这似乎是一个愚蠢的问题，所以我最近尝试将 Kippo 安装到我的服务器（DigitalOcean）。

我使用 PuTTY 登录到服务器，配置蜜罐等，直到它正常工作。然后连接突然关闭。

所以每次都是SSHd到服务器，它会给我蜜罐。我不能再去我原来的机器了。我无法停止 Kippo 服务。

唯一想到的是重建服务器。有没有替代的解决方案？

目前在 RHEL 5.4 上运行 BIND，并且正在寻找一种更有效的方式为大量（30,000+）禁止域列表提供 DNS 重定向到蜜罐服务器。

我们目前针对此要求的解决方案是在 named.conf 中包含一个包含每个被阻止域的区域主声明的文件。随后，这些区域声明中的每一个都指向同一个区域文件，该文件将该域中的所有主机解析为我们的蜜罐服务器。...基本上，这使我们能够捕获可能渗透到内部系统的恶意软件的任何“电话回家”尝试。

此配置的问题是加载所有 30,000 多个域以及域列表配置文件本身的管理需要大量时间……如果此文件中出现任何错误，BIND 服务器将无法启动，从而导致自动化的过程有点吓人。所以我正在寻找更有效且可能更不容易出错的东西。

named.conf 条目：

include "blackholes.conf";

blackholes.conf 条目示例：

zone "bad-domain.com" IN { type master; file "/var/named/blackhole.zone"; allow-query { any; }; notify no; };

blackhole.zone 条目：

$INCLUDE std.soa

@ NS ns1.ourdomain.com。
@ NS ns2.ourdomain.com。
@ NS ns3.ourdomain.com。

                       在 192.168.0.99
* 在 192.168.0.99

我的一个服务器日志显示在非标准端口上侦听的守护程序存在未经授权的访问尝试。这让我想知道人们多久运行一次端口扫描程序来查找漏洞。有没有可以作为蜜罐运行的程序来自动禁止扫描某些端口的 IP？

我很想看看这里是否有人管理大型环境（200-500 台服务器）并拥有非常大的公共客户群（100,000+），是否已经设置（或至少考虑设置）蜜罐？我对那些为讨厌/邪恶/敌对网络提供服务的人特别感兴趣。

如果你设置了一个，你能详细说明你的经验吗？事实上，如果您不认为您的环境很大，请发表评论，即使是包含一些恶意网络的小环境也是完美的！

我打算在我工作的地方设立一个，但自然而然地，这将与管理层的几场战斗开始，自然而然。存在风险 - 最大的风险是设置不正确，并且您的生产服务器加入了您的蜜罐“集群”，或者只是有关您的网络的信息泄露（任何信息都是太多信息）。

生产蜜罐

生产蜜罐用于帮助组织保护其内部 IT 基础设施，而研究蜜罐用于收集证据和信息，以研究黑客或黑帽犯罪攻击的模式和动机。

生产蜜罐对组织尤其是商业组织很有价值，因为它有助于减少或减轻特定组织面临的风险。生产蜜罐通过监管其 IT 环境以识别攻击来保护组织。这些生产蜜罐可用于捕获具有犯罪意图的黑客。生产蜜罐的实施和部署比研究蜜罐相对容易。

我听说有人建议我们设置一个特殊的电子邮件地址，它的唯一目的是为了收获。然后将针对此地址的每个发件人列入黑名单。

我在想：

• 如果其他人尝试过这个
• 你是怎么做的（即 - 将地址放在你网站上的隐藏字段中 - 或更好的方法？）
• 它有效吗？
• 尝试此操作时有什么需要注意的（即使用收集的地址的合法发件人？）