DSL Honeypot goes Botnetzprovider.de
Ich setze nun die Reihe fort mit den Berichten über meine HoneyPots.
Heute geht es um den DSL HoneyPot.
Ich habe mich gegen "nepenthes" entschieden, da ich einen anderen Weg einschlagen möchte.
Daher verwende ich einen HoneyPot, der es auch zulässt unbekannte Angriffe mit zu protokollieren und auszuwerten.
In der HoneyPot-Szene sollte "honeytrap" bekannt sein. Er zeichnet sich vor allem durch seine verschiedenen Einsatzmöglichkeiten aus.
Er ermöglicht es seinem Betreiber unbekannte Angriffe zu sammeln und auszuwerten. HoneyTrap emuliert verschiedene Dienste auf diversen Ports. Das schöne dabei ist, man kann dem Honeypot selber "response" einpflegen, die er zurück gibt, wenn der jeweilige Port angesprochen wird.
Doch das kann " "nepenthes"" auch, warum sollte man dann "honeytrap" verwenden?
Mir geht es um die undokumentierten Angriffe die "honeytrap" mit protokolliert. Gestern sind wieder verschiedenste Angriffe auf Ports jenseits von Port 1000 bei mir ein getrudelt.
Durch eine Echtzeit IRC Protokollierung, kann ich schon frühzeitige Angriffswellen erkennen und versuchen mehr über die Art des Angriffes in erfahrung zu bringen.
Des weiteren kann man, bei einer solchen Angriffswelle, gerne mal die "response" ändern und beobachten wie der Angreifer darauf reagiert.
Hier mal ein kleiner Logauszug von gestern:
Okt 20 02:59:15 [2009-10-20 02:58:22] 1433/tcp Connection from 219.148.108.143:3474 accepted.
Okt 20 02:59:17 [2009-10-20 02:58:25] * 1433/tcp 349 bytes attack string from 219.148.108.143:3474.
Okt 20 02:59:19 [2009-10-20 02:58:25] 1433/tcp Connection from 219.148.108.143:4080 accepted.
Okt 20 02:59:21 [2009-10-20 02:58:28] * 1433/tcp 349 bytes attack string from 219.148.108.143:4080.
Das wars zu dem DSL "honeytrap", ich werde euch auf dem laufenden halten, was meine HoneyPot Serie angeht.