Honeyd

提供: ArchWiki
移動先: 案内検索

Honeyd はコンピュータネットワーク上に複数のバーチャルホストをセットアップ・実行できるオープンソースのコンピュータ・プログラムです。バーチャルホストは様々なタイプのサーバーを模倣するように設定できるので、ユーザーはあらゆるコンピュータネットワークの構成をシミュレートできます。Honeyd が利用されるのは主としてコンピュータセキュリティの領域で、専門家やホビイストなどによって使われています。

このページではシンプルな設定から実行する方法を説明します。サーバーが使用する IP アドレスは 192.168.1.10 で、honeyd デーモンは 10.0.0.1 を listen することとします。

インストール

AUR から honeydAUR パッケージをインストールしてください。

設定ファイル

以下のファイルを作成してください:

/root/default.conf
create host
set host default tcp action reset
add host tcp port 23 "/tmp/hello.sh"

bind 10.0.0.1 host
/tmp/hello.sh
#!/bin/sh
echo "Led Zeppelin, great band or greatest band?"
while read data
do
        echo "$data"
done

ファイアウォールで、以下のルートを追加してください:

Destination IP 	Netmask 	Gateway
10.0.0.0	        255.0.0.0	192.168.1.10

サーバーでシェルを2つ開きます。片方のシェルでは、honeyd プログラムを実行します。もう片方のシェルでは、nc を使って honeyd に接続します。以下のように出力されます:

$ honeyd -d -p /usr/share/honeyd/nmap.prints -f default.conf 10.0.0.0/8
Honeyd V1.5c Copyright (c) 2002-2007 Niels Provos
honeyd[3985]: started with -d -p /usr/share/honeyd/nmap.prints -f default.conf 10.0.0.0/8
Warning: Impossible SI range in Class fingerprint "IBM OS/400 V4R2M0"
Warning: Impossible SI range in Class fingerprint "Microsoft Windows NT 4.0 SP3"
honeyd[3985]: listening promiscuously on eth0: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip and (net 10.0.0.0/8))) and not ether src MAC_ADDY_HERE
honeyd[3985]: Demoting process privileges to uid 99, gid 99
honeyd[3985]: Connection request: tcp (192.168.1.10:60109 - 10.0.0.1:23)
honeyd[3985]: Connection established: tcp (192.168.1.10:60109 - 10.0.0.1:23) <-> /tmp/hello.sh
honeyd[3985]: Connection dropped by reset: tcp (192.168.1.10:60109 - 10.0.0.1:23)
^Choneyd[3985]: exiting on signal 2
$ nc 10.0.0.1 23
Led Zeppelin, great band or greatest band?
greatest
greatest

^C

上記のように出力されれば、シンプルな、基本的な honeyd のセットアップは完了です。honeyd を終了するには、次のコマンドを実行:

$ killall honeyd

詳しい使い方は Niels Provos による "Virtual Honeypots: From Botnet Tracking to Intrusion Detection" を読んでください。

参照