Kippo蜜罐的定制与日志汇总

　　在Kippo的data目录下的userdb.txt中可以定制Kippo蜜罐模拟SSH服务的用户名和口令，攻击者如果使用passwd修改了口令之后，也会被自动地添加于此，之后的连接尝试也会立即进入蜜罐之中。

　　Kippo蜜罐所模拟的文件系统也可以利用utils目录下的createfs.py脚本工具，在一台你所希望模拟文件系统列表的主机上进行运行，生成一个定制的文件系统目录列表，保存于fs.pickle文件中。而文件系统中的文件内容，则可以拷贝至honeyfs目录中，当攻击者通过Kippo请求这些文件时，就会读取到这些文件内容。

　　Kippo蜜罐的捕获日志除了保存在本地log目录之外，还可以通过Kippo源码目录下的dblog/mysql.py导入到MySQL数据库中，以供分析人员进一步分析。除此之外，Dionaea蜜罐软件的作者，“Code Machine”级人物Markus Koetter曾花了一个周末的时间，为Kippo编写了一个xmpp日志提交模块(dblog/xmpp.py)，可以通过XMPP协议提交至一个即时通信聊天室中。利用Dionaea蜜罐中的pg_backend.py可以从即时通信聊天室中把各个Kippo蜜罐报告的日志记录再解析出来，写入集中的PostgresSQL数据库中，从而可以在集中的Web界面中进行展示和分析，具体流程架构如图2。

图2 Kippo蜜罐分布式部署结构

　　SSH口令爆破与控制命令

　　我们从2011年5月24日开始部署Kippo，至6月24日共运行一个月的时间，共捕获到68,483次连接尝试，有64,970次包含了口令猜测，其中315次猜测成功。口令猜测过程中的Top 20最常见用户名、口令及组合见表1，所猜测的用户名超过1万个，但集中于root，占37%左右。对于每个用户名所平均猜测的口令为7次左右，而对root则猜测了近8,000个不同口令。在口令爆破中，最常被猜测的口令都是一些简短的弱口令如“1 2 3 4 5 6 ”、“1 2 3 4 ”、“password”等等，总共涉及的口令数有21,750个。最常见的组合是root/123456，而这也是Kippo蜜罐所缺省设置的用户名/口令组合。

表1 SSH口令爆破攻击中最常见的用户名、口令及其组合

　　Kippo蜜罐还具有对SSH客户端的识别能力，在捕获的口令探测中，攻击者所使用的SSH客户端绝大部分(超过98%)是SSH-2.0-libssh-0.1(即大多数Linux发行版中缺省安装的ssh命令版本)，其他的SSH客户端版本还包括SSH-2.0-libssh-0.2、SSH-2.0-libssh-0.11、SSH-2.0-PuTTY_Release_0.60、OpenSSH等等。

　　6月24日, 我们部署的蜜罐遭遇了一次典型的SSH口令爆破攻击，攻击源IP地址为***.91.***.138，从上午7时许至9点半之间进行了超过6, 300余次口令猜测，主要尝试的用户名和弱口令，如图2和图3。对该攻击源IP进行进一步的whois查询，可以发现该IP属于某北京知名高校的珠海分校，之前也由于对SSH、FTP等服务的弱口令扫描而被加入SANS DShield黑名单和Fail2Ban黑名单中，可以确认该服务器频繁地参与了远程口令破解攻击。

图3 一次典型的SSH口令爆破攻击中尝试的用户名