家に予備のコンピューターを置いてあるので、ハニーポットに変えることにしました。これまでのところ、Windows XP(サービスパックなし)をインストールし、ポートにハニーポットに転送するルールをルーターに設定しています。ルーターはDMZをサポートしていないため、手動でルールを作成する必要があります。現在、TCPポート80、100-140および1000-1500を転送します(これらの値はかなりランダムに選択しました)。ハニーポットでは、Wiresharkを使用してネットワークトラフィックを監視します。
しかし、ハニーポットは感染していないようです。外部からのトラフィックはほとんどありません。
何が悪いのですか?他のポートを転送する必要がありますか?自分の存在をインターネットで何らかの形で宣伝する必要がありますか?
ご意見をお寄せいただきありがとうございます。
追記:ホームネットワーク内でハニーポットを実行することの危険性は知っています。
ハニーポットマシンを危険にさらし、ボットネットの一部にしたい場合は、マシンで脆弱なサービスを実行している必要があります。選択する脆弱なサービスは、ハニーポットマシンに転送したポートと一致する必要があり、ワームが積極的に悪用しようとしているサービスと一致する必要があります。
Windowsの場合XPマシンの場合、ポート137、138、139、445を転送すると、大量の攻撃トラフィックが発生します。これらのポートはNetBIOSおよびSamba用であり、すべてのポートから一定のトラフィックストリームを受信します。インターネット。
転送ポート80は、ハニーポットマシンでWebサーバーを実行している場合にのみ役立ちます。 Webサーバーでは2つの方向に進むことができます。既知の脆弱性を持つ古いバージョンのHTTPデーモン自体を実行するか、現在のバージョンを実行してから、古いバージョンのWordpressまたはphpMyAdminなど)の脆弱なWebアプリケーションを実行します。
サービスを実行してみて、それらが脆弱であり、ワームがそれらを悪用しようとしていることを期待することができますが、特定のワームが対象とするサービスを検索して実行する方が効果的かもしれません。
この問題を解決するもう1つの方向は、入力ポイントでのログ記録を有効にし、どのトラフィックがあなたを襲っているのかを確認することです。上記のポートで多くのトラフィックが表示されると思いますが、おそらく他のポートでもトラフィックが表示されるでしょう。 ポートが使用される を確認し、マシンでそのサービスを実行します。
ハニーポットに関して私がこれに追加することがいくつかあります:
ハニーポットの目的は、攻撃者またはワームがホストに危害を加えた場合の動作を調査することです。ボックス自体に広範な監視とログを設定して、実際に役立つ情報を得ることができます。また、いつ侵害されたかを知ることも重要です。ほとんどのハニーポットは、マシンの現在の状態を既知の正常なコピーと簡単に比較できるようにするために、仮想マシン内で実行されます。ルートキットは、比較に使用しているツールそのものを変更できるため、ハニーポット内からこれを行うのは適切ではありません。
ハニーポットマシンとの間のすべてのトラフィックを監視する必要があります。これは、完全なパケットキャプチャを意味します。これを行う通常の方法は、スイッチのスパニングポートを使用することですが、スイッチにその機能がない場合、おそらくVMのハイパーバイザーで行うことができます。通常は、ハニーポット内でそれ。
ハニーポットをホームネットワーク内で実行することの危険性を認識しているとのことですが、私はそれをオンラインにする前に取らなければならない予防措置についても知っていることを意味すると思います。具体的には、ハニーポットマシンがローカルネットワークの残りの部分に接続できないようにネットワークとファイアウォールを構成します。また、インターネットへの開始を許可する送信接続に注意することもお勧めします。多くの場合、最初に行うのはルートキットとおそらく興味のあるワーカープログラムをダウンロードすることですが、次のことはより多くのターゲットへの攻撃を開始することであり、これは通常許可するものではありません。
ハニーポットを作成するための特定のツール も存在します。これらのツールには、ハイパーバイザー全体とVMスタックで上記のすべてのことを可能にします。同じサイトで ロギング、モニタリング、分析用のツール および大量の ハニーポットの実行方法に関する情報 と、それを攻撃する可能性のある人。
あなたが作成したのは、相互作用の高いハニーポットです。つまり、危険にさらされ、その後フォレシクス調査者(もちろんあなた)によって分析されるのを待っているライブシステムです。私はLinuxベースの低対話型ハニーポットから始めます。ハニーポットサービスを実行するだけで、仮想ファイルシステムと偽のサービスを作成し、攻撃者(または自動化されたツール)がこれを「実際の」システムであると信じ込ませることができます。プローブを設定してキャッチするための非常に簡単なツールは、SSHハニーポットである Kippo です。私はあなたにとって興味深いかもしれない、そのための視覚化ツールも開発しています(もちろん、あなたはあなたのデータの素晴らしいプレゼンテーションを得るでしょう)。もう1つのよく知られている低対話型ハニーポットは honeyd ですが、もちろん、何をするつもりかによっては、設定が少し難しいです(honeydはルーター、サーバー、ワークステーションなど)。
それらの答えのほとんどは正しいですが、いくつかの情報が欠けているように感じます。
最初に、インストールするハニーポットのタイプに依存することを明確にしたいと思います。次に、低相互作用ハニーポットと同様に、広範囲なモニタリングをインストールするかどうかを決定します。一般的に、広範囲な構成は行いません。 。ただし、主にリサーチカテゴリで使用される独自のIPを備えた高相互作用または物理ハニーポットを使用している場合。
これは、ハニーポットとして指定したものは何でも、システムがプローブされ、攻撃され、潜在的に悪用されることが期待と目標であり、Honeybotは1000以上のUDPとTCPコンピュータとこれらのソケットは、脆弱なサービスを模倣するように設計されています。また、小さな価値のある防止ではなく、検出および応答ツールです。
あなたがそれらを使用しているソフトウェアに依存しますそれらのほとんどは電子メールと通知アラートを使用しています。 honyed、mantrap、honeynetsのように。ファイアウォールを介して展開する方が良いでしょう。
覚えておくべきもう1つのことは、ハニーポットは、攻撃されない場合は無価値です。前述のとおり、またはFullパケットをキャプチャする場合、これは、熟練した攻撃者にハイジャックの機会を与えることも意味しますあなたのハニーポット。また、攻撃者がハニーポットの1つを危険にさらした場合、攻撃者はあなたの制御下にない他のシステムを攻撃しようとする可能性があります。これらのシステムはインターネットのどこにでも配置でき、攻撃者はハニーポットを足がかりとして機密システムを攻撃する可能性があります。