0

我已经在我的 linux 系统上将 snort 设置为 IDS。Kippo 蜜罐安装在我的树莓派中。现在,每当 snort 检测到攻击时,我希望将攻击者的 IP 重定向到 kippo 蜜罐。我们如何将恶意流量重定向到蜜罐?

4

1 回答 1

0

如果你只有 IDS 模式下的 snort,你不能从 snort 向网络发送数据包,你是完全透明的。

但是,我会选择一个不同的进程来轮询日志文件,并在日志中发送数据包,攻击者 IP 作为源,蜜罐作为目标。

如果您处于 IPS 模式,则可以通过数据包自适应来开发主动响应,但这可能有点棘手。但是,无论如何我都会使用池,让 snort 直接删除并报告该事件。

于 2017-04-06T18:56:39.523 回答