0x00故事是这样的

1.对于之前的文章《HVV之是蜜罐又不是蜜罐》内容进行延伸。

2.和之前的文章一样，通过nginx反向代理到freebuf实现高交互蜜罐，这次也一样，但是这次需要把nginx部署到docker里面，目的是为了和宿主机隔离，就算nginx有漏洞，被打穿了，也不至于影响到宿主机。

3.配置如下，docker只映射80端口出来，docker里面的nginx反向代理到

www.freebuf.com。

4.效果如下。

5.但是我们如何知道有人攻击蜜罐呢？目前采用的架构是Suricata+ELK。

6.Suricata部署到宿主机,对于机器进行流量采集和规则检测，我这里监听eth0网卡的流量。

7.Suricata目前启用的规则是emerging-scan.rules。

8.触发规则之后,产生的攻击告警会写进fast.log。

9.我这里为了方便,使用别人已经打包好Logstash+Elasticsearch+kibana的镜像。

10.启动的时候,把宿主机的Suricata日志目录映射到容器内的/mnt/目录。

11.然后配置Logstash,把fast.log产生的告警发送给Elasticsearch进行存储,然后使用kibana进行数据的展示。

12.然后模拟攻击者对端口进行扫描。

13.这样就可以检测到,攻击者对蜜罐进行端口扫描。

14.欢迎大家关注弥天安全实验室公众号。

 

知识分享完了

喜欢别忘了关注我们哦~

学海浩茫，

予以风动，

必降弥天之润！

   弥  天

安全实验室

原文始发于微信公众号（弥天安全实验室）：高交互Web蜜罐下的威胁检测