Sto cercando di capire l'honeypot di Dionaea e il flusso di informazioni.
Comprendo che emula alcuni servizi, come SMB, ftp, tftp, try to
rispondi a questi, poi prende lo shellcode e lo analizza con libemu.
La mia domanda è come funzionano i servizi emulati e come possono essere sfruttati.
Ok, diciamo che l'attaccante userà una vulnerabilità ftp. Cosa manderà?
Quali sono le risposte di honeypot?
A quale livello OSI sta accadendo tutto?
In OSI lvl. 3 è catturato e gestito lvl 4-7 in una sandbox, che stanno facendo l'analisi e l'emulazione in ambiente sicuro.
UPDATE: In caso di FTP, ascolta i pacchetti che arrivano alla porta FTP, li cattura, dopo che libemu prende la sua parte e il processo ha inizio: crea una cosa da layer7 a layer4 "che si comporta come un server FTP. La "cosa" è in realtà un honeypot - risponde come ordinato, dando a un attaccante la sensazione che ci siano alcune informazioni che possono essere rubate o un codice shell può essere eseguito - i dolci per un hacker o il miele . Ovviamente è solo una trappola programmata, in grado di registrare tutto ciò che l'attaccante fa / tenta di fare.