1

我正在尝试将用于我的生产服务器的恶意流量引导到我的蜜罐。我现在有 3 个虚拟机:一个在内联模式下运行 Snort 的路由器、一个生产服务器(debian)和我的 kippo 蜜罐。我对此很陌生,我正在寻找过滤掉不良UDP流量然后将其路由到我的蜜罐的方法。任何帮助将不胜感激!提前致谢。

4

1 回答 1

1

我不知道当前有一个这样做的项目,但“baitnswitch”是一个更古老的项目,旨在完成它。但是,您当然可以执行以下操作:

  • Snort 运行(内联或非内联),生成警报
  • 日志分析过程监视特定警报或高优先级警报
  • 当看到高优先级警报时,会插入一条 iptables 规则,动态 NAT 来自该源的入站数据包到您的蜜罐

这一切都不难。我要给您的唯一警告是,当您的 iptables 防火墙中包含数千条规则时,您的内核将开始随机爆炸。定期清除这些规则以防止这种情况发生是一个非常好的主意。

于 2018-08-02T20:10:54.137 回答