昨天介紹 低交互蜜罐DShield Honeypot 是 SANS Internet Storm Center (ISC) 維護的honeypot蜜罐，現在是由SANS Technology Institue維護。這是個研究型的蜜罐，目的是運用Cowrie蒐集駭客嘗試登入SSH和Telnet的帳號與密碼，可以安裝在任何Debian 系統，例如Ubuntu。輕量小巧的DShield可以安裝在Rasperry Pi上，或者開個免費的Amazon EC2 trial instance或Azure instance測試。

首先要安裝git（如果沒有的話）

sudo apt-get -y install git

創建一個新的install資料夾，從GitHub下載所需安裝檔案

mkdir install
cd install
git clone https://github.com/DShield-ISC/dshield.git

到資料夾中執行安裝script

cd dshield/bin
sudo ./install.sh

順著安裝script的引導完成各步驟即可。若是想觀察日誌確認安裝無誤，必須另外開啟ㄧ個SSH，從安裝螢幕中找到log file 的名字，然後在新的SSH中輸入

sudo tail -f LOGFILE

一切安裝完畢後，需要重啟。注意重啟後SSH就必須從port 12222而不是port 22。

因為這是研究型密罐，蒐集來的資料將會傳給SANS ISC，所以它必須部屬在防火牆外或DMZ裡，並不適合部屬在內網中，否則內網裡的IP等等資訊傳到SANS ISC就是資料外洩的問題。一般家裡或小型辦公室SOHO環境，可以部屬在防火牆後，然後開創一個DMZ，用Port Forwarding的方法將網路流量導至DShield蜜罐。

"Well, we all go our separate journeys, but ultimately we all arrive at the same destination." -- Kingsman: The Golden Circle