Honeyd:原木增长太快

信息安全 日志记录 蜜罐
2021-08-30 19:13:54

我在honeyd记录日志时遇到问题;它增长得太快了。我启动了honeyd守护进程

honeyd -l /var/log/honeypot/honey.log -u 1000 -g 1000 -f honeyd.conf

/var/log/honeypot/honey.log 约 4 小时后为 1+ GiB 日志。

我正在使用以下honeyd.conf文件:

create default
set default default tcp action block
set default default udp action block
set default default icmp action block

create windows
set windows personality "Microsoft Windows XP Professional SP1"
set windows default tcp action reset
add windows tcp port 22 "scripts/test.sh" 
add windows tcp port 135 proxy $ipsrc:135 
add windows tcp port 137 proxy $ipsrc:137
add windows tcp port 138 proxy $ipsrc:138
add windows tcp port 139 proxy $ipsrc:139
add windows tcp port 445 proxy $ipsrc:445 
add windows tcp port 8008 "scripts/web.sh"
add windows udp port 137 proxy $ipsrc:137
add windows udp port 138 proxy $ipsrc:138
add windows udp port 445 proxy $ipsrc:445

set windows ethernet "realtek"
bind "192.168.1.6" windows

在日志中,我可以发现它还记录了发送到 192.168.1.2 和 192.168.1.5 的所有数据包,它们是该以太网网段中的其他 IP。

有什么办法可以过滤正在记录的内容吗?我只想记录定向到蜜罐(192.168.1.6)的数据包。

提前致谢。

3个回答

通常来自蜜罐的大量日志条目来自以下两个原因之一:

  1. 您的环境正在像污迹条码一样被扫描。
  2. 您犯了将蜜罐放在非暗网络上的错误。

您已经将您的蜜罐配置为一个非常典型的 Windows 桌面,因此许多 Windows 服务处于活动状态、开放共享等。您可能会看到NetBIOS 协议是多么的嘈杂。Windows 在文件和打印共享发现、工作组自动配置和我个人最喜欢的...浏览器选举方面非常健谈。

如果没有真正看到对您的日志文件的分析,我猜您只是被蜜罐淹没,报告所有 Windows 发现的废话。总的来说,大型蜜罐被设计为位于黑暗网络上,这是您地址空间中的一个子网,否则未分配。他们假设任何到达系统的流量都是恶意的,或者至少是无效的,应该报告。

您可以使用 splunk 连接到您的 Honeyd 并使用它来获取您需要的键值。至于来自 honeyd 的日志,只需使用 cron 将其删除即可。由于 splunk 有自己的数据库来获取日志

我发现分析日志更好、更简单,并且可以帮助您减少来自 honeyd 的数据量

您可以通过honeyd更改NETWORK. /etc/defaults/honeyd就我而言:

NETWORK=192.168.1.6
其它你可能感兴趣的问题
上一篇可以通过颁发第二个证书来代理 SSL 请求吗? 下一篇本地病毒在网络安全方面有多严重