创建虚拟蜜罐主机，轻松诱捕黑客

Honeyd的安装方法很简单，本文不再赘述。这里以创建两台虚拟蜜罐主机为例，来说明如何使用 Honeyd。 进 入“/usr/local/share/honeyd” 目录，其中保存有Honeyd的配置文件信息。执行“vim honeyd.conf”命令，在初始状态下，该文件内容为空。输 入“create default”、“set default default tcp action block”、“set default default udp action block”、“set default default icmp action block”行，作用是丢弃所有发送来的TCP/UDP/ICMP数据包，这起到启动屏蔽Ping探测或黑客扫描的作用，用来模拟防火墙的功能。

输 入“create honeydtemplate”、“set honeydtemplate ethernet "xxxx-xx-xx-xx-xx"”行，创建名为“honeyd-template”的模式，并对其进行属性设定，设置该虚拟蜜罐机的MAC地址，这里“xx-xx-xx-xx-xxxx”代表具体的MAC地址，主要用来迷惑黑客。输入“set honeydpot-template personality "Microsoft Windows NT 40 SP3"” 行，用来设置指纹信息，模拟出一台Windows服务器。输入“set honeydpot-template uptime 1234567” 行， 来模拟时间戳信息。输入“set honeydpot-template default tcp action reset”、“set honeydpottemplate default udp action reset”命令，设置该蜜罐用来应答TCP扫描时回答RST信息。这里的“reset”表示默认状态下关闭所有的接口。

输 入“set honeydpottemplate default icmp action reset”行，作用是响应黑客针对该蜜罐的Ping探测。输入“add honeydpottemplate tcp port 135 open”、“add honeydpottemplate tcp port 139 open”、“add honeydpottemplate tcp port 445 open”、“add honeydpottemplate tcp port 3389 block”、“add honeydpottemplate tcp port 53 proxy 221.9.71.99:53”行，分别为该蜜罐开启TCP 135/139/445/53端 口，同时使其模拟DNS代理信息，并屏蔽TCP3389端口。输入“bind 192.168.1.100 honeyd-template”、“bind 192.168.1.101 honeydtemplate”行，分别使用空闲的IP来绑定两台蜜罐主机。

当然，可以绑定更多的蜜罐主机。之后保存 该 文 件，进 入“/usr/localbin/” 目 录， 执行“arpd 192.168.100-192.168.1.101”命令，来虚拟出这两个空闲的IP。执行“honeyd -d -f /usr/local/share/honeyd/honeyd.conf 192.168.1.100-192.168.1.101”命令，使用预设的配置文件来启动上述两台蜜罐主机。如果有黑客对上述虚拟蜜罐主机进行Ping探测，Honeyd就会显示这些探测信息，并显示其来源IP。当黑客使用扫描工具对蜜罐进行探测时，Honeyd就会对其做出动态响应，并显示黑客的源IP信息。按照上面的介绍，可以创建虚拟蜜罐来迷惑和追踪黑客，但是这些方法对于小型网络比较适合，对于大中型网络来说，这种手工设置Honeyd蜜罐的方法就显得有些不太适合。因为在大中型网络中，主机的数量很多，而且一般采用通过DHCP服务的方法来获取IP，如果采用手工方法为虚拟蜜罐绑定IP，就很容易出现IP冲突的情况。

利用Honeyd服务，实现自动应答

虽然Honeyd提供了复杂的方法来响应网络流量。但对于成熟的蜜罐来说，往往需要和攻击者进行对话。利用Honeyd服务，可以实现该功能。执行“sudo gedit /usr/share/honeyd/scripts/hello.sh”命 令，编辑该脚本，输入“#!/bin/sh”，“echo "hello you!"”、“while read data”、“do”、“echo "$data"”、“done”等行，设计一个简单的脚本，其功能是将输入的内容进行回显。执行“sudo chmod 777 /usr/share/honeyd/scripts/hello.sh”命令，为其设置最大的访问权限。

执行“sudo gedit /etc/test.conf”命令，然后在编辑窗口中逐行输入“create default”、“set default default tcp action block”、“set default default udp action block”、“set default default icmp action block”、“create linuxtemplate”、“set linuxtemplate personality"Linux 2.4.20"”、“set linux-template ethernet"cisco"”、“set linuxtemplate default tcp action reset”、“add linuxtemplate tcp 23 "usr/share/honeyd/scripts/web.sh"”、“dhcp linuxtemplate on eth1”，其功能与上述基本一致，所不同的是开启了TCP 20端口，来模拟Telnet服务。执行“sudo honeyd -d -f /etc/honeyd.conf”命令，来启动 Honeyd。其中的“-d”参数表示回显检测信息，“-f”参数表示使用指定的配置文件。

这样，当攻击者对其进行Telnet连接时，会在屏幕上自动回显其输入的内容。当然，这是一种简单的交互，在实际操作时，可以设计更加复杂的脚本，来对黑客进行迷惑和跟踪。

隐藏蜜罐主机

当使用Honeyd创建虚拟蜜罐后，对攻击者来说是可以对其扫描的。但对网管员来说，在扫描时是不希望看到这些蜜罐的。使用Honeyd动态模版可实现该功能。按照上述方法编写Honeyd配置文件，在“create linux-template”行的前面添 加“create invisible”、“set invisible tcp action block”、“set invisible udp action block”、“set insivible icmp action block” 行，创 建 名 为“invisible”的模版，用来屏蔽所有连接。该“insivible”模版其实就是一台蜜罐，只是对外界是不可见的。

在“create linuxtemplate”模版中添加“add linux-template tcp port 21 open”、“add linux-template tcp port 80 open”等行来开放指定端口。这里的“linuxtemplate”模式是一台蜜罐，对外界是可见的。之后添加“dynamic magichost”行。创建名为“magichost”的动态模版，添加“set magichost personality "CentOS 6.5"”行，为虚拟CentOS 6.5的主机。 添 加“set magichost ethernet "cisco"”、“add magichost use invisible if source ip=xxx.xxx.xxx.xxx”行表示调用“invisible”模版应答。

这实际上是不允许指定IP的主机扫描到该蜜罐主 机，“xxx.xxx.xxx.xxx”为该机的IP。添加“add magichost otherwise use linux-template”行，是 对其余主机访问，使用上述“linux-template”模版来应答。添加“dhcp magichost on eth1”行，来自动获取IP。执行“sudo honeyd -d -f /etc/honeyd.conf”命令启动Honeyd。这样，当拥有指定IP的主机对“invisible”模版的蜜罐主机进行扫描时，该蜜罐不会响应。

使用动态模版，实现定时开关机

使用Honeyd动态模版可实现定时开关机功能，实现更逼真模拟。在上一个Honeyd配置文件的基础上进行改进，在文件尾部添加“dynamic magichost2”行，创建名为“magichost2”的模版，添加“set magichost personality"FreeBSD 4.6"” 行 模拟FreeBSD主 机。 添 加“set magichost2 ethernet"dell"”、“add magichost2 use invisible if time betwween "23:00:00pm"-"23:59:59pm"”、“add magichost2 use invisible if time between "00:00:00am"-"8:00:00amm"行表示在指定时间段内，使用“invisible”模版屏蔽所有连接，来模拟关机的作用。添加“add magichost otherwise use linux-template”、“dhcp magichost2 on eth1”行，在其余时间段内使用“Linuxtemplate”模版来正常响应外界扫描。执行“sudo honeyd-d -f /etc/honeyd.conf”命令来启动Honeyd。这样，在指定时间段内，当黑客对其进行扫描时，该蜜罐不会响应，而在其余时间段则可以正常响应。

使用动态模版，区分不同主机

除使用蜜罐对付黑客外，还可诱捕蠕虫。蠕虫通常只对特定系统进行破坏。使用Honeyd动态模版可以实现模拟行为。这里继续在上面的Honeyd配置文件上进行修改，在其尾部添加“create winsrv”、“set winsrv personality "Microsoft Windows NT 4.0 SP3"”、“set winsrv ethernet "dell"”、“set winsrv default tcp action reset”、“add winsrv tcp 21 open”、“add winsrv tcp 25 open”、“add winsrv tcp 80 open”、“dhcp winsrv on eth1”等行，创建名为“winsrv”的模版，实际上就是一台虚拟蜜罐主机。

另起一行添加“dynamic wormhost”、“set wormhost ethernet "Microsoft"”、“add wormhost use winsrv if source os ="windows"”行，创建名为“wormhost”的动态模版，如果来源主机IP采用的是Windows系统，则使用上述“winsrv”模版应答。 添 加“add wormhost use linux if source os="linux-template"”、“add wormhost other use default”、“ahcp wormhost on eth1”行，当 Linux系统主机访问时，使用名为“linux-template”的模版应答，其他类型主机访问时使用名为“default”模版应答。

执 行“sudo honeyd -d-f /etc/honeyd.conf”命令来启动Honeyd。这样，Honeyd会根据攻击者使用的系统来调用不同的虚拟蜜罐来应答。注意，对于蜜罐所模拟的系统来说，其指纹信息不是随意设置的，例如“Microsoft Windows NT 4.0 SP3”等就是模版指纹信息。

配置和管理Honeyd的日志信息

Honeyd的日志分为数据包级和服务级日志两种类型，例如执行“sudo honeyd-d -f /etc/ceshi.conf”命令，当黑客执行扫描时，就会在Honeyd主机上显示检测到的信息，这就是数据包级的日志。如果在启动Honeyd时，不使用“-d”参数，则会将日志信息存储到“/var/log/message”文件中。执行“sudu cat /var/log/message”命令，可以查看该文件信息，注意该文件中还保存着其他的日志信息。

为便于集中管理Honeyd日 志，可 以 执 行“sudo honeyd -l /etc/honeyd.log-f /etc/ceshi.conf”之类的命令来启动Honeyd，并将其日志信息单独导出到指定文件。当然，该文件必须让用户拥有读写权限。执行“sudo touch /etc/honeyd.log”命令，创建该日志文件。执 行“sudo chmod 777 /etc/honeyd.log”命令，设置最高访问权限。打开该日志文件，可以查看捕获的黑客扫描数据包信息。对于服务级的日志来说，运行的格式为“sudo honeyd -s /etc/honeydsrv.log -f /etc/ceshi.conf”，其中的“/etc/honeydsrv.log”为具体的日志文件路径。在该日志文件中包含日期、协议、源IP和端口、目标IP和端口以及数据信息。