SSH蜜罐:kippo的详细介绍
什么是SSH蜜罐:kippo?
Kippo是一个SSH蜜罐,它模拟了一个SSH服务器,并记录了尝试登录的用户的所有操作。Kippo的目的是在没有实际系统的情况下引诱攻击者访问一个虚假的系统。在攻击者尝试登录之后,Kippo记录了所有的输入和输出,并以易于阅读的方式呈现出来。
Kippo的安装步骤
Kippo的安装相对较简单,只需几步即可完成。
步骤1:下载Kippo
可以从该仓库下载最新版本的Kippo源码。
$ git clone https://github.com/desaster/kippo.git
步骤2:安装依赖
Kippo依赖于Python-twisted、Python-pycrypto、Python-zope.interface。在安装Kippo之前,请确保这三个包已经安装在系统中。
$ sudo apt-get install python-twisted python-pycrypto python-zope.interface
步骤3:配置Kippo
Kippo需要一些配置文件来运行:
cp kippo.cfg.dist kippo.cfg
修改kippo.cfg文件中的监听IP和端口信息:
[honeypot]
listen_address = 0.0.0.0
listen_port = 2222
步骤4:运行Kippo
$ twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid
示例
示例1:尝试登录并查看记录
在运行Kippo后,使用ssh客户端连接到机器的IP地址和端口2222,然后尝试使用任何帐户密码进行身份验证。Kippo将记录登录尝试并将其保存到log/tty/目录下。以下是一个示例:
$ ssh root@IP地址 -p 2222
root@IP地址's password:
zheshiceshipwd
登录失败,Kippo将记录以下信息:
[2014-11-11 08:35:53+0800] SSHService SSH session started
[2014-11-11 08:35:53+0800] avatar session closed
[2014-11-11 08:35:53+0800] avatar Conch closed connection (None)
[2014-11-11 08:35:53+0800] input EOFReceived
[2014-11-11 08:35:53+0800] log Closed shell.transport.session.conn.transport.getPeer().host.
[2014-11-11 08:35:53+0800] log Closed transport.session.conn.transport mapping.
[2014-11-11 08:35:53+0800] SSHService SSH session closed
示例2:查看日志
在log/kippo.log中查看完整日志:
[...]
2014-11-11 08:33:15+0800 [SSHService ssh-connection on HoneyPotTransport,10,0.0.0.0] bad login attempt [zheshiceshipwd] (admin)
2014-11-11 08:33:23+0800 [SSHService ssh-connection on HoneyPotTransport,11,0.0.0.0] bad login attempt [password] (admin)
2014-11-11 08:33:41+0800 [SSHService ssh-connection on HoneyPotTransport,12,0.0.0.0] bad login attempt [ubuntu] (admin)
2014-11-11 08:34:02+0800 [SSHService ssh-connection on HoneyPotTransport,13,0.0.0.0] bad login attempt [test] (admin)
2014-11-11 08:34:11+0800 [SSHService ssh-connection on HoneyPotTransport,14,0.0.0.0] bad login attempt [test123] (admin)
2014-11-11 08:34:16+0800 [SSHService ssh-connection on HoneyPotTransport,15,0.0.0.0] bad login attempt [password] (admin)
[...]
综合评价
Kippo是一个功能齐全、易于安装的SSH蜜罐。它具有记录所有攻击者输入和输出的能力,并以易于阅读的方式呈现出来。此外,它还提供了许多管理和配置选项,以及一个二进制log格式的完整日志。需要注意的是,在生产系统中安装Kippo可能会导致安全隐患,应当谨慎使用。
本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:SSH蜜罐:kippo的详细介绍 - Python技术站
微信扫一扫 
支付宝扫一扫 