧模板列表中选择新建的子模板，切换到“资源文件”选项卡，在资源文件左侧的目录树中选择“数据文件”，打包将新创建的资源文件放入 res_package .zip 文件中进行上传。

　　

　　上传完成后，可以在文件列表中看到res_package.zip压缩包解压后的所有文件列表。

　　

　　(3）上传资源文件后，点击“应用”按钮应用资源文件，应用的资源文件数据将被蜜罐使用。

　　

　　(4）点击“参数设置”选项卡查看当前模板中已配置的参数。“动态分析”类型的参数软件会根据攻击者的访问请求动态解析。在响应中数据配置，可以使用""{{参数标识符}}"格式引用对应参数的值。

　　

　　(5）切换到“响应数据”选项卡，配置攻击者的访问请求与资源文件的关联，可以根据不同的请求配置响应的对应模拟数据。

　　

　　在本例中，攻击者的访问根路径与资源文件中的 index.html 文件相关联。配置方法是：编辑“响应数据”列表中名为“Home”的响应数据项，将请求路径配置为“/”。响应数据选择“数据文件”并输入“index.html”并保存。然后蜜罐在收到攻击者访问“/”路径的请求时会响应数据文件中index.html文件的内容。

　　

　　其他访问路径对应的响应数据可以参照上述方法依次配置。多重响应数据将从第一个匹配到匹配；

　　2.2.3配置记录登录账号

　　除了在部署业务系统蜜罐时注意要访问哪些IP，记录攻击者尝试登录业务系统的账号，也有助于追踪攻击者的来源。DecoyMini 支持通过接口进行排列和配置，实现记录攻击者试图登录业务系统的账号功能。

　　根据上节配置的仿真模板，配置攻击者的登录用户名、密码获取参数、有效用户名和密码。参数标识符配置为post.userId，从POST数据中提取名为userId的值，post.password从POST数据中提取名为password的值，有效登录账号配置为admin/123456。

　　

　　在响应数据部分增加了与登录请求相关的响应配置。

　　

　　几种关键响应数据配置方法描述如下：

　　(1）修改业务系统登录页面的代码，攻击者进行登录操作时，调用login.js中的登录函数，将登录用户名和密码POST到地址"/ api/user/login”。如果服务器响应状态码为200，则跳转到业务系统的主页面，否则会显示登录失败信息。

　　

　　(2）响应登录请求：判断请求的路径是否为“/api/user/login”，登录用户名和密码为预设的用户名和密码，登录成功的响应状态数据。

　　

　　配置接收登录请求后记录登录日志，同时记录登录用户名和密码。

　　

　　(3）当发送的登录请求的用户名和密码与预设的用户名和密码不匹配时，登录失败，响应登录失败状态和错误信息，并配置日志。

　　

　　(4）配置) 输入预设的用户名和密码后，将显示指定业务系统的主界面。

　　

　　登录账号的完整配置内容请参考DecoyMini内置“WEB业务系统示例”的模拟模板。

　　2.2.4帖子模板

　　编辑并确认仿真模板的基本信息，如模板名称、事件日志类型、类别、描述等。编辑完成后即可“发布”仿真模板，发布的仿真模板可在诱捕策略。

　　

　　3.部署蜜罐

　　配置好业务系统模拟模板后，切换到“Trapping Policy”界面部署蜜罐。DecoyMini支持虚拟IP技术，支持在一个蜜罐上虚拟多个IP模拟多台主机，快速搭建蜜罐组，有效提高蜜罐覆盖率，以更小的部署资源最大化攻击和诱捕效果。

　　

　　（1）添加trap（蜜罐），选择刚刚发布的业务系统模拟模板，配置IP、*敏*感*词*端口、协议等环境参数）对外访问蜜罐。

　　

　　蜜罐的“*敏*感*词*内的空闲IP，蜜罐可以直接部署在这个空闲IP上，例如10.1. 18. in network 84 如果不使用这个IP，可以配置外部访问IP为10.1.18.84。蜜罐部署完成后，攻击者可以通过10.1.18.84可以访问这个业务系统蜜罐。

　　DecoyMini 支持动态端口功能。配置端口时，它支持特定的端口、端口列表或端口范围。当端口配置为端口列表或端口范围时，蜜罐会在运行时自动选择一个随机端口部署蜜罐。

　　访问业务系统的蜜罐协议支持HTTP或HTTPS。DecoyMini 有一个内置的默认 SSL 证书。如果需要自定义，可以将新建的证书文件和密钥文件命名为server.crt和server.key，替换模拟模板资源文件。“配置文件”目录中的同名文件。

　　(2）配置好部署蜜罐的必要参数后，点击“确定”保存蜜罐配置。

　　（3）点击“应用”按钮，将诱捕策略发送到诱捕探针，生成对应的蜜罐。

　　

　　4.部署效果

　　在DecoyMini上部署蜜罐后，通过浏览器访问诱捕策略中配置的地址即可访问模拟业务系统站点。

　　

　　下面是作者模拟攻击者的请求，展示业务系统蜜罐对攻击的诱捕效果。

　　4.1.攻击事件日志

　　攻击者访问业务系统蜜罐时，可以在系统的风险事件中查看相关的风险事件告警信息。DecoyMini支持关联分析和相似事件的自动合并，可以有效减少告警数量，提高告警准确率，从而大大降低安全运维的投入。

　　风险事件的详细信息收录两部分：事件详细信息和相关陷阱日志列表。

　　事件详情显示风险事件名称、描述、类型、合并次数、攻击源IP、攻击目的IP、匹配关联分析规则名称、威胁影响及解决方案、风险事件合并开始时间和结束时间等属性.

　　相关陷阱日志显示与此风险事件关联的陷阱日志列表：

　　完整的攻击日志信息可以在系统的“trap log”中查看；模拟模板配置了记录攻击账户的功能。当攻击者尝试登录业务系统时，可以在相应的陷阱日志中查看该尝试登录的账号信息。包括用于登录的用户名和密码。

　　4.2.攻击警告

　　当攻击者访问业务系统的蜜罐时，DecoyMini支持配置多种预*敏*感*词*式及时通知安全管理人员，包括邮件告警、弹窗告警、企业微信、钉钉等，还支持Syslog格式. 将告警信息输出到其他系统，实现攻击的联动处理。

　　采用自动预警通知，以极少的资源和人力投入，实现7x24小时不间断远程值守，安全管理人员随时随地轻松掌握网络风险状况。

　　4.3.攻击过程分析

　　在查看风险事件详情或诱捕日志中的日志详情时，除了查看诱捕日志的详细信息外，还支持以“时间轴”方式按时间顺序显示攻击者的详细操作，还原完整流程的攻击。

　　在风险事件或 Trap 日志界面，点击 Trap（蜜罐）链接，可以查看攻击 Trap 的 IP Profile。配置文件直观地展示了蜜罐攻击的源IP分布和攻击频率。

　　点击事件列表或事件详情中的“被攻击IP”，显示被攻击IP对应的图片。该图显示了针对 IP 的攻击来源和被攻击蜜罐的范围。

　　4.4.攻击溯源

　　DecoyMini不仅可以对攻击进行监控和感知损失，还具有对攻击源头的追溯能力。攻击者访问部署的业务系统蜜罐后，通过业务系统蜜罐内置的反制脚本，可以自动获取攻击者主机的各种特征信息，包括真实IP、主机特征、浏览器特征等。同时，DecoyMini已与盛邦安全的网络空间资产检测平台进行联动，可自动查询攻击IP所在主机最近开放的端口和服务，为追踪攻击者真实身份提供多维度数据支持。攻击者。

　　点击事件列表或事件详情中的“攻击IP”，显示对应攻击IP的图像，包括攻击者的地理信息、攻击范围、主机特征、浏览器特征、该主机开启的服务等。

　　点击画像上使用的基本信息、主机特征、浏览器特征、服务等，深入了解攻击IP对应的攻击者特征细节；单击攻击目标的IP或陷阱，可以钻取到该IP作为攻击目标。攻击产生的风险事件列表和详细的捕获日志。

　　5.总结

　　面对当前严峻的网络安全形势，及时发现更多隐蔽、多样化的攻击，需要创新网络安全防御手段。通过在网络上部署蜜罐，基于攻防思想，从攻击者的角度发现威胁，有效弥补传统网络安全防御方案的弱点，构建网络主动感知能力威胁，并帮助改进网络安全监控、响应和防御。能力。

　　本文介绍了使用 DecoyMini 部署业务系统蜜罐的基本方法。读者可以参考配置满足自己需求的业务系统蜜罐。DecoyMini作为一款优秀的国产免费蜜罐软件，具有丰富的攻击诱捕和溯源分析功能，提供灵活的蜜罐定制能力，支持蜜罐群的快速组建。是企业零成本构建欺骗防御能力的有力工具。值得一试企业部署。