Меню Рубрики

Установка и настройка honeypot

Лабораторная работа №7. Honeypot, Nmap.¶

Основные теоретические сведения¶

Цель: Получение практических и теоретических навыков работы с honeypot, способами и методами сканирования сети.

IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP. В сети Интернет требуется глобальная уникальность адреса; в случае работы в локальной сети требуется уникальность адреса в пределах сети.

IPv4. В 4-й версии IP-адрес представляет собой 32-битовое число. Удобной формой записи IP-адреса (IPv4) является запись в виде четырёх десятичных чисел значением от 0 до 255, разделённых точками, например, 192.168.0.3.

IPv6. В 6-й версии IP-адрес (IPv6) является 128-битовым. Внутри адреса разделителем является двоеточие (напр. 2001:0db8:85a3:0000:0000:8a2e:0370:7334). Ведущие нули допускается в записи опускать. Нулевые группы, идущие подряд, могут быть опущены, вместо них ставится двойное двоеточие (fe80:0:0:0:0:0:0:1 можно записать как fe80::1). Более одного такого пропуска в адресе не допускается.

MAC-адрес (от англ. Media Access Control — управление доступом к среде, также Hardware Address) — уникальный идентификатор, присваиваемый каждой единице активного оборудования компьютерных сетей.

При проектировании стандарта Ethernet было предусмотрено, что каждая сетевая карта (равно как и встроенный сетевой интерфейс) должна иметь уникальный шестибайтный номер (MAC-адрес), прошитый в ней при изготовлении. Этот номер используется для идентификации отправителя и получателя фрейма, и предполагается, что при появлении в сети нового компьютера (или другого устройства, способного работать в сети) сетевому администратору не придётся настраивать MAC-адрес.

Маска сети — битовая маска, определяющая, какая часть IP-адреса узла сети относится к адресу сети, а какая — к адресу самого узла в этой сети (при этом, в отличие от IP-адреса, маска подсети не является частью IP-пакета). Например, узел с IP-адресом 12.34.56.78 и маской подсети 255.255.255.0 находится в сети 12.34.56.0 с длиной префикса 24 бита. В случае адресации IPv6 адрес 2001:0DB8:1:0:6C1F:A78A:3CB5:1ADD с длиной префикса 32 бита (/32) находится в сети 2001:0DB8::/32.

Другой вариант определения — это определение подсети IP-адресов. Например, с помощью маски подсети можно сказать, что один диапазон IP-адресов будет в одной подсети, а другой диапазон соответственно в другой подсети.

Чтобы получить адрес сети, зная IP-адрес и маску подсети, необходимо применить к ним операцию поразрядной конъюнкции (логическое И).

IP-адрес называют статическим (постоянным, неизменяемым), если он назначается пользователем в настройках устройства, либо если назначается автоматически при подключении устройства к сети и не может быть присвоен другому устройству.

IP-адрес называют динамическим (непостоянным, изменяемым), если он назначается автоматически при подключении устройства к сети и используется в течение ограниченного промежутка времени, указанного в сервисе назначавшего IP-адрес (DHCP).

DHCP — сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный протокол работает по модели «клиент-сервер». Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к так называемому серверу DHCP, и получает от него нужные параметры. Сетевой администратор может задать диапазон адресов, распределяемых сервером среди компьютеров. Это позволяет избежать ручной настройки компьютеров сети и уменьшает количество ошибок. Протокол DHCP используется в большинстве сетей TCP/IP.

Настройка сети в VirtualBox¶

Чтобы изменить настройки сети для виртуальной машины в VirtualBox, выберите машину, нажмите Настройки и перейдите на вкладку сеть.

Существуют следующие варианты настройки сети в VirtualBox:

Здесь стоит обратить внимание на MAC-адрес (Может понадобится для выполнения лабораторных работ). Если вы «клонировали» машину, здесь нужно изменить MAC-адрес на новый.

Можно подключить к виртуальной машине еще 3 виртуальных адаптера. Настройки для них, выглядят так же, как и для «Адаптера 1».

Кроме этих настроек, есть еще настройки для сети NAT и Виртуального адаптера хоста. Чтобы получить к ним доступ, нажмите Файл/Настройки и перейдите на вкладку сеть.

Для выполнения лабораторной работы рекомендуется выбрать тип подключения «Сетевой мост» на обоих машинах.

Подробнее о настройке сети в VirtualBox можно прочитать на сайте VirtualBox.

Существует несколько средств сканирования Nmap, широко применяемых в настоящее время. Рассмотрим некоторые из них.

Ping-сканирование

Самым распространенным и простым способом сканирования является простое ping-сканирование, которое заключается в отправке ICMP пакетов на разные хосты. Хост, который активен, ответит на эти пакеты. Форма подачи запроса:

Если хост активен, то будет периодически выводиться строка вида:

64 bytes from 192.168.58.103: icmp_seq=1 ttl=64 time=0,284mc

TCP Connect()

Второй доступный метод сканирования — TCP Connect. Он заключается в том, что сканирующая машина пытается установить соединение со сканируемой. Успешный результат говорит о том, что порт открыт, неудачный — о том, что он закрыт или фильтруется. Это сканирование легко обнаруживается по огромному количеству записей в log-файле неудачных попыток установления соединения и ошибок исполнения этой операции. Понятно, что средства защиты с максимальным быстродействием заблокируют адрес, вызывающий ошибки.

-v: Увеличить уровень вербальности (задать дважды или более для увеличения эффекта)

Более совершенным методом сканирования является TCP SYN — так называемое «полуоткрытое сканирование». При вызове Nmap посылает SYN-пакет, как бы ради того, чтобы установить новое соединение. Если в ответе присутствуют флаги SYN или ACK, считается, что порт открыт. Флаг RST говорит об обратном. Если пришел ответ, говорящий о том, что порт открыт, nmap незамедлительно отправляет RST-пакет для сброса еще не установленного соединения. Сканирование осуществляется только при наличии прав суперпользователя (root).

Сканирования FIN, Xmas Tree и NULL

Тем не менее, межсетевой экран или другие защитные средства могут ожидать приходящие SYN-пакеты. Из-за этого зачастую такой метод сканирования не дает результата. Поэтому существует еще целая группа возможных способов сканирования, альтернативных TCP SYN. Это FIN, Xmas Tree и NULL-сканирования. Большинство операционных систем по умолчанию, согласно рекомендациям, должны ответить на такие пакеты, прибывшие на закрытые порты флагом RST. Важная деталь: ни одна операционная система семейства Windows никогда не ответит RST пакетом на пришедший FIN, XmasTree или NULL пакет. Используя этот факт даже при подобных, в общем-то, не особо детальных сканированиях можно предположить, как минимум семейство операционных систем.

Сканирование протоколов IP

Метод заключается в том, что хосту передаются IP пакеты без заголовков для каждого протокола сканируемого хоста. Если получено сообщение, говорящее о недоступности протокола, то этот протокол не поддерживается хостом. В противном случае — поддерживается.

Читайте также:  Установка dlc far harbor

ACK-сканирование

ACK сканирование заключается в передаче ACK пакетов на сканируемый порт. Если в ответ приходит RST пакет, порт классифицируется как не фильтруемый. Если нет ответа или пришел ответ в форме ICMP-сообщения о недоступности порта, порт считается фильтруемым. Этот метод никогда не покажет состояние порта «открыт».

TCP Window — похоже на ACK сканирование, однако по значениям поля Initial Window TCP-пакета пришедшего в ответ, можно определить открытые порты.

RPC-сканирование

RPC-сканирование используется для определения программы, обслуживающей порт и её версии, и заключается в «затоплении» NULL- пакетами оболочки SunRPC открытых TCP или UDP портов хоста.

Сканирование ОС

И, наконец, последнее — сканирование, используемое для определения ОС на сканируемом хосте.

На этом cкриншоте Nmap не удалось определить ОС. Так что просканируем другую систему.

Существует еще несколько методов сканирования Nmap, однако в условиях проведения данной лабораторной работы осуществить их не получится.

Honeypot¶

Honeypot («Ловушка») — ресурс, представляющий собой приманку для злоумышленников.

Фактически основная задача Honeypot — подвергнуться атаке или несанкционированному сканированию с целью изучения стратегии и методов сканирования и определения перечня средств, необходимых для предотвращения будущих атак. Суть работы Honeypot заключается в создании ловушек — образов систем, которые извне воспринимаются как полноценные машины с установленными на них операционными системами, а, следовательно, поддающиеся сканированию.

Использование Honeypot имеет практический и исследовательский смысл. Во-первых, если на сервере установлена хорошая система защиты, долгое время можно не замечать постоянных попыток сканирования — Honeypot укажет на их наличие. Во-вторых, серьезной проблемой специалистов по информационной безопасности является нехватка информации о методах и средствах, используемых злоумышленниками. Единственное, что позволяет получить информацию об этих средствах — испытание их действия на себе. И Honeypot является чуть ли не идеальным способом для этого, ведь в настоящее время этом точно известно: грамотно настроенный Honeypot практически невозможно распознать.

Следует отметить, что в условиях, в которых проводится лабораторная работа, придется отойти от реальной ситуации, когда хакеру неизвестно ничего о том, что из себя представляет сервер и не являются ли подключенные к нему машины всего лишь ловушками. Иными словами, нам будут известны ip-адреса сканируемых ловушек.

Для начала необходимо создать локальную сеть из двух машин. Рекомендуется использовать машины с установленными на них операционными системами Ubuntu Server. Далее необходимо разобраться непосредственно с ловушками.

На машину виртуальную машину «Hacker» необходимо установить Nmap (либо в случае с операционной системой с графической оболочкой — Zenmap) . На виртуальную машину «Server» установить и настроить Honeyd.

Однако на некоторых машинах при сканировании может появиться проблема: ни одна из ловушек не видна ни хостовой операционной системе, ни хакеру, ни самому серверу. В этом случае на помощь приходит команда arp, выполняемая с терминала хостовой машины. Синтаксис:

Mac-адрес можно легко узнать либо в настройках VirtualBox, либо с помощью команды ifconfig. То же самое необходимо сделать и с машиной хакера.

Honeyd¶

Если honeyd отсутствует в репозиториях, его можно скачать (*.deb пакет) и установить. Так же, можно скачать исходные коды honeyd с официального сайта и их скомпилировать.

Установка Farpd. .

Так же для Honeyd необходимо установить следующие пакеты:

Настройка Honeyd осуществляется путем изменения конфигурационного файла honeyd.conf.

После установки Honeyd появится файл /etc/honeypot/honeyd.conf со стандартными настройками. Вы можете изменить настройки в этом файле на свои. Или же, создать свой конфигурационный файл с настройками и при запуске указывать его.

Эта конфигурация с одной ловушкой. При сканировании будет выведен MAC-адрес, указанный в honeyd.conf, а процесс, запущенный на машине с Honeypot укажет, что был выведен этот адрес.

Здесь можно найти конфигурационный файл с подробным описанием. Он поможет настроить собственную конфигурацию при необходимости.

После этого на сервере необходимо запустить Honeypot ( можно с записью информации о работе в log-файл, либо без неё (см. ниже)). При этом будет осуществляться сканирование ip-адресов (либо отдельных, либо интервала) с помощью средств Nmap.

Если у вас есть ошибки в настройке конфигурационного файла «honeyd.conf», honeyd не запуститься. В терминале будет выводиться информация о работе Honeypot.

Задания к лабораторной работе¶

  • Настройте сеть, состоящую из двух компьютеров.
  • На одну из виртуальных машин устаните web-сервер .
  • На другую установите – Nmap .
  • Определите IP адрес виртуальной машины где установлен web-сервер apache.
  • Произведите сканирование web-сервера всеми описанными методами (Изучение средств сканирования Nmap).
  • Установите Honeyd.
  • Ознакомьтесь с информацией по настройке Honeyd и стандартным содержимым файла /etc/honeypot/honeyd.conf.
  • Настройте Honeypot изменив содержание файла /etc/honeypot/honeyd.conf .
  • Запустите .
  • Запустите honeyd.
  • Произведите сканирование сети с honeypot.
  • Измените настройки Honeypot. Усложните конфигурационный файл. Добавьте несколько ловушек, измените информацию об ОC, информацию о роутере, об открытых портах и.т.д..
  • Запустите honeyd.
  • Произведите сканирование.

Вопросы к лабораторной работе¶

  1. Что такое статический и динамический IP-адреса? В чём разница?
  2. В чём заключается метод сканирование протоколов IP?
  3. На какие пакеты большинство ОС должны ответить флагом RST?
  4. Назначение, цели, описание Honeypot.
  5. Какие цели может преследовать злоумышленник, взламывая сервера?
  6. Какое наказание предусмотрено в РФ за взлом?
  7. Как выявлять Honeypot?
  8. Что такое DHCP?
  9. Для чего используется RPC-сканирование?
  10. Перечислите основные методы сканирования Nmap.

© Copyright 2016, Пантюхин Игорь Сергеевич, Университет ИТМО.

источник

Установка honeypot на примере OpenSource Honeyd

Honeypots являются новой интересной технологией. Они позволяют нам брать инициативу в свои руки и изучать работу хакеров. В последние несколько лет растет интерес к этой технологии. Цель этой статьи – рассказать вам про honeypots и продемонстрировать их возможности. Мы начнем с обсуждения, что такое honeypots и как они работают, затем перейдем к OpenSource решению Honeyd.

Honeypots являются новой интересной технологией. Они позволяют нам брать инициативу в свои руки и изучать работу хакеров. В последние несколько лет растет интерес к этой технологии. Цель этой статьи – рассказать вам про honeypots и продемонстрировать их возможности. Мы начнем с обсуждения, что такое honeypots и как они работают, затем перейдем к OpenSource решению Honeyd.

Читайте также:  Установка люверсов на баннер расстояние

Что такое Honeypot?

На этот вопрос гораздо сложнее ответить, чем кажется. Множество людей имеют свое определение, что такое honeypot, и что он должен делать. Некоторые считают его средством для соблазнения и обмана взломщиков, другие полагают, что это технология для обнаружения атак, в то время как третьи думают, что honeypots – это реальные компьютеры, созданные для взлома и последующего изучения. На самом деле, все эти определения верны.

Honeypot – это средство безопасности, значение которого состоит в подверженности его сканированиям, атакам и взломам. Ключевым моментом в этом определении является то, что honeypots не ограничиваются решением только одной проблемы, а имеют несколько различных областей применения. Чтобы лучше понять ценность honeypots, мы можем подразделить их на две различные категории: производственные и исследовательские. Производственные honeypots используются для защиты вашей сети, они напрямую помогают обеспечить безопасность вашей организации. Исследовательские honeypots различны; они используются для сбора информации. Эта информация затем может быть использована для различных целей, таких как раннее предупреждение и предсказание, накопление информации, и обеспечение правопорядка.

Ни одно из решений не превосходит другое, все зависит от того, чего вы хотите достичь. В этой статье мы сконцентрируем внимание на производственных honeypots. Чтобы узнать больше об исследовательских honeypots, вы можете начать со статьи Know Your Enemy: Honeynets проекта Honeynet.

Чтобы лучше понять ценность производственных honeypots, мы будем использовать модель безопасности Bruce Schneier’а, а именно три уровня предотвращения, обнаружения и ответа. Honeypots могут применяться ко всем трем уровням. Для предотвращения honeypots могут использоваться при замедлении или остановке автоматизированных атак. Например, honeypot LaBrea Tarpit используется для замедления автоматизированных TCP атак, например червей. Против взломщиков-людей,для предотвращения атак, honeypots могут использовать психологическое оружие, такое как обман и устрашение (например, Fred Cohen’s site).

Honeypots также могут быть использованы для обнаружения неавторизованной активности. Традиционные решения обнаружения могут завалить организацию сигналами тревоги, в то время как всего несколько из этих сигналов относятся к реальным атакам. Также, многие из сегодняшних технологий не способны обнаруживать незнакомые атаки. Honeypots помогают решить обе эти проблемы. Они создают очень мало сигналов тревоги, но если создают, то вы можете быть почти уверены, что произошло что-то злонамеренное. Также honeypots могут обнаруживать и перехватывать как известные, так и неизвестные атаки.

И наконец, производственные honeypots могут использоваться для ответа на атаку. Если взломщик взломал сеть вашей организации и одна из систем, которую он взломал, оказалась honeypot, информация, собранная с этой системы, может использоваться для ответа на атаку. Honeypots могут также использоваться для разоблачения и идентификации нападавшего после того, как он однажды побывал в вашей организации. Для более всестороннего изучения honeypots вы можете прочитать книгу Honeypots: Tracking Hackers.

Honeyd

Теперь, когда вы имеете лучшее представление о технологиях honeypot, давайте создадим один из них. Мы собираемся использовать OpenSource решение Honeyd, которое разработано и поддерживается Niels Provos. Honeyd разработан для использования в Unix’овых операционных системах, таких как OpenBSD или Linux; однако вскоре будет адаптирован и к Windows. Поскольку это решение OpenSource, оно не только бесплатно, но мы также имеем полный доступ к исходному коду, находящемуся под лицензией BSD.

Первичной целью Honeyd является обнаружение, особенно обнаружение неавторизованной деятельности внутри вашей организации. Любая попытка подсоединения к неиспользуемому IP адресу считается неавторизованной или злонамеренной активностью. В конце концов, если не существует системы, использующей этот IP, почему кто-то или что-то пытается подсоединиться к нему? Например, если у вас сеть класса С, навряд ли используются все из 254 IP адресов. Любая попытка подсоединения к одному из неиспользуемых IP адресов наверняка является проверкой, сканированием, или червем, просачивающимся в вашу сеть.

Honeyd может наблюдать за всеми неиспользуемыми IP адресами одновременно. Когда происходит попытка подключения к одному из них, Honeyd автоматически определяет принадлежность неиспользуемого IP адреса, и начинает исследовать взломщика. Этот подход к обнаружению имеет множество преимуществ по сравнению с традиционными методами. Всякий раз, когда Honeyd выдает сигнал тревоги, вы знаете, что это наверняка реальная атака, а не ложный сигнал. Вместо того, чтобы засыпать вас десятками тысяч сигналов в день, Honeyd может выдавать всего 5-10. Более того, поскольку Honeyd не основан на каких-либо продвинутых алгоритмах, его легко устанавливать и обслуживать. И наконец, он обнаруживает не только известные атаки, но также неизвестные. Все, что проходит через него, будет обнаружено, не только последняя IIS атака, но и новая RPC атака, о которой еще никто не знал.

По умолчанию, Honeyd может обнаружить (и запротоколировать) любую активность на любом UDP или TCP порту, а также ICMP активность. Вам не нужно создавать сервис или прослушивать порт, к которому вы хотите контролировать подключения, Honeyd делает это все за вас. Однако, работая с Honeyd, Вы имеете дополнительную возможность не только обнаруживать атаки, но и создавать эмуляции сервисов, которые взаимодействуют с хакером заранее определенным образом. Например, вы можете создать FTP скрипт, который будет эмулировать wu-ftpd демон под Linux, или Telnet соединение к маршрутизатору Cisco. Эти эмулированные сервисы ограничены тем, что они имеют заранее определенное поведение. Такой скрипт может быть написан почти на любом языке, таком как Perl, Shell, или Expect. В момент написания этой статьи, Honeyd имел семь эмулированных сервисов, из которых вы можете выбирать. Поскольку Honeyd является открытым кодом, вы можете создавать и предоставлять свои собственные сервисы. Ниже находится пример сервиса, эмулирующего маршрутизатор Cisco. В этом случае, когда хакер подключается к Honeyd honeypot, он решит, что подключился к маршрутизатору Cisco.

Эта атака должна быть обнаружена и запротоколирована. Honeyd протоколирует как попытки подсоединения, так и закрытие соединения. Скрипт также эмулирует работу сервиса.

Honeyd также предоставляет другую замечательную возможность honeypot: эмулирование операционной системы на уровне ядра. Мы только что обсудили, как Honeyd может эмулировать различные операционные системы с использованием различных скриптов для различных сервисов. Эта возможность не уникальна, множество других honeypots также используют ее. Однако, Honeyd может также эмулировать операционные системы на уровне ядра. Взломщики часто удаленно определяют операционные системы по характерным отпечаткам (fingerprints) с использованием таких утилит, как Nmap или Xprobe. Honeyd использует ту же базу отпечатков, что и Nmap, для подделки ответов любой операционной системы, которую вы хотите эмулировать. В случае маршрутизатора Cisco, если взломщик использует опцию –o Nmap для проверки IP адреса, он получит результат, соответствующий маршрутизатору Cisco. Это помогает повысить реализм honeypot.

Читайте также:  Установка клапана для сброса воздуха

Конфигурирование Honeyd

Чтобы установить Honeyd, нам нужно скомпилировать и использовать две утилиты: Arpd и Honeyd. Honeyd не может все делать сам и требует помощи Arpd. Arpd используется для ARP спуфинга; он наблюдает неиспользуемое IP пространство и направляет атаки к Honeyd honeypot. Honeyd не имеет возможности направлять атаки к себе, он может только взаимодействовать с хакерами. Команды для их запуска представлены ниже. Сети в этих командах задаются те, которые должен мониторить Arpd и обрабатывать Honeyd. В нашем примере, мы хотим, чтобы honeypot контролировал неиспользуемое IP пространство в подсети 192.168.1.0/24.

Таким образом, основываясь на вышеуказанной команде, Arpd будет наблюдать за всем неиспользуемым IP пространством в подсети 192.168.1.0/24. Если он увидит пакеты, направленные к несуществующим IP адресам, он перенаправит эти пакеты к honeypot, используя Arp спуфинг второго уровня (layer 2). Он подделывает IP адрес жертвы под MAC адрес Honeypot. Поскольку этот спуфинг второго уровня, он также работает в среде switches. В команде запуска Honeyd, -p nmap.prints означает использование базы данных отпечатков операционных систем Nmap. Файл nmap.prints входит в пакет Hoheyd, но вы можете захотеть скачать свежую версию базы данных непосредственно с Nmap. Вторая опция для запуска Honeyd -f honeyd.conf – это конфигурационный файл honeypot. Он определяет поведение вашего honeypot. Ниже приведен пример.

Начинается он с создания различных типов компьютеров, которые вы хотите эмулировать, то что в Honeyd называется шаблонами. Эти шаблоны определяют поведение каждой эмулированной операционной системы. В этом конфигурационном файле мы создали два различных эмулированных компьютера: default и router. Первое, что необходимо сделать в каждом шаблоне, это задать «personality»; это то, что операционная система будет эмулировать на уровне IP стека. Описание типа ОС берется из базы данных отпечатков Nmap. В шаблоне default, мы присвоили personality «Windows NT 4.0 Server SP5-SP6», а в шаблоне router мы имеем personality «Cisco 4500-M running IOS 11.3(6) IP Plus». Обратите внимание, что personality не влияет на поведение эмулированного сервиса, а только на IP стек. Для эмулирования сервисов, вам необходимо выбрать различные скрипты, в зависимости от того, какой тип ОС вы хотите эмулировать. Другими словами, если ваш personality – Windows, не используйте скрипт Apache на порте HTTP. Вместо этого установите лучше на порт HTTP скрипт IIS.

Следующим шагом необходимо задать поведение каждого порта. Вы можете либо задать специфическое поведения для каждого порта, либо задать общее поведение. Например, в шаблоне default, мы задали всем TCP портам поведение reset, таким образом они будут на все попытки подсоединения отвечать RST (порты UDP, ICMP недостижимы). Другие опции – open (будет посылать в ответ ACK, или ничего для UDP) или block (не будет отвечать на TCP и UDP запросы). Четвертой опцией является использование скриптов для эмуляции сервисов. В случае шаблона default, мы привязали скрипты к портам 21, 80 и 110. Эти скрипты запускаются и взаимодействуют с хакером. У вас также есть возможность перенаправить попытки подсоединения к другой системе, или даже ко взломщику. В шаблоне default, мы перенаправляем все SSH подсоединения назад к хакеру. Существует также множество других продвинутых возможностей Honeyd, таких как создание виртуальной маршрутизируемой сети и поддельных временных отметок, но детальное объяснение находится за рамками этой статьи.

После того, как вы создали свои шаблоны, вам необходимо решить, какие IP адреса к какому шаблону привязаны. Используя команду bind, как мы делали в шаблоне router, вы можете привязать шаблон к определенному IP адресу. В этом случае, если кто-либо попытается подсоединиться к IP адресу 192.168.1.150, они будут взаимодействовать с Honeyd honeypot, с использованием шаблона router. Шаблон по умолчанию (default) является ключевым для Honeyd. Он обрабатывает все остальные подсоединения к неиспользуемому IP пространству. То есть, если хакер осуществит любое подсоединение к любому неиспользуемому IP адресу в подсети 192.168.1.0/24, он получит Windows компьютер, эмулированный Honeyd, за исключением IP 192.168.1.150, на котором он получит маршрутизатор Cisco.

Перед запуском Honeyd, ее автор (Niels Provos) рекомендует запустить на вашем honeypot Snort для сбора дополнительной информации. Преимущество использования Snort состоит в том, что он не только предоставляет больше информации об атаках, используя свои IDS предупреждения, но и может перехватывать любой пакет с данными, идущий к или от honeypot. Эта информация может быть важной при анализе атак, особенно неизвестных.

Как правило, перехват всей сетевой активности и всех данных пакетов требует много системных ресурсов. Однако учтите, что honeypot имеет очень низкий трафик, и этот трафик в большинстве случаев является злонамеренной или неавторизованной активностью. Чтобы облегчить пользователям работу с Honeyd, был создан пре-компилированный Linux Honeyd Toolkit. Этот набор утилит включает статически скомпилированные Arpd и Honeyd бинарники для Linux, со всеми требуемыми конфигурационными файлами и скриптами, обсужденными в этой статье. Цель этого в том, чтобы вы могли закачать это на свой Linux компьютер и немедленно начать работать с Honeyd.

Заключение

Целью этой статьи было кратко рассказать вам о honeypots и их значении. Далее мы в деталях обсудили, как работает один из honeypot, Honeyd, и как вы можете установить его. Более подробно о Honeyd и honeypots вообще, вы можете узнать на сайте автора http://www.tracking-hackers.com/.

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

источник