Tutoriales

Honeypots personalizables para monitorear el tráfico de la red

Camaleón es un honeypots personalizable para monitorear el tráfico de la red, las actividades de los bots y las credenciales de nombre de beneficiario / contraseña (DNS, HTTP Proxy, HTTP, HTTPS, SSH, POP3, IMAP, STMP, RDP, VNC, SMB, SOCKS5, Redis, TELNET y Postgres y MySQL) .

Interfaz de Grafana

1615741735 607 Honeypots personalizables para monitorear el trafico de la red
Honeypots personalizables para monitorear el tráfico de la red 6

Escaneo NMAP

1615741735 373 Honeypots personalizables para monitorear el trafico de la red
Honeypots personalizables para monitorear el tráfico de la red 7

Monitoreo de credenciales

1615741735 876 Honeypots personalizables para monitorear el trafico de la red
Honeypots personalizables para monitorear el tráfico de la red 8

Características generales

  • Enfoque modular (los honeypots se ejecutan como scripts o se importan como objetos)
  • La mayoría de los honeypots sirven como servidores (solo unos pocos que emulan los protocolos de la capa de aplicación)
  • Servidores de configuración con nombre de beneficiario, contraseña y banner (el nombre de beneficiario y la contraseña predeterminados se prueban)
  • Las cargas avíos ICMP, DNS TCP y UDP se analizan y se comparan con patrones comunes
  • Interfaces de Grafana visualizadas para monitorear los resultados (Filtrar por IP: el valencia predeterminado es todo)
  • Los registros estructurados y no estructurados se analizan e insertan en Postgres
  • Todos los honeypots contienen clientes para probar los servidores.
  • Todos los puertos están abiertos y monitoreados por defecto.
  • Obvio automatización y se puede implementar en AWS ec2
  • & Más funciones para explorar

Instalar y ejecutar

  • En el sistema ubuntu 18 o 19 (configuración cibernética)

clon de git https://github.com/qeeqbox/chameleon.git
camaleón cd
chmod + x ./run.sh
./run.sh auto_configure

La interfaz de Grafana http: // localhost: 3000 se abrirá automáticamente posteriormente de finalizar el proceso de inicialización (el nombre de beneficiario es changeme457f6460cb287 y la contraseña es changemed23b8cc6a20e0). Si no ve el panel de control de Chameleon, haga clic en el icono de búsqueda en la mostrador izquierda y agréguelo.

Espere unos segundos hasta que honeypot muestre la dirección IP


honeypot_1 | Su IP: 172.19.0.3
honeypot_1 | Su MAC: 09: 45: aa: 23: 10: 03

Puede interactuar con el honeypot desde su sistema almacén

ping 172.19.0.3
o ejecutar cualquier utensilio de red en su contra
nmap 172.19.0.3

  • En el sistema ubuntu 18 o 19 (prueba de configuración cibernética)

clon de git https://github.com/qeeqbox/chameleon.git
camaleón cd
chmod + x ./run.sh
./run.sh auto_configure_test

La interfaz de Grafana http: // localhost: 3000 se abrirá automáticamente posteriormente de finalizar el proceso de inicialización (el nombre de beneficiario es admin y la contraseña es admin). Si no ve el panel de control de Chameleon, haga clic en el icono de búsqueda en la mostrador izquierda y agréguelo

  • O aceptablemente, cuantía el servidor sin interrupción que desee como objeto (servidor SSH)
copy ssh_server.py to your folder
# ip= String E.g. 0.0.0.0
# port= Int E.g. 9999
# username= String E.g. Test
# password= String E.g. Test
# mocking= Boolean or String E.g OpenSSH 7.0
# logs= String E.g db, terminal or all
# --------------------------------------------------------------------
# always remember to add process=true to run_server() for non-blocking

from ssh_server import QSSHServer
qsshserver = QSSHServer(port=9999)
qsshserver.run_server(process=True)
qsshserver.test_server(port=9999)
qsshserver.kill_server()

ssh [email protected]

INFORMACIÓN: chameleonlogger:[‘servers’, {‘status’: ‘success’, ‘username’: ‘test’, ‘ip’: ‘127.0.0.1’, ‘server’: ‘ssh_server’, ‘action’: ‘login’, ‘password’: ‘test’, ‘port’: 38696}]

  • O, docker stanalone simple

clon de git https://github.com/qeeqbox/chameleon.git
camaleón cd
# elija qué honeypot http, https, ssh, etc. y use -p en la ventana acoplable para los puertos
docker build -t honeypot ./honeypot/. && docker run -p 9999: 9999 -p 9998: 9998 -it honeypot –modo ordinario –servidores “ssh: 9999 http: 9998”

  • Si no ve el panel de control de Chameleon, haga clic en el icono de búsqueda en la mostrador izquierda y agréguelo
1615741735 987 Honeypots personalizables para monitorear el trafico de la red
Honeypots personalizables para monitorear el tráfico de la red 9

Requisitos (solo servidores)

# apt-get update -y && apt-get install -y iptables-persistent tcpdump nmap iputils-ping python python-pip python-psycopg2 lsof psmisc dnsutils
#pip install scapy == 2.4.4 netifaces == 0.10.9 pyftpdlib == 1.5.6 sqlalchemy == 1.3.23 pyyaml ​​== 5.4.1 paramiko == 2.7.1 impacket == 0.9.22 twisted == 20.3. 0 psutil == 5.8.0 solicitudes == 2.25.1 redis == 3.5.3 mysql-connector-python == 8.0.23 pygments == 2.5.2
#pip install -U solicitudes[socks]
#pip install -Iv rsa == 4.0
#pip install rdpy == 1.3.2

Servidores / emuladores actuales

  • DNS (servidor que usa Twisted)
  • Proxy HTTP (servidor que usa Twisted)
  • HTTP (servidor que usa Twisted)
  • HTTPS (servidor que usa Twisted)
  • SSH (servidor que usa socket)
  • POP3 (servidor que usa Twisted)
  • IMAP (servidor que usa Twisted)
  • STMP (servidor que usa smtpd)
  • RDP (servidor que usa Twisted)
  • SMB (servidor que usa impacket)
  • SOCK5 (servidor que usa socketserver)
  • TELNET (servidor usando Twisted)
  • VNC (rival que usa Twisted)
  • Postgres (rival que usa Twisted)
  • Redis (rival que usa Twisted)
  • Mysql (rival que usa Twisted)
  • Elasticsearch (Próximamente)
  • Oracle (Próximamente …)
  • LDAP (tal vez)

Cambios

  • 2020.V.01.05 ayudante mysql
  • 2020.V.01.04 añadido redis
  • 2020.V.01.03 servidores ftp cambiados a trenzados
  • 2020.V.01.02 cambió los servidores http y https a twisted
  • 2020.V.01.02 Se corrigió el cambio de ip en la interfaz de grafana

Planisferio viario

  • Refactorización de la tala
  • Registrador de reparación
  • Castidad de código
  • Cambiando algunos servidores a retorcidos
  • Ampliar obturación de conexión elegante (respuesta de error)
  • Implementando el resto de servidores
  • Añadiendo poco de razonamiento de detección al sinffer
  • Ampliar un panel de control

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba