蜜罐在近幾年的攻防實戰(zhàn)演習(xí)中大放光彩，它作為欺騙防御的重要技術(shù)，是主動防御的主要方法，也是實戰(zhàn)由被動向主動轉(zhuǎn)變最有效的手段，用好蜜罐可有效提升網(wǎng)絡(luò)安全防御能力。蜜罐的核心是仿真能力，所能提供的仿真能力和用戶環(huán)境貼合度越高誘捕效果越好。因此蜜罐在部署時，往往都需要根據(jù)部署環(huán)境對蜜罐仿真的各類對象和數(shù)據(jù)進行定制化，將自有的一些業(yè)務(wù)系統(tǒng)站點例如辦公系統(tǒng)、ERP系統(tǒng)、信息發(fā)布平臺等做成蜜罐部署出來，這樣的蜜罐誘惑性更高，對攻擊的誘捕效果也會更好。

互聯(lián)網(wǎng)上已經(jīng)有不少免費的蜜罐工具，但這些蜜罐工具絕大多數(shù)功能單一、成熟度不高、缺乏持續(xù)更新維護，很難支持對自有業(yè)務(wù)系統(tǒng)等個性化需求的仿真。本文介紹一款免費的蜜罐軟件——DecoyMini，它是由北京吉沃科技有限公司基于商業(yè)化蜜罐產(chǎn)品積累而推出的完全免費的蜜罐工具，工具支持主流操作系統(tǒng)、安裝使用簡單、安全穩(wěn)定，支持插件化的仿真模板，支持從論壇一鍵下載模板來快捷部署蜜罐，同時提供蜜罐自定義能力，通過界面可視化編排配置即可部署對自有業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)協(xié)議和服務(wù)進行仿真的蜜罐。

本文將介紹用DecoyMini免費蜜罐工具來配置仿真自有業(yè)務(wù)系統(tǒng)蜜罐，并演示業(yè)務(wù)系統(tǒng)蜜罐部署后對攻擊誘捕的實戰(zhàn)效果。

軟件安裝

前往"https://github.com/decoymini"或者"https://gitee.com/decoymini"免費下載最新版本的DecoyMini，支持Windows7/Win10/Windows Server 32/64位、CentOS/Ubuntu/Debian/Kali32/64位、樹莓派等操作系統(tǒng)，讀者根據(jù)自己的操作系統(tǒng)類型選擇對應(yīng)的安裝包進行下載，普通辦公電腦的硬件配置就可以正常安裝使用。

DecoyMini支持單節(jié)點部署模式和分布式部署模式，本文示例環(huán)境以單節(jié)點模式來進行部署。

Windows下，以管理員身份運行cmd，輸入如下命令進行安裝：

DecoyMini_Windows_v1.0.xxxx.exe-install

Linux下安裝，以CentOS 64位為例，對安裝文件賦予可執(zhí)行權(quán)限，用管理員權(quán)限執(zhí)行如下安裝命令：

./DecoyMini_Linux_x64_v1.0.xxxx.pkg-install

按需選擇DecoyMini管理端監(jiān)聽的地址和端口后，即可完成DecoyMini的安裝。

安裝好DecoyMini軟件后，使用安裝時配置的IP和端口即可訪問管理端登錄頁面，用DecoyMini論壇帳號或者本地預(yù)置帳戶admin可登錄DecoyMini管理端。

創(chuàng)建仿真模板

使用DecoyMini部署業(yè)務(wù)系統(tǒng)蜜罐前，需要先配置業(yè)務(wù)系統(tǒng)的仿真模板。DecoyMini支持以下兩種方式來創(chuàng)建業(yè)務(wù)系統(tǒng)仿真模板：

自動創(chuàng)建：指定待仿真的目標業(yè)務(wù)系統(tǒng)地址，軟件自動爬取業(yè)務(wù)系統(tǒng)站點網(wǎng)頁來創(chuàng)建仿真模板，推薦用于信息發(fā)布類業(yè)務(wù)系統(tǒng)的自動仿真；

手動創(chuàng)建：手動下載待仿真的目標業(yè)務(wù)系統(tǒng)站點網(wǎng)頁進行上傳，配置相關(guān)仿真參數(shù)和訪問映射規(guī)則，完成模板的手動創(chuàng)建，適用于采用自動創(chuàng)建頁面爬取不完整或需定制化仿真內(nèi)容等其它場景。

對于自定義的仿真模板支持導(dǎo)出分享，可以分享到其它DecoyMini環(huán)境，實現(xiàn)仿真能力的快速遷移；也可以分享到DecoyMini技術(shù)論壇，將有機會獲得論壇禮品或現(xiàn)金獎勵。

自動創(chuàng)建

DecoyMini提供自動仿真指定業(yè)務(wù)系統(tǒng)站點的能力，通過系統(tǒng)內(nèi)置的網(wǎng)頁爬蟲對指定目標網(wǎng)站進行自動爬取可以快速生成對應(yīng)業(yè)務(wù)系統(tǒng)站點的本地鏡像。利用此功能，可以快速生成自有業(yè)務(wù)系統(tǒng)的仿真模板，并作為誘捕器（蜜罐）部署出來。主要操作步驟如下：

（1）進入DecoyMini仿真模板管理界面，在左側(cè)仿真模板樹形列表中點擊"增加仿真網(wǎng)站"來增加一個仿真的站點：

在"模板配置"中配置相關(guān)參數(shù)，填入要仿真的目標業(yè)務(wù)系統(tǒng)網(wǎng)站地址（支持http和https），配置網(wǎng)站數(shù)據(jù)同步周期（單位：天），值>0時每間隔指定天數(shù)自動重新爬取業(yè)務(wù)系統(tǒng)頁面來更新模板，值為0不自動爬取更新。

（2）當(dāng)完成參數(shù)配置后點擊"增加"按鈕，稍等片刻待DecoyMini后臺完成網(wǎng)站內(nèi)容爬取彈出提示消息后，就完成對自定義網(wǎng)站仿真模板的增加操作。

采用自動創(chuàng)建模式增加的仿真模板，還可以繼續(xù)手動編輯模板仿真頁面數(shù)據(jù)和參數(shù)，來定制化仿真內(nèi)容。

手動創(chuàng)建

手動創(chuàng)建"WEB仿真模板"的子模板，將下載的業(yè)務(wù)系統(tǒng)站點網(wǎng)頁打包上傳，配置模板的仿真網(wǎng)頁數(shù)據(jù)和訪問映射規(guī)則，完成模板的手動創(chuàng)建。

業(yè)務(wù)系統(tǒng)網(wǎng)頁下載

用網(wǎng)站下載工具或者瀏覽器下載功能將需要仿真的業(yè)務(wù)系統(tǒng)網(wǎng)站頁面下載保存，以瀏覽器下載保存為例，具體操作方法如下：

（1）用瀏覽器瀏覽需要仿真的網(wǎng)頁，用瀏覽器保存網(wǎng)頁功能將網(wǎng)頁保存到本地。

保存時候注意文件名用英文，保存類型選擇保存全部內(nèi)容。

（2）對保存下來的網(wǎng)頁文件，根據(jù)需要可以對網(wǎng)頁內(nèi)容進行定制化處理，處理完畢后，將網(wǎng)頁以及依賴的圖片等資源文件用zip格式進行打包。

（3）將打包好的zip文件名更改為res_package.zip待用（res_package.zip為DecoyMini仿真模板資源文件壓縮包保留名稱，當(dāng)上傳的壓縮包文件名為此名稱時，則會自動解壓包里的文件到"數(shù)據(jù)文件"目錄下）。

創(chuàng)建仿真子模板

（1）登錄DecoyMini管理中心，切換到"仿真模板"界面，點擊WEB仿真模板"創(chuàng)建子模板"來創(chuàng)建一個新的WEB仿真子模板。

輸入子模板信息后，完成子模板創(chuàng)建操作。

（2）在左側(cè)模板列表中選擇新創(chuàng)建的子模板，切換到"資源文件"標簽，在資源文件左側(cè)目錄樹中選擇"數(shù)據(jù)文件"，將剛制作好的資源文件包res_package.zip文件進行上傳。

上傳完成后，則可以在文件列表里看到res_package.zip壓縮包解壓后的全部文件清單。

（3）資源文件上傳完畢后，點擊"應(yīng)用"按鈕應(yīng)用資源文件，應(yīng)用后的資源文件數(shù)據(jù)才會被蜜罐所使用。

（4）點擊"參數(shù)設(shè)置"標簽，可以查看當(dāng)前模板已經(jīng)配置的參數(shù)，其中類型為"動態(tài)解析"的參數(shù)軟件會根據(jù)攻擊者訪問請求來動態(tài)解析，在響應(yīng)數(shù)據(jù)配置里可以用"{{參數(shù)標識}}"格式來引用對應(yīng)參數(shù)的值。

（5）切換到"響應(yīng)數(shù)據(jù)"標簽，來配置將攻擊者的訪問請求和資源文件做關(guān)聯(lián)，根據(jù)不同的請求可以配置響應(yīng)對應(yīng)的仿真數(shù)據(jù)。

在本例中將攻擊者訪問根路徑與資源文件里index.html文件關(guān)聯(lián)，配置方法為：在"響應(yīng)數(shù)據(jù)"列表里編輯名稱為"首頁"的響應(yīng)數(shù)據(jù)項，請求路徑配置為"/"，響應(yīng)數(shù)據(jù)選擇"數(shù)據(jù)文件"輸入"index.html"后保存。則蜜罐在收到攻擊者訪問"/"路徑的請求時將響應(yīng)數(shù)據(jù)文件里index.html文件的內(nèi)容。

其他訪問路徑對應(yīng)的響應(yīng)數(shù)據(jù)可參考上述方法依次進行配置，多條響應(yīng)數(shù)據(jù)將從第一條開始往后匹配，直到匹配到為止；若未能匹配上則會響應(yīng)標識為notexists里的響應(yīng)數(shù)據(jù)。

配置記錄登錄賬戶

部署業(yè)務(wù)系統(tǒng)蜜罐除關(guān)注哪些IP來訪問外，記錄攻擊者嘗試登錄業(yè)務(wù)系統(tǒng)的賬號也有助于對攻擊者進行溯源分析。DecoyMini支持通過界面編排配置，實現(xiàn)記錄攻擊者嘗試登錄業(yè)務(wù)系統(tǒng)的賬戶的功能。

在上節(jié)配置的仿真模板基礎(chǔ)上，配置攻擊者登錄的用戶名、密碼獲取參數(shù)，以及有效的用戶名和密碼等信息。參數(shù)標識配置為post.userId，將從POST數(shù)據(jù)里提取名稱為userId的值，post.password將從POST數(shù)據(jù)里提取名稱為password的值，配置有效的登錄賬號為admin /123456。

在響應(yīng)數(shù)據(jù)部分增加對登錄請求相關(guān)的響應(yīng)配置。

關(guān)鍵的幾個響應(yīng)數(shù)據(jù)配置方法說明如下：

（1）修改業(yè)務(wù)系統(tǒng)登錄頁面代碼，攻擊者執(zhí)行登錄操作時調(diào)用login.js里的login函數(shù)，將登錄用戶名和密碼POST到"/api/user/login"這個地址，如果服務(wù)端響應(yīng)狀態(tài)碼為200則跳轉(zhuǎn)到業(yè)務(wù)系統(tǒng)主頁面，否則顯示登錄失敗的提示。

（2）對登錄請求進行響應(yīng)：判斷請求的路徑是否為"/api/user/login"，且登錄用戶名和密碼為預(yù)設(shè)的用戶名和密碼時，響應(yīng)登錄成功的狀態(tài)數(shù)據(jù)。

配置接收到登錄請求后，記錄登錄日志，同時記錄登錄的用戶名和密碼。

（3）當(dāng)發(fā)送的登錄請求用戶名和密碼與預(yù)設(shè)的用戶名密碼不匹配時，登錄失敗，響應(yīng)登錄失敗狀態(tài)和錯誤消息，并配置記錄日志。

（4）配置當(dāng)輸入了預(yù)設(shè)的用戶名和密碼后，顯示指定的業(yè)務(wù)系統(tǒng)主界面。

記錄登錄賬戶的完整配置內(nèi)容請參見DecoyMini內(nèi)置"WEB業(yè)務(wù)系統(tǒng)示例"仿真模板。

發(fā)布模板

編輯確認仿真模板的基礎(chǔ)信息，如模板名稱、事件日志類型、類別、描述等，完成編輯后便可"發(fā)布"仿真模板，發(fā)布后的仿真模板就可以在誘捕策略里部署使用。

部署蜜罐

配置完成業(yè)務(wù)系統(tǒng)仿真模板后，切換到"誘捕策略"界面來部署蜜罐。DecoyMini支持虛擬IP技術(shù)，支持在一臺蜜罐上虛擬多IP來模擬多臺主機，快速組建蜜罐群，有效提高蜜罐的覆蓋率，用較小的部署資源實現(xiàn)最大化的攻擊誘捕效果。

（1）增加誘捕器（蜜罐），選擇剛發(fā)布的業(yè)務(wù)系統(tǒng)仿真模板，配置蜜罐外部訪問IP、監(jiān)聽端口、協(xié)議等環(huán)境參數(shù)。

蜜罐的"外部訪問IP"可以填寫網(wǎng)絡(luò)可達范圍內(nèi)的空閑IP，將蜜罐直接部署在這個空閑IP上，例如網(wǎng)絡(luò)里10.1.18.84這個IP未使用，則可將外部訪問IP配置為10.1.18.84，蜜罐部署好后，攻擊者通過10.1.18.84就能夠訪問到此業(yè)務(wù)系統(tǒng)蜜罐。

DecoyMini支持動態(tài)端口功能，配置端口時支持特定端口、端口列表或端口范圍，當(dāng)配置為端口列表或端口范圍，蜜罐在運行時將會自動從中隨機選取一個端口來部署此蜜罐。

訪問業(yè)務(wù)系統(tǒng)蜜罐協(xié)議支持HTTP或HTTPS，DecoyMini已經(jīng)內(nèi)置了默認的SSL證書，如果需要自定義，可以將新的證書文件和密鑰文件分別命名為server.crt和server.key替換仿真模板資源文件"配置文件"目錄里同名文件。

（2）配置完部署蜜罐的必要參數(shù)后，點擊"確定"保存蜜罐配置。

（3）點擊"應(yīng)用"按鈕將誘捕策略下發(fā)到誘捕探針來生成對應(yīng)的蜜罐。

部署效果

在DecoyMini上部署好蜜罐之后，用瀏覽器訪問誘捕策略里配置的地址就可以訪問到仿真的業(yè)務(wù)系統(tǒng)站點。

以下為筆者模擬攻擊者發(fā)起請求，展示業(yè)務(wù)系統(tǒng)蜜罐對攻擊的誘捕效果。

攻擊事件日志

當(dāng)攻擊者訪問到業(yè)務(wù)系統(tǒng)蜜罐后，在系統(tǒng)的風(fēng)險事件里可以查看到相關(guān)風(fēng)險事件告警信息。DecoyMini支持關(guān)聯(lián)分析，支持對同類事件進行自動合并，這可以有效降低告警數(shù)量、提高告警準確度，從而大大降低安全運維投入。

風(fēng)險事件的詳細信息中包含兩部分：事件詳情和關(guān)聯(lián)誘捕日志列表。

事件詳情展示了風(fēng)險事件的名稱、描述、類型、合并數(shù)量、攻擊源IP、攻擊目的IP、匹配到的關(guān)聯(lián)分析規(guī)則名稱、威脅影響和解決方案、風(fēng)險事件合并開始時間和結(jié)束時間等屬性。

關(guān)聯(lián)誘捕日志展示的為此風(fēng)險事件關(guān)聯(lián)的誘捕日志列表：

在系統(tǒng)的"誘捕日志"里可以查看到完整的攻擊日志信息；仿真模板配置了記錄攻擊賬戶功能，當(dāng)攻擊者嘗試登錄業(yè)務(wù)系統(tǒng)時，在對應(yīng)的誘捕日志里可以查看到嘗試登錄的賬戶信息，包括登錄使用的用戶名和密碼等。

攻擊預(yù)警

當(dāng)攻擊者訪問到業(yè)務(wù)系統(tǒng)蜜罐時，DecoyMini支持配置多種預(yù)警方式及時將告警通知到安全管理人員手里，包括郵件告警、彈窗告警、企業(yè)微信、釘釘?shù)确绞?，也支持通過Syslog格式將告警信息輸出到其它系統(tǒng)來實現(xiàn)對攻擊進行聯(lián)動處置。

采用自動預(yù)警通知，可實現(xiàn)用極少的資源和人力投入，就可以實現(xiàn)7x24小時不間斷遠程值守，安全管理人員隨時隨地都能輕松掌握網(wǎng)絡(luò)的風(fēng)險態(tài)勢。

攻擊過程分析

在風(fēng)險事件詳情或者誘捕日志里查看日志詳情時，除可以看到該誘捕日志詳細信息外，還支持以"時間線"方式以時間先后順序展示該攻擊者的詳細操作，還原攻擊的完整過程。

在風(fēng)險事件或誘捕日志界面中，點擊誘捕器（蜜罐）鏈接，可以查看到攻擊此誘捕器的IP畫像，畫像直觀展示了攻擊此蜜罐的源IP分布以及攻擊頻率等信息。

點擊事件列表或事件詳情中的"被攻擊IP"，可以展示對應(yīng)被攻擊IP的畫像，畫像展示了攻擊該IP的攻擊來源情況以及攻擊的蜜罐范圍。

攻擊溯源

DecoyMini不僅能夠?qū)暨M行監(jiān)測、對失陷進行感知，同時它也具備攻擊溯源能力。當(dāng)攻擊者訪問部署的業(yè)務(wù)系統(tǒng)蜜罐后，通過內(nèi)置在業(yè)務(wù)系統(tǒng)蜜罐內(nèi)的反制腳本，就能夠自動獲取到攻擊者主機的多種特征信息，包括真實IP、主機特征、瀏覽器特征等等。同時DecoyMini已經(jīng)與盛邦安全的網(wǎng)絡(luò)空間資產(chǎn)探測平臺聯(lián)動，能夠自動查詢攻擊IP所在主機最近一段時間開啟的端口和服務(wù)，為溯源攻擊者的真實身份提供了多維度的數(shù)據(jù)支撐。

點擊事件列表或事件詳情中的"攻擊IP"，可以展示對應(yīng)攻擊IP的畫像，包括攻擊者地域信息、攻擊影響范圍、主機特征、瀏覽器特征、主機曾開啟的服務(wù)等信息。

點擊畫像上的基本信息、主機特征、瀏覽器特征、曾使用服務(wù)，可以鉆取到對應(yīng)攻擊IP的攻擊者特征詳情；點擊攻擊目標的IP或誘捕器，可以鉆取到此IP對該攻擊目標實施攻擊產(chǎn)生的風(fēng)險事件和詳細誘捕日志列表。

總結(jié)

面對當(dāng)前嚴峻的網(wǎng)絡(luò)安全態(tài)勢、及時發(fā)現(xiàn)更具隱蔽性和多樣性的攻擊行為，對網(wǎng)絡(luò)安全防御手法上需要有所創(chuàng)新。通過在網(wǎng)絡(luò)部署蜜罐，以攻防對抗思路為基礎(chǔ)，以攻擊者視角去發(fā)現(xiàn)威脅，可有效彌補傳統(tǒng)網(wǎng)絡(luò)安全防御方案的弱點，構(gòu)建主動感知網(wǎng)絡(luò)威脅的能力，協(xié)助提升網(wǎng)絡(luò)安全監(jiān)測、響應(yīng)及防御能力。

本文介紹了使用DecoyMini來部署業(yè)務(wù)系統(tǒng)蜜罐的基本方法，讀者可以參考去配置滿足自己需求的業(yè)務(wù)系統(tǒng)蜜罐。DecoyMini作為一款優(yōu)秀的國產(chǎn)免費蜜罐軟件，具備豐富的攻擊誘捕和溯源分析功能，提供靈活的蜜罐自定義能力，支持快速組建蜜罐群，是企業(yè)零成本構(gòu)建欺騙防御能力的得力工具，值得企業(yè)部署嘗試。