Tengo problemas con honeyd
log; crece demasiado rápido. Comencé el honeyd
daemon con
honeyd -l /var/log/honeypot/honey.log -u 1000 -g 1000 -f honeyd.conf
/var/log/honeypot/honey.log
es 1+ registro GiB después de ~ 4 horas.
Estoy usando el siguiente archivo honeyd.conf
:
create default
set default default tcp action block
set default default udp action block
set default default icmp action block
create windows
set windows personality "Microsoft Windows XP Professional SP1"
set windows default tcp action reset
add windows tcp port 22 "scripts/test.sh"
add windows tcp port 135 proxy $ipsrc:135
add windows tcp port 137 proxy $ipsrc:137
add windows tcp port 138 proxy $ipsrc:138
add windows tcp port 139 proxy $ipsrc:139
add windows tcp port 445 proxy $ipsrc:445
add windows tcp port 8008 "scripts/web.sh"
add windows udp port 137 proxy $ipsrc:137
add windows udp port 138 proxy $ipsrc:138
add windows udp port 445 proxy $ipsrc:445
set windows ethernet "realtek"
bind "192.168.1.6" windows
En los registros puedo encontrar que está registrando también todos los paquetes enviados a 192.168.1.2 y 192.168.1.5, que son las otras IP en este segmento de Ethernet.
¿Hay alguna forma en que pueda filtrar lo que se está registrando? Solo quiero registrar los paquetes dirigidos al honeypot (192.168.1.6).
Gracias de antemano.