Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我已经在我的 linux 系统上将 snort 设置为 IDS。Kippo 蜜罐安装在我的树莓派中。现在,每当 snort 检测到攻击时,我希望将攻击者的 IP 重定向到 kippo 蜜罐。我们如何将恶意流量重定向到蜜罐?
如果你只有 IDS 模式下的 snort,你不能从 snort 向网络发送数据包,你是完全透明的。
但是,我会选择一个不同的进程来轮询日志文件,并在日志中发送数据包,攻击者 IP 作为源,蜜罐作为目标。
如果您处于 IPS 模式,则可以通过数据包自适应来开发主动响应,但这可能有点棘手。但是,无论如何我都会使用池,让 snort 直接删除并报告该事件。