主動欺騙蜜罐系統Beeswarm簡介

Beeswarm是一個主動蜜罐系統，通過部署一些模擬真實用戶的節點與蜜罐系統通信，從而引誘竊聽了這些會話的攻擊者攻擊蜜罐系統，以捕獲發現攻擊。

一、介紹

蜜罐系統一般不會主動產生流量，而是被動的等待攻擊流量。Beeswarm則是一款主動誘騙攻擊者的蜜罐，可以模擬客戶端與伺服器的通信（誘餌通信），誘騙黑客攻擊蜜罐，以對付企圖通過網路監聽獲取敏感信息的攻擊者。

誘餌通信中，包括大量攻擊者可能非常感興趣的信息，如用戶名口令、管理後台等。如果有攻擊者在網路中進行竊聽，獲取了誘餌通信的內容，並使用這些敏感信息（如使用誘餌登錄憑證）登錄系統，Beeswarm就能發現網路攻擊。

此外，Beeswarm也做了很好的細節處理，如對於互動式的協議（如ssh和telnet），誘餌會話的流量模式將會匹配人類的打字速度，目的是使誘餌會話流量看起來合法而且能夠吸引黑客。

圖 1 Beeswarm欺騙框架示例

二、安裝方法

1

實驗環境

Beeswarm包括Beeswarm Server、Beeswarm Drone Client、Beeswarm Drone Honeypot。Beeswarm DroneClient在網路中和Beeswarm Drone Honeypot通信並故意泄漏憑證等信息，目的是檢測網路中是否有攻擊者（圖1 中的Adversary）竊聽了網路流量並

嘗試使用竊取的憑證登錄蜜罐系統

，以發現攻擊。

BeeswarmServer對Beeswarm Drone Client、Beeswarm Drone Honeypot進行管理並收集Beeswarm DroneClient、Beeswarm Drone Honeypot上報的信息，通過BeeswarmServer提供的可視化介面可以查看Beeswarm Drone Client、Beeswarm Drone Honeypot、誘餌會話以及捕獲到的攻擊的信息。

在本次實驗中使用了三台安裝Ubuntu Server 16.04 LTS系統的虛擬機，分別充當BeeswarmServer，Beeswarm Drone Client，Beeswarm Drone Honeypot。

2

Beeswarm Server安裝

首先安裝依賴類庫：

sudo apt-get install libffi-dev build-essentialpython-dev python-pip libssl-dev libxml2-dev libxslt1-dev

sudo pip install pydes –allow-external pydes –allow-unverified pydes

運行第二條命令的時候有一些告警信息，不影響安裝。然後安裝Beeswarm：

sudo pip install beeswarm

安裝成功後使用如下命令啟動Beeswarm服務：

mkdir server_workdir

cd server_workdir

beeswarm –server

在啟動的過程中需要輸入伺服器的IP或者域名，我們的輸入為「192.168.71.130」，安裝完成後系統會給出管理員密碼，這個密碼是登錄系統進行配置時的管理員密碼，用戶名是admin。

使用瀏覽器通過HTTPS協議訪問伺服器，埠號默認是5000（https://伺服器IP：5000），登錄界面如下圖所示：

圖 2 管理員登錄界面

用戶名為admin，密碼為安裝階段給出的密碼，然後登錄（圖3），此時還沒有配置蜜罐和Drone客戶端，因此沒有數據。

圖 3 登錄後的界面

3 BeeswarmDrone Client

安裝

在Beeswarm中

Drone Client

Drone Honeypot

mkdir drone_workdir

cd drone_workdir

使用瀏覽器訪問伺服器（https:// 192.168.71.130：5000），輸入用戶名和密碼，選擇+Drone菜單項，可以得到啟動Drones時需要告訴Drones的Beeswarm

伺服器的

URL

，用於讓伺服器識別

Drones

圖 4 選擇+Drone

之後執行如下命令(如果系統想要配置為Drone Honeypot，那麼要用管理員許可權運行，因為蜜罐端要佔用一些熟知埠，如果僅僅是部署Drone客戶端則不用)，將上一步 得到的URL作為參數輸入：

sudo beeswarm –config

https://192.168.71.130：5000/ws/drone/add/82a93121-22dc-4150-a017-976c3ea73f50

運行命令後Drone與伺服器連接等待配置：

圖 5 Drone等待配置

當Drones和伺服器連接後，通過瀏覽器訪問伺服器進行配置，配置頁面如圖3，選擇Drone菜單項，然後選Unassigned，此時可以看到待配置的選項，見圖6。

圖 6 待配置的Drone

選擇藍色的按鈕進入模式選擇頁面，有蜜罐和客戶端兩種類型，先選擇蜜罐類型：

圖 7 Drone類型選擇

選擇之後進入蜜罐節點配置頁面，需要選擇開啟哪些服務；

圖 8 蜜罐開啟的服務選擇

配置完成後蜜罐主機開始監聽埠；

圖 9 蜜罐主機監聽埠

在第三台虛擬機上重複上述步驟，但是在圖7的模式選擇中選Client；Client模式配置頁面如圖10；

圖 10 client配置頁面

三、使用方法

在Beeswarm蜜罐系統中，Beeswarm Drone Client需要部署在想要進行檢測的網段，一旦完成部署，Beeswarm Drone Client將會不斷訪問系統（圖11是Beeswarm Drone Client 與Honeypot 交互示例）。

當BeeswarmDrone Client所在網段有攻擊者進行竊聽並使用竊聽得到的登錄憑證訪問蜜罐系統時，Beeswarm就能發現攻擊者的存在。

圖 11 Beeswarm Drone Client 與Honeypot 交互示例

圖 12 通過wireshark抓包獲取的telnet會話內容

Beeswarm Drone Client 和BeeswarmDrone Honeypot會將信息報告給伺服器，訪問伺服器可以看到Honeypot、Clients、產生的誘餌會話和攻擊信息。

圖 13 運行結果

四、Beeswarm相關資料

1.蜜罐系統簡介 :http://www.beeswarm-ids.org/

2.源碼下載地址：https://github.com/honeynet/beeswarm

*本文原創作者：ArkTeam/HP，轉載請註明來自FreeBuf黑客與極客（FreeBuf.COM）