Se vuoi solo ottenere la tua macchina honeypot compromessa e parte di una botnet, dovrai eseguire servizi vulnerabili sulla macchina. I servizi vulnerabili che scegli dovranno abbinare le porte che hai inoltrato alla macchina honeypot e dovranno anche abbinare i servizi che i worm stanno attivamente cercando di sfruttare.
Per una macchina Windows XP, l'inoltro delle porte 137, 138, 139 e 445 dovrebbe farti avere un sacco di traffico d'attacco. Queste porte sono per NetBIOS e Samba e ricevono tutti un flusso costante di traffico da Internet.
La porta di inoltro 80 sarà utile solo se si sta eseguendo un server Web sulla macchina honeypot. Puoi andare in due direzioni con un server web; eseguire una vecchia versione del daemon HTTP stesso che ha vulnerabilità note o eseguire una versione corrente e quindi eseguire un'applicazione Web vulnerabile come una versione precedente di Wordpress o phpMyAdmin.
Puoi semplicemente provare a eseguire i servizi e sperare che siano vulnerabili e che i worm stiano cercando di sfruttarli, ma potrebbe essere più efficace cercare i servizi che i worm specifici hanno come target ed eseguire quelli.
L'altra direzione per risolvere questo problema è abilitare la registrazione sul tuo punto di ingresso e vedere quale traffico ti sta colpendo. Sospetto che vedrai molto traffico sulle porte che ho menzionato sopra, ma probabilmente vedrai il traffico anche su altri porti. Scopri quali le porte sono utilizzate per una corsa quel servizio sulla tua macchina.
Ci sono alcune cose che vorrei aggiungere a questo riguardo agli honeypot:
Lo scopo di un honeypot è studiare cosa fa l'attaccante o il worm una volta compromesso un host. Dovrai impostare un monitoraggio completo e la registrazione sulla scatola stessa in modo da ottenere alcune utili informazioni dall'esercizio. È anche importante che tu sappia quando sei stato compromesso. La maggior parte degli honeypot viene eseguita all'interno di macchine virtuali al fine di offrire un modo semplice per confrontare lo stato corrente della macchina con una copia nota. Non è sufficiente farlo dall'interno dell'honeypot perché i rootkit possono modificare gli stessi strumenti che si stanno utilizzando per fare il confronto.
Dovrai monitorare tutto il traffico da e verso la macchina honeypot. Con questo intendo le acquisizioni di pacchetti completi. Il modo normale per farlo è con una porta spanning sul tuo switch ma probabilmente può essere fatto nell'hypervisor della VM se il tuo switch non ha questa capacità. Normalmente non lo faresti all'interno di honeypot.
Hai detto di essere consapevole dei pericoli insiti nell'esecuzione del tuo honeypot all'interno della rete domestica. Presumo che questo significhi anche che sei consapevole delle precauzioni che dovrai prendere prima di metterlo online. Nello specifico, configurazione della rete e del firewall in modo che la macchina honeypot non possa contattare nessuno del resto della rete locale. Inoltre, è buona norma prestare attenzione a quali connessioni in uscita è possibile consentire l'avvio a Internet. La prima cosa che tenterà spesso di fare è scaricare un rootkit e i programmi worker che probabilmente ti interessano, tuttavia la prossima cosa è spesso iniziare ad attaccare più target, e questo non è qualcosa che normalmente vorresti permettere.
Esistono anche strumenti specifici per la creazione di honeypot . Questi strumenti includono interi hypervisor e stack VM che abilitano tutte le cose che ho menzionato sopra. Sullo stesso sito puoi trovare strumenti per la registrazione, il monitoraggio e l'analisi e anche un carico di informazioni su come eseguire un honeypot e chi è probabile che vedano l'attacco.