routing - 将流量从生产服务器路由到蜜罐
问题描述
我正在尝试将用于我的生产服务器的恶意流量引导到我的蜜罐。我现在有 3 个虚拟机:一个在内联模式下运行 Snort 的路由器、一个生产服务器(debian)和我的 kippo 蜜罐。我对此很陌生,我正在寻找过滤掉不良UDP流量然后将其路由到我的蜜罐的方法。任何帮助将不胜感激!提前致谢。
解决方案
我不知道当前有一个这样做的项目,但“baitnswitch”是一个更古老的项目,旨在完成它。但是,您当然可以执行以下操作:
- Snort 运行(内联或非内联),生成警报
- 日志分析过程监视特定警报或高优先级警报
- 当看到高优先级警报时,会插入一条 iptables 规则,动态 NAT 来自该源的入站数据包到您的蜜罐
这一切都不难。我要给您的唯一警告是,当您的 iptables 防火墙中包含数千条规则时,您的内核将开始随机爆炸。定期清除这些规则以防止这种情况发生是一个非常好的主意。
推荐阅读
- swift - 什么是 EXC_BAD_ACCESS(代码=2,地址=0x16f39fff8)?
- kotlin - 我如何在 kotlin 中拆分字符串
- php - 在创建另一个数组后在 php 中使用 array_combine 时,数据被覆盖
- google-developer-tools - 每次打开开发人员工具时停止显示 Google 最新消息
- bash - 使用 shell 命令从网站上抓取/下载 mp3 文件
- java - 在 Java 中读取图形的邻接列表时,如何避免重复边?
- amazon-web-services - 如何遍历多个 AWS 账户?
- c# - 联系表格 ASP.NET C#
- objective-c - 如何在 iOS 14 Objective C 中录制立体声
- javascript - 如何在特定元素的上下文中在 Jest 测试中进行查询?