Honeyd
ナビゲーションに移動
検索に移動
Honeyd はコンピュータネットワーク上に複数のバーチャルホストをセットアップ・実行できるオープンソースのコンピュータ・プログラムです。バーチャルホストは様々なタイプのサーバーを模倣するように設定できるので、ユーザーはあらゆるコンピュータネットワークの構成をシミュレートできます。Honeyd が利用されるのは主としてコンピュータセキュリティの領域で、専門家やホビイストなどによって使われています。
このページではシンプルな設定から実行する方法を説明します。サーバーが使用する IP アドレスは 192.168.1.10 で、honeyd デーモンは 10.0.0.1 を listen することとします。
インストール
AUR から honeydAUR パッケージをインストールしてください。
設定ファイル
以下のファイルを作成してください:
/root/default.conf
create host set host default tcp action reset add host tcp port 23 "/tmp/hello.sh" bind 10.0.0.1 host
/tmp/hello.sh
#!/bin/sh
echo "Led Zeppelin, great band or greatest band?"
while read data
do
echo "$data"
done
ファイアウォールで、以下のルートを追加してください:
Destination IP Netmask Gateway 10.0.0.0 255.0.0.0 192.168.1.10
サーバーでシェルを2つ開きます。片方のシェルでは、honeyd プログラムを実行します。もう片方のシェルでは、nc を使って honeyd に接続します。以下のように出力されます:
$ honeyd -d -p /usr/share/honeyd/nmap.prints -f default.conf 10.0.0.0/8
Honeyd V1.5c Copyright (c) 2002-2007 Niels Provos honeyd[3985]: started with -d -p /usr/share/honeyd/nmap.prints -f default.conf 10.0.0.0/8 Warning: Impossible SI range in Class fingerprint "IBM OS/400 V4R2M0" Warning: Impossible SI range in Class fingerprint "Microsoft Windows NT 4.0 SP3" honeyd[3985]: listening promiscuously on eth0: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip and (net 10.0.0.0/8))) and not ether src MAC_ADDY_HERE honeyd[3985]: Demoting process privileges to uid 99, gid 99 honeyd[3985]: Connection request: tcp (192.168.1.10:60109 - 10.0.0.1:23) honeyd[3985]: Connection established: tcp (192.168.1.10:60109 - 10.0.0.1:23) <-> /tmp/hello.sh honeyd[3985]: Connection dropped by reset: tcp (192.168.1.10:60109 - 10.0.0.1:23) ^Choneyd[3985]: exiting on signal 2
$ nc 10.0.0.1 23
Led Zeppelin, great band or greatest band? greatest greatest ^C
上記のように出力されれば、シンプルな、基本的な honeyd のセットアップは完了です。honeyd を終了するには、次のコマンドを実行:
$ killall honeyd
詳しい使い方は Niels Provos による "Virtual Honeypots: From Botnet Tracking to Intrusion Detection" を読んでください。