Honeyd: el registro crece demasiado rápido

6

Tengo problemas con honeyd log; crece demasiado rápido. Comencé el honeyd daemon con

honeyd -l /var/log/honeypot/honey.log -u 1000 -g 1000 -f honeyd.conf

/var/log/honeypot/honey.log es 1+ registro GiB después de ~ 4 horas.

Estoy usando el siguiente archivo honeyd.conf :

create default
set default default tcp action block
set default default udp action block
set default default icmp action block

create windows
set windows personality "Microsoft Windows XP Professional SP1"
set windows default tcp action reset
add windows tcp port 22 "scripts/test.sh" 
add windows tcp port 135 proxy $ipsrc:135 
add windows tcp port 137 proxy $ipsrc:137
add windows tcp port 138 proxy $ipsrc:138
add windows tcp port 139 proxy $ipsrc:139
add windows tcp port 445 proxy $ipsrc:445 
add windows tcp port 8008 "scripts/web.sh"
add windows udp port 137 proxy $ipsrc:137
add windows udp port 138 proxy $ipsrc:138
add windows udp port 445 proxy $ipsrc:445

set windows ethernet "realtek"
bind "192.168.1.6" windows

En los registros puedo encontrar que está registrando también todos los paquetes enviados a 192.168.1.2 y 192.168.1.5, que son las otras IP en este segmento de Ethernet.

¿Hay alguna forma en que pueda filtrar lo que se está registrando? Solo quiero registrar los paquetes dirigidos al honeypot (192.168.1.6).

Gracias de antemano.

    
pregunta m0skit0 20.12.2012 - 13:57
fuente

3 respuestas

0

Puede indicar a honeyd que filtre por IP (registrar solo las comunicaciones de / a una IP específica) cambiando la configuración de NETWORK en /etc/defaults/honeyd . En mi caso:

NETWORK=192.168.1.6
    
respondido por el m0skit0 20.12.2012 - 17:05
fuente
10

Por lo general, un gran número de entradas de registro de un honeypot se debe a una de dos razones:

  1. Se escanea su entorno como un código de barras manchado.
  2. Cometiste el error de poner tu honeypot en una red no oscura.

Ha configurado su honeypot como un escritorio de Windows bastante típico, por lo que muchos de los servicios de Windows están activos, se pueden compartir, etc. Lo que probablemente está viendo es increíblemente NOISY el protocolo NetBIOS es. Windows es excepcionalmente hablador con el descubrimiento de archivos e impresoras compartidas, la configuración automática del grupo de trabajo y mi favorito personal ... Elecciones del navegador .

Sin ver realmente un análisis de sus archivos de registro, voy a adivinar que está siendo inundado por el honeypot que informa de todas esas tonterías de descubrimiento de Windows. En general, los honeypots grandes están diseñados para ubicarse en redes oscuras, es decir, una subred en su espacio de direcciones que, de lo contrario, no está asignado. Suponen que cualquier tráfico que llegue al sistema es malicioso o, como mínimo, no válido, y debe informarse.

    
respondido por el Scott Pack 20.12.2012 - 14:21
fuente
1

podría usar la conexión Splunk a su Honeyd y usarla para obtener el valor clave que necesita. en cuanto al registro de honeyd, simplemente elimínelo usando cron. Como Splunk tiene su propia base de datos para obtener el registro

Me parece mucho mejor y más simple analizar los registros y puedo ayudarte a reducir la cantidad de datos de honeyd

    
respondido por el Len 20.12.2012 - 17:16
fuente

Lea otras preguntas en las etiquetas