Ho problemi con honeyd
log; cresce troppo velocemente. Ho avviato il daemon honeyd
con
honeyd -l /var/log/honeypot/honey.log -u 1000 -g 1000 -f honeyd.conf
/var/log/honeypot/honey.log
è 1+ log GiB dopo ~ 4 ore.
Sto utilizzando il seguente file honeyd.conf
:
create default
set default default tcp action block
set default default udp action block
set default default icmp action block
create windows
set windows personality "Microsoft Windows XP Professional SP1"
set windows default tcp action reset
add windows tcp port 22 "scripts/test.sh"
add windows tcp port 135 proxy $ipsrc:135
add windows tcp port 137 proxy $ipsrc:137
add windows tcp port 138 proxy $ipsrc:138
add windows tcp port 139 proxy $ipsrc:139
add windows tcp port 445 proxy $ipsrc:445
add windows tcp port 8008 "scripts/web.sh"
add windows udp port 137 proxy $ipsrc:137
add windows udp port 138 proxy $ipsrc:138
add windows udp port 445 proxy $ipsrc:445
set windows ethernet "realtek"
bind "192.168.1.6" windows
Nei log posso trovare che sta registrando anche tutti i pacchetti inviati a 192.168.1.2 e 192.168.1.5, che sono gli altri IP in questo segmento Ethernet.
C'è un modo per filtrare ciò che viene registrato? Voglio solo registrare i pacchetti diretti a honeypot (192.168.1.6).
Grazie in anticipo.