Redirect 流量重定向
我已经在linux系统上将snort设置为IDS。Kippo蜜罐安装在我的树莓皮上。现在,每当snort检测到攻击时,我希望攻击者的IP被重定向到kippo蜜罐。Redirect 流量重定向,redirect,snort,honeypot,Redirect,Snort,Honeypot,我已经在linux系统上将snort设置为IDS。Kippo蜜罐安装在我的树莓皮上。现在,每当snort检测到攻击时,我希望攻击者的IP被重定向到kippo蜜罐。 我们如何将恶意流量重定向到蜜罐?如果您只有处于IDS模式的snort,您不能从snort向网络发送数据包,您是完全透明的 不过,我会采用另一种方法轮询日志文件,并在日志中发送数据包,攻击者IP作为源,蜜罐作为目标 如果您处于IPS模式,则可以使用数据包自适应开发主动响应,但这可能有点棘手。不过,我还是会使用池,让snort直接删除并报
我们如何将恶意流量重定向到蜜罐?如果您只有处于IDS模式的snort,您不能从snort向网络发送数据包,您是完全透明的 不过,我会采用另一种方法轮询日志文件,并在日志中发送数据包,攻击者IP作为源,蜜罐作为目标
如果您处于IPS模式,则可以使用数据包自适应开发主动响应,但这可能有点棘手。不过,我还是会使用池,让snort直接删除并报告事件。使用轮询方法,如何重定向流量?它不完全是重定向,而是复制。轮询/var/log/snort(或用于日志的任何目录)以获取文件更改,当snort记录数据包时,进程将数据包复制到kippo。如果你知道C,你可以检查它是如何工作的,例如barnyard2,但是用python和scapy很容易做到。我认为这不会让攻击者与蜜罐进行交互。你们有并没有办法将攻击者重定向到蜜罐,让他和蜜罐进行交互,并在蜜罐中捕获日志?好吧,我想用攻击者的IP地址就足够了。如果您想要完全通信,snort和蜜罐在NAT之后,并且您在IPS模式下运行snort,那么您可以在DAQ中重写数据包,将其发送到Kippo。如果你懂一点C,这并不难,我可以帮你。一个更像snort风格的方法是编写一个预处理器,但这需要做更多的工作。如果您能帮助我解决这个问题,我们将不胜感激。