WEB 类仿真模板配置方法
一、保存仿真页面static/image/hrline/1.gif
1、用网站下载工具或者浏览器下载功能下载保存需要仿真的网站页面,以下以浏览器下载保存为例介绍具体操作方法。用浏览器浏览需要仿真的网页,用浏览器保存网页功能将网页保存到本地。保存时候注意文件名用英文,保存类型选择保存全部内容。
2、将保存下来的网页以及依赖的图片等资源文件用 zip 格式进行打包。
3、将打包好的 zip 文件名更改为 res_package.zip 待用。
说明:res_package.zip 为仿真模板资源文件压缩包保留名称,当上传的压缩包文件名为此文件名时,则会自动解压包里的文件放置到 data 目录下。
二、创建仿真模板
static/image/hrline/1.gif
1、登录 DecoyMini 管理中心,打开“仿真模板”功能。
2、点击 WEB 仿真模板“创建子模板”来创建一个新的 WEB 仿真子模板。
3、输入子模板信息后,点击“创建”后则子模板创建成功。
4、打开新创建的仿真模板配置界面,编辑必要的基础信息,如模板名称、事件日志类型、类别等。
5、切换到“资源文件”标签,在资源文件左侧目录树中选择“data”,在右侧操作区点击“上传文件”,选择刚制作好的资源文件包 res_package.zip 文件进行上传。
6、上传完成后,则可以在文件列表里看到 res_package.zip 包里的文件列表。
7、当资源文件上传完毕后,点击“应用”按钮发布资源文件。
8、切换到“参数设置”和“响应数据”标签,将攻击者的访问请求和资源文件做关联。点击“参数设置”可以查看当前HTTP引擎已支持解析的各种请求参数。
在响应数据里根据请求的参数可以配置相应的应答数据。
9、在本例中,需要将攻击者访问根路径与资源文件的 index.html 关联。编辑名称为“首页”的响应数据项,编辑响应数据输入 index.html,则攻击者访问根路径的请求服务端将响应 index.html 里的内容。
10、完成编辑后 “发布”仿真模板,发布后的仿真模板就可以在诱捕策略里部署和应用。
三、部署蜜罐
static/image/hrline/1.gif
1、在诱捕策略里,点击“增加”按钮,增加一个诱捕器(蜜罐)。
2、选择刚发布的“新华网”模板,配置名称以及访问的地址和端口等信息,点击“确定”进行保存。
注意:大家配置 WEB 蜜罐设置端口应该尽量避免以下这些 Chrome 默认非安全端口,否则可能导致蜜罐无法正常访问:
1, // tcpmux
7, // echo
9, // discard
11, // systat
13, // daytime
15, // netstat
17, // qotd
19, // chargen
20, // ftp data
21, // ftp access
22, // ssh
23, // telnet
25, // smtp
37, // time
42, // name
43, // nicname
53, // domain
77, // priv-rjs
79, // finger
87, // ttylink
95, // supdup
101, // hostriame
102, // iso-tsap
103, // gppitnp
104, // acr-nema
109, // pop2
110, // pop3
111, // sunrpc
113, // auth
115, // sftp
117, // uucp-path
119, // nntp
123, // NTP
135, // loc-srv /epmap
139, // netbios
143, // imap2
179, // BGP
389, // ldap
465, // smtp+ssl
512, // print / exec
513, // login
514, // shell
515, // printer
526, // tempo
530, // courier
531, // chat
532, // netnews
540, // uucp
556, // remotefs
563, // nntp+ssl
587, // stmp
601, //
636, // ldap+ssl
993, // ldap+ssl
995, // pop3+ssl
2049, // nfs
3659, // apple-sasl / PasswordServer
4045, // lockd
6000, // X11
6665, // Alternate IRC
6666, // Alternate IRC
6667, // Standard IRC
6668, // Alternate IRC
6669, // Alternate IRC 3、策略编辑完成后,点击“应用”按钮则将会应用配置的诱捕策略。
4、访问诱捕策略里配置的对应地址和端口就可以访问到仿真的 WEB 站点。
5、攻击者访问蜜罐后,在系统的诱捕日志和风险事件里可以查看到相关的日志和告警信息。
四、分享仿真模板
static/image/hrline/1.gif
1、在分享仿真模板前建议先完善作者信息。以便其他用户在使用分享的模板过程中方便沟通和交流。
2、仿真模板完成编辑后,点击“发布”按钮完成发布,发布后的模板就可以导出仿真模板了。
仿真模板导出支持 3 种模式,分别是:
[*]只读:模板其他用户导入后只能使用,不能编辑和修改;
[*]公开:模板其他用户导入后可以编辑和修改除开原作者信息外的内容;
[*]自由:模板其他用户导入后可以编辑和修改模板任意内容;
系统推荐以“公开”模式来导出模板。
3、导出的模板文件为 *.stp 文件,可以将模板文件上传到 http://bbs.decoyit.com/template.php 分享
4、针对分享了高质量仿真模板的用户,系统管理员评估后将会给予其丰富的激励。详细激励计划请查阅 DecoyMini 技术论坛相关内容。
页:
[1]