Honeyd: il log cresce troppo velocemente

6

Ho problemi con honeyd log; cresce troppo velocemente. Ho avviato il daemon honeyd con

honeyd -l /var/log/honeypot/honey.log -u 1000 -g 1000 -f honeyd.conf

/var/log/honeypot/honey.log è 1+ log GiB dopo ~ 4 ore.

Sto utilizzando il seguente file honeyd.conf :

create default
set default default tcp action block
set default default udp action block
set default default icmp action block

create windows
set windows personality "Microsoft Windows XP Professional SP1"
set windows default tcp action reset
add windows tcp port 22 "scripts/test.sh" 
add windows tcp port 135 proxy $ipsrc:135 
add windows tcp port 137 proxy $ipsrc:137
add windows tcp port 138 proxy $ipsrc:138
add windows tcp port 139 proxy $ipsrc:139
add windows tcp port 445 proxy $ipsrc:445 
add windows tcp port 8008 "scripts/web.sh"
add windows udp port 137 proxy $ipsrc:137
add windows udp port 138 proxy $ipsrc:138
add windows udp port 445 proxy $ipsrc:445

set windows ethernet "realtek"
bind "192.168.1.6" windows

Nei log posso trovare che sta registrando anche tutti i pacchetti inviati a 192.168.1.2 e 192.168.1.5, che sono gli altri IP in questo segmento Ethernet.

C'è un modo per filtrare ciò che viene registrato? Voglio solo registrare i pacchetti diretti a honeypot (192.168.1.6).

Grazie in anticipo.

    
posta m0skit0 20.12.2012 - 13:57
fonte

3 risposte

0

Puoi dire honeyd per filtrare per IP (registra solo le comunicazioni da / verso un IP specifico) modificando l'impostazione NETWORK in /etc/defaults/honeyd . Nel mio caso:

NETWORK=192.168.1.6
    
risposta data 20.12.2012 - 17:05
fonte
10

Di solito un gran numero di voci di registro da un honeypot provengono da uno dei seguenti due motivi:

  1. Il tuo ambiente viene sottoposto a scansione come un codice a barre macchiato.
  2. Hai commesso l'errore di mettere il tuo honeypot su una rete non oscura.

Hai configurato il tuo honeypot come un tipico desktop Windows, quindi molti servizi Windows attivi, condivisione aperta, ecc. Ciò che vedi probabilmente è quanto incredibilmente NOISY è il protocollo NetBIOS. Windows è eccezionalmente loquace con il rilevamento di condivisione di file e stampanti, l'autoconfigurazione del gruppo di lavoro e il mio preferito ... Elezioni del browser .

Senza realmente vedere un'analisi dei tuoi file di log, ho intenzione di indovinare che sei stato inondato dal honeypot che riportava tutte quelle assurdità di Windows. In generale, gli honeypot sono progettati per sedersi su reti oscure, cioè una sottorete nello spazio degli indirizzi che altrimenti non è allocata. Assumono che il traffico che raggiunge il sistema sia malevolo o per lo meno non valido e dovrebbe essere segnalato.

    
risposta data 20.12.2012 - 14:21
fonte
1

potresti usare splunk connect per il tuo honeyd e usarlo per afferrare il valore chiave che ti serve. per quanto riguarda il log di honeyd, basta cancellarlo usando cron. Come splunk ha il proprio DB per ottenere il registro

Trovo molto più semplice e più semplice analizzare i log e può aiutarti a ridurre la quantità di dati da honeyd

    
risposta data 20.12.2012 - 17:16
fonte

Leggi altre domande sui tag