He estado trabajando para intentar evitar la identificación del servicio Dionaea utilizando artículos como esto . He logrado disimular la mayoría de los puertos que utiliza Dionaea. Sin embargo, al escanear con nmap, los puertos 5060 / tcp y 5061 / tcp siguen apareciendo como servicios honeypot y ssl / honeypot, respectivamente, y nmap los identifica como Dionaea Honeypot sipd.
También, por alguna razón, el puerto 5060 / udp aparece como un punto final del servicio SIP.
¿Alguien tiene alguna idea de cómo puedo evitar que Dionaea identifique esos dos puertos también? Todos los recursos en línea que hablan sobre la ocultación de diona no tratan realmente sobre la ocultación de los servicios de sip de dionaea, ya que las versiones anteriores de nmap no parecen ser capaces de identificarlos.
Para referencia, aquí está la línea en nmap-service-sones que permite al software identificar el honeypot.
match honeypot m|^SIP/2\.0 200 OK\r\nContent-Length: 0\r\nVia: SIP/2\.0/TCP nm;branch=foo\r\nFrom: sip:nm@nm;tag=root\r\nAccept: application/sdp\r\nTo: sip:nm2@nm2\r\nContact: sip:nm2@nm2\r\nCSeq: 42 OPTIONS\r\nAllow: REGISTER, OPTIONS, INVITE, CANCEL, BYE, ACK\r\nCall-ID: 50000\r\nAccept-Language: en\r\n\r\n| p/Dionaea Honeypot sipd/