Estoy tratando de entender a Dionaea honeypot y el flujo de información.
Entiendo que emula algunos servicios, como SMB, ftp, tftp, intento
Responde con estos, luego obtiene el shellcode y lo analiza con libemu.
Mi pregunta es cómo funcionan los servicios emulados y cómo se pueden explotar.
Ok, digamos que el atacante usará una vulnerabilidad ftp. ¿Qué va a enviar?
¿Cuáles son las respuestas de honeypot?
¿A qué nivel OSI están sucediendo?
En OSI lvl. 3 se captura Y maneja el lvl 4-7 en una caja de arena, que están realizando el análisis y la emulación en un entorno seguro.
ACTUALIZACIÓN: en el caso de FTP, escucha los paquetes que llegan al puerto FTP, los captura, luego libemu toma su parte y comienza el proceso: crea una capa de capa 7 a capa 4 " "que actúa como un servidor FTP. La "cosa" es en realidad un honeypot : responde según lo ordenado, dando a un atacante la sensación de que hay información que puede ser robada o se puede ejecutar un código de shell: los dulces para un hacker, o La miel . Por supuesto, es solo una trampa con script, que puede registrar todo lo que el atacante hace o intenta hacer.