PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : honeyd antwortet nicht



comfreak
18.07.12, 14:35
Hallo zusammen,

honeyd mit folgender Anleitung installiert und konfiguriert:

http://ulissesaraujo.wordpress.com/2008/12/08/deploying-honeypots-with-honeyd/

Ich habe die folgende Config zum Testen aus der Anleitung benutzt:




create win2k
set win2k personality "Microsoft Windows 2000 SP2"
set win2k default tcp action reset
set win2k default udp action reset
set win2k default icmp action block
set win2k uptime 3567
set win2k droprate in 13
add win2k tcp port 23 "sh /usr/share/honeyd/scripts/unix/linux/suse8.0/telnetd.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 21 "sh /usr/share/honeyd/scripts/win32/win2k/msftp.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 25 "sh /usr/share/honeyd/scripts/win32/win2k/exchange-smtp.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 80 "sh /usr/share/honeyd/scripts/win32/win2k/iis.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 110 "sh /usr/share/honeyd/scripts/win32/win2k/exchange-pop3.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 143 "sh /usr/share/honeyd/scripts/win32/win2k/exchange-imap.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 389 "sh /usr/share/honeyd/scripts/win32/win2k/ldap.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 5901 "sh /usr/share/honeyd/scripts/win32/win2k/vnc.sh $ipsrc $sport $ipdst $dport"
add win2k udp port 161 "perl /usr/share/honeyd/scripts/unix/general/snmp/fake-snmp.pl public private --config=/usr/share/honeyd/scripts/unix/general/snmp"

# This will redirect incomming windows-filesharing back to the source

add win2k udp port 137 proxy $ipsrc:137
add win2k udp port 138 proxy $ipsrc:138
add win2k udp port 445 proxy $ipsrc:445
add win2k tcp port 137 proxy $ipsrc:137
add win2k tcp port 138 proxy $ipsrc:138
add win2k tcp port 139 proxy $ipsrc:139
add win2k tcp port 445 proxy $ipsrc:445

bind 192.168.213.154 win2k


Zum testen wird honeyd wie folgt gestartet:


honeyd -f /etc/honeypot/honeyd.conf -d

Wenn ich jedoch einen Portscan mit nmap durchführe erreiche ich den Honeypot nicht:



>> nmap -sS 192.168.213.154

Starting Nmap 5.51.6 ( http://nmap.org ) at 2012-07-17 16:23 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 0.48 seconds




farpd 192.168.213.154 -i eth0



habe ich auf dem Server vorher natürlich ausgeführt, wie in der Anleitung beschrieben.

Hat jemand eine Idee, warum ich den Honeypot nicht erreichen kann?

Newbie314
19.07.12, 01:16
Klingt blöd aber: kann es sein dass IPtables den Port blockt ?

comfreak
19.07.12, 08:45
Hallo Newbie314,

danke für deine Antwort.

In den IPtables sind keine Regeln definiert. Dies ist ein frisches Test-Debian 6:



root@honeyd:~# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination



Ich habe mittlerweile herausgefunden, dass ich ICMP Pakete in der honeyd.conf zulassen muss. Nun kann ich die Honeypot-Kiste anpingen - logisch...

Nutze ich diesen Befehl, werden mir die Ports angezeigt:



>> nmap -sT -P0 -vv -p 22 192.168.213.154

Starting Nmap 5.51.6 ( http://nmap.org ) at 2012-07-19 08:35 CEST
Initiating Parallel DNS resolution of 1 host. at 08:35
Completed Parallel DNS resolution of 1 host. at 08:35, 2.01s elapsed
Initiating Connect Scan at 08:35
Scanning 192.168.213.154 [1 port]
Discovered open port 22/tcp on 192.168.213.154
Completed Connect Scan at 08:35, 0.00s elapsed (1 total ports)
Nmap scan report for 192.168.213.154
Host is up (0.00050s latency).
Scanned at 2012-07-19 08:35:08 CEST for 0s
PORT STATE SERVICE
22/tcp open ssh

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 2.08 seconds


So ganz verstehe ich den Schalter -P0 noch nicht und aus der "man" werde ich auch nicht schlau. Nutze ich einen TCP SYN Scan (statt -sT=> -sS) bekomme ich keine Ports zurückgeliefert und der Host scheit down zu sein (was er nicht ist).



>> nmap -sS -P0 -vv -p 22 192.168.213.154

Starting Nmap 5.51.6 ( http://nmap.org ) at 2012-07-19 08:39 CEST
Initiating ARP Ping Scan at 08:39
Scanning 192.168.213.154 [1 port]
Completed ARP Ping Scan at 08:39, 0.41s elapsed (1 total hosts)
Nmap scan report for 192.168.213.154 [host down]
Read data files from: /usr/share/nmap
Nmap done: 1 IP address (0 hosts up) scanned in 0.47 seconds
Raw packets sent: 2 (56B) | Rcvd: 0 (0B)



Bei einem "Betriebsystemscan" wird mir auch gesagt, dass der Host offline ist:



>> nmap -O 192.168.213.154

Starting Nmap 5.51.6 ( http://nmap.org ) at 2012-07-19 08:42 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 1.00 seconds


Jemand anders hatte anscheinend die selben Probleme wie ich, aber eine Lösung scheint er nicht bekommen zu haben:

http://www.honeyd.org/phpBB2/viewtopic.php?p=1378