ハニーポットソフトウェアの推奨事項
私たち2人は、学習を目的としてハニーポット/ハニーネットをセットアップしたいと考えていました。実稼働環境になる予定はありません。インタラクションの多いハニーポットまたはインタラクションの少ないハニーポットの推奨事項は何ですか。また、最終的には調査結果をある種のビジネススタイルのレポートに報告したいので、情報をまとめたものも良いでしょう。
以下を調べましたが、気に入った場合はその理由を教えてください。
- honeyd -全体的にすばらしいが、相互作用の少ないハニーポット
- mwcollect / nepenthes -十分にサポートされているが、相互作用が低すぎる
- cuckoo -面白そうだが難しいセットアップと古いドキュメント
編集:どのハニーポットがマルウェア分析に最良の結果をもたらしましたか?相互作用の少ないハニーポットは、ポートを開くふりをするよりもはるかに先に進みませんが、攻撃を追跡し、ペイロード感染を許可し、どこからでもそれを封じ込め、それに基づいてレポートを生成し、その後、攻撃の後に、クリーンな環境でやり直してください。
誰もがハニーポットをやりますか? :)
正確な仕様はありませんが、機密性の高い環境を自由に利用できるソースに基づいて非常に成功したワイヤレスハニーネットを実行して、環境内にアクティブな攻撃者がいるかどうか、およびそれらが何をするかを確認していました。
私たちのセットアップの中心は、ハニーネットベースの環境を実行しているラップトップであり、VMで実行されている複数の仮想ホスト間のトラフィックが金融サーバー、データベース、ユーザーなどのようにシミュレートされています。実際のトラフィックのエミュレーションがなければ、経験豊富な攻撃者は、ハニーネット内にあります。
別のラップトップでは、攻撃者からの可視性を防ぐために単方向イーサネットケーブルで接続されていたのが、私たちのロギングプラットフォームでした。繰り返しになりますが、攻撃者が想定される環境に適さないロガーを見つけた場合、それらは疑わしいものになります。
このハニーネットは非常に構成可能であり、最初に設定するにはかなりの作業が必要でした(私のチームの1つがほとんどを作成しました)と、彼はそれはかなり簡単だと言いました。
誰もお勧めしていないと思います HoneyBOT
DMZ自宅で壊れたネットブックでドライブとスクリーンを必要とするために$ 20を支払いました。今では50ドル未満のヘッドレスマシンであり、リサーチボックスとして使用されています。 。低電力は、24時間365日稼働するのにも安価で、
ルーターとケーブルモデムのすべてのライトが常にクリスマスツリーのように常に点灯するのはなぜか、ホームネットワークでネットワークアクティビティがないのではないかといつも疑問に思いました。@#@ $ポートは午前2時にスキャンします。
軽量ハニーポットの場合、いつでも探すことができます
Dionaea honeypot: http://dionaea.carnivore.it [脆弱なWindowsサービス、主にSMBをエミュレートし、最近VOIPをサポート]
Kippoハニーポット: http://code.google.com/p/kippo/ [SSH- Secure Shellエミュレーションの場合]
どちらでも十分です。インストールは、ボックスインストールセットアップの完全な吹き込みよりも簡単です。