最近因为使用3G网卡,电脑是公网ip,所以就有条件搭建了一个初级的蜜罐,想知道一台普通pc一天要经受多大的磨练,实践以后我感到震惊,现在网络上的恶意的扫描实在是太多了。尤其是各种高危应用程序开启的端口,如果没有做合适的防范,很快就会被互联网的洪水所淹没。

    这种初级的蜜罐可以伪装为对第三方的请求做出简单的响应和进行相应的记录,而高级的蜜罐是可以进行细致和完全的模拟,以至于可以捕获一次精心构造的apt攻击。

    如图1这是我在开启蜜罐系统的三个小时之后遇到的扫描威胁

    日志

    红色的代表是高级别的危害,显然,telnet是受到攻击最多的服务。来自互联网的第一次攻击是

    这个ip是广州的一个ip。显然这只是一次淹没在互联网大海里的一次试探。

    接下来是几个比较有趣的扫描,

    对telnet以root admin这样的弱口令试图登陆,显然它什么的都没得到,因为这是虚假的telnet服务,所以程序没有继续开始telnet爆破。

    对方对mysql服务的的一次握手包。不知道这是僵尸网络中的一员,还是对方使用vps进行扫描。

    unassigned.psychz.net 以root身份进行的一次提交,查看mysql的版本

    ftp,通过GET命令试图下载谷歌的首页。

    接下来这个试图下载qq的首页。。

    接下来对pop3和telnet端口的扫描ip来自64-199-111-26.ip.mcleodusa.net ,dsl-187-206-154-181-dyn.prod-infinitum.com.mx,81.215.196.222.dynamic.ttnet.com.tr 。显然这是一个类似于站群的攻击,国外的攻击规模就是比较高级

    对2100端口的一次扫描。

    这是一款曾经的远控的端口的探测。

    ms09-063 “ 如果受影响的 Windows 系统接收特制数据包,此漏洞可能允许远程执行代码。 只有本地子网上的攻击者才能利用此漏洞。”

    chargen服务。对一台chargenserver的udp19端口发送封包,server会一直对其进行响应。经常被用来ddos的放大使用。

    都可以这次搭建蜜罐的结果很有趣,未来想搭建功能强大一些的ssh蜜罐,看一下这些程序有什么其他的操作