En este paso, simulará un ataque de fuerza bruta SSH contra su honeypot Cowrie para verificar sus capacidades de registro. Esta simulación ayuda a demostrar cómo los atacantes del mundo real podrían intentar obtener acceso no autorizado y cómo el honeypot registra estos intentos para su análisis.
-
Primero, asegúrese de que su honeypot Cowrie esté en funcionamiento (desde el paso anterior):
ps aux | grep cowrie
Este comando comprueba si el proceso Cowrie está activo. Debería ver 'cowrie' en la lista de salida.
-
Instale el cliente SSH si no está disponible:
sudo apt-get install -y openssh-client
El paquete openssh-client proporciona el comando ssh que usaremos para conectarnos a nuestro honeypot. La bandera '-y' confirma automáticamente cualquier solicitud.
-
Simule un ataque de fuerza bruta intentando múltiples conexiones SSH con combinaciones comunes de nombre de usuario/contraseña:
for i in {1..5}; do
sshpass -p 'password' ssh -o StrictHostKeyChecking=no -p 22 labex@localhost
sshpass -p 'admin' ssh -o StrictHostKeyChecking=no -p 22 admin@localhost
sshpass -p 'root' ssh -o StrictHostKeyChecking=no -p 22 root@localhost
done
Este script intenta pares comunes de nombre de usuario/contraseña (como root/password) cinco veces cada uno. La opción '-o StrictHostKeyChecking=no' evita que SSH pregunte sobre hosts desconocidos, lo que facilita la automatización.
-
Simule un ataque más sofisticado utilizando Hydra (preinstalado en la máquina virtual LabEx):
hydra -L /usr/share/wordlists/metasploit/unix_users.txt -P /usr/share/wordlists/metasploit/unix_passwords.txt -t 4 -vV localhost ssh
Hydra es una herramienta de fuerza bruta poderosa. Aquí intenta combinaciones de las listas de palabras proporcionadas (-L para nombres de usuario, -P para contraseñas). La opción '-t 4' limita a 4 intentos en paralelo, y '-vV' muestra una salida detallada.
-
Verifique que los ataques se hayan registrado comprobando los registros de Cowrie:
ls -l ~/project/cowrie-logs/
Después de ejecutar los ataques, este comando muestra nuevos archivos de registro que contienen detalles de todos los intentos de conexión. Estos registros son los que los analistas de seguridad examinarían en una implementación real.