WEB 类仿真模板配置方法

吉沃运营专员

一、保存仿真页面



1、用网站下载工具或者浏览器下载功能下载保存需要仿真的网站页面，以下以浏览器下载保存为例介绍具体操作方法。用浏览器浏览需要仿真的网页，用浏览器保存网页功能将网页保存到本地。保存时候注意文件名用英文，保存类型选择保存全部内容。





2、将保存下来的网页以及依赖的图片等资源文件用 zip 格式进行打包。



3、将打包好的 zip 文件名更改为 res_package.zip 待用。

说明：res_package.zip 为仿真模板资源文件压缩包保留名称，当上传的压缩包文件名为此文件名时，则会自动解压包里的文件放置到 data 目录下。

二、创建仿真模板



1、登录 DecoyMini 管理中心，打开“仿真模板”功能。



2、点击 WEB 仿真模板“创建子模板”来创建一个新的 WEB 仿真子模板。



3、输入子模板信息后，点击“创建”后则子模板创建成功。





4、打开新创建的仿真模板配置界面，编辑必要的基础信息，如模板名称、事件日志类型、类别等。



5、切换到“资源文件”标签，在资源文件左侧目录树中选择“data”，在右侧操作区点击“上传文件”，选择刚制作好的资源文件包 res_package.zip 文件进行上传。







6、上传完成后，则可以在文件列表里看到 res_package.zip 包里的文件列表。



7、当资源文件上传完毕后，点击“应用”按钮发布资源文件。



8、切换到“参数设置”和“响应数据”标签，将攻击者的访问请求和资源文件做关联。点击“参数设置”可以查看当前HTTP引擎已支持解析的各种请求参数。



在响应数据里根据请求的参数可以配置相应的应答数据。



9、在本例中，需要将攻击者访问根路径与资源文件的 index.html 关联。编辑名称为“首页”的响应数据项，编辑响应数据输入 index.html，则攻击者访问根路径的请求服务端将响应 index.html 里的内容。



10、完成编辑后 “发布”仿真模板，发布后的仿真模板就可以在诱捕策略里部署和应用。



三、部署蜜罐



1、在诱捕策略里，点击“增加”按钮，增加一个诱捕器（蜜罐）。



2、选择刚发布的“新华网”模板，配置名称以及访问的地址和端口等信息，点击“确定”进行保存。



注意：大家配置 WEB 蜜罐设置端口应该尽量避免以下这些 Chrome 默认非安全端口，否则可能导致蜜罐无法正常访问：

1. 1, // tcpmux
   
2. 7, // echo
   
3. 9, // discard
   
4. 11, // systat
   
5. 13, // daytime
   
6. 15, // netstat
   
7. 17, // qotd
   
8. 19, // chargen
   
9. 20, // ftp data
   
10. 21, // ftp access
    
11. 22, // ssh
    
12. 23, // telnet
    
13. 25, // smtp
    
14. 37, // time
    
15. 42, // name
    
16. 43, // nicname
    
17. 53, // domain
    
18. 77, // priv-rjs
    
19. 79, // finger
    
20. 87, // ttylink
    
21. 95, // supdup
    
22. 101, // hostriame
    
23. 102, // iso-tsap
    
24. 103, // gppitnp
    
25. 104, // acr-nema
    
26. 109, // pop2
    
27. 110, // pop3
    
28. 111, // sunrpc
    
29. 113, // auth
    
30. 115, // sftp
    
31. 117, // uucp-path
    
32. 119, // nntp
    
33. 123, // NTP
    
34. 135, // loc-srv /epmap
    
35. 139, // netbios
    
36. 143, // imap2
    
37. 179, // BGP
    
38. 389, // ldap
    
39. 465, // smtp+ssl
    
40. 512, // print / exec
    
41. 513, // login
    
42. 514, // shell
    
43. 515, // printer
    
44. 526, // tempo
    
45. 530, // courier
    
46. 531, // chat
    
47. 532, // netnews
    
48. 540, // uucp
    
49. 556, // remotefs
    
50. 563, // nntp+ssl
    
51. 587, // stmp
    
52. 601, //
    
53. 636, // ldap+ssl
    
54. 993, // ldap+ssl
    
55. 995, // pop3+ssl
    
56. 2049, // nfs
    
57. 3659, // apple-sasl / PasswordServer
    
58. 4045, // lockd
    
59. 6000, // X11
    
60. 6665, // Alternate IRC [Apple addition]
    
61. 6666, // Alternate IRC [Apple addition]
    
62. 6667, // Standard IRC [Apple addition]
    
63. 6668, // Alternate IRC [Apple addition]
    
64. 6669, // Alternate IRC [Apple addition]

复制代码

3、策略编辑完成后，点击“应用”按钮则将会应用配置的诱捕策略。



4、访问诱捕策略里配置的对应地址和端口就可以访问到仿真的 WEB 站点。



5、攻击者访问蜜罐后，在系统的诱捕日志和风险事件里可以查看到相关的日志和告警信息。





四、分享仿真模板



1、在分享仿真模板前建议先完善作者信息。以便其他用户在使用分享的模板过程中方便沟通和交流。



2、仿真模板完成编辑后，点击“发布”按钮完成发布，发布后的模板就可以导出仿真模板了。



仿真模板导出支持 3 种模式，分别是：

• 只读：模板其他用户导入后只能使用，不能编辑和修改；
• 公开：模板其他用户导入后可以编辑和修改除开原作者信息外的内容；
• 自由：模板其他用户导入后可以编辑和修改模板任意内容；
  

系统推荐以“公开”模式来导出模板。



3、导出的模板文件为 *.stp 文件，可以将模板文件上传到 http://bbs.decoyit.com/template.php 分享



4、针对分享了高质量仿真模板的用户，系统管理员评估后将会给予其丰富的激励。详细激励计划请查阅 DecoyMini 技术论坛相关内容。