Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Ферма Honeypot
 
Обсуждение статьи Ферма Honeypot
 
Рисунок А доступен по адресу:
http://www.securityfocus.com/ids/images/farms.jpg [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]
 
Статья ни о чём. Мирроринг известен даже читателям "ксакепа".
 
Цитата
Chiko пишет:
Статья ни о чём. Мирроринг известен даже читателям "ксакепа".

Тама не мироринг, а проксирование. Вообще довольно спорная технология по ROI. Гонять по WAN каналам трафик какого-то хуцкера пытающего ломануть левую хонепоту. Додого.
 
...Дат, ну просто соберём все праблы в одну..
Незнаю, сама концепцыя ферм, вроде и нечего, но все же не на столько хороша как какжеться, веть в любом случии, можно атаковать, и пречем саму ферму!!!
 
Впечатление:
1) Идея.Совершенно непонятна цель технологии вообще. Похоже на подглядывание в щелочку за хакером. Но это нужно ? Кто пытается вас ломать - скорее всего случайных хакер . Устраивать с ним разборки ? Проще не дать войти в системы.
Технология не многим отличается от IDS (только нет щелочки).

2) Технология. Ну для одной локалки пожалуй пройдет, только зачем в ней городить огород. А если компьютеров более тысячи и распределены на территории. Как нормально сделать ЭТО ?
Подвешивать спец софт на одной (двух) машине в каждой локалке - утопия.
Собирать все виланы в одну точку и принять их на одном компьютере - нагрузка на каналы, особенно в случае штормов и эпидемий.  Да и трудоемко прогонять виланы через массу свичей.
Заставить роутеры после ARP таймута форвардить запрос на Honeypot - ЗДОРОВО , но они так не умеют .


По мне так лучше фильтровать все не нужное и следить за остальным.
 
Хм, при таком редиректе TTL от фермы и TTL от реальной сети будет разным, достаточно контролировать TTL в пакете и вуаля.  [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG] В принципе, могут инкапсулировать пакет и сохранить TTL, но вот время такого пакета один фиг будет отличаться от легальных пакетов. Так, что это детектируется.

Причем, если они редиректят входящий трафик в выходящий, то полоса канала отъедается вдвое, в случае асинхронного момеда  один из способов DoS [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

Технология спорная, особенно смешно про Соляру с Ораклом и фальшивой базой данных. Хоть база и фальшивая, НО ЗАТРАТЫ-то РЕАЛЬНЫЕ. Это может где в Пентагоне или НОРАД имеет смысл, а в 98% случаев едва-ли. Слишком высоки издержки.

Короче [IMG]http://www.securitylab.ru/forum/smileys/smiley11.gif[/IMG] [IMG]http://www.securitylab.ru/forum/smileys/smiley11.gif[/IMG] [IMG]http://www.securitylab.ru/forum/smileys/smiley11.gif[/IMG]
 
Это всё звучит заманчиво...
но хотелось бы чё-нить по конкретней...
тоесть, реальные проги для перенаправления траффика...

я вот нашёл пару прог.. для nt, точнее для XP.
snarp, Fpipe, rinetd
rinetd - ваще не смог запустить
snarp - ругается на libnet, хотя я все libnetNt пробовал, которые были в инета..., наверное дело в том что прога на XP не работает...
Fpipe - око номано заработала..., но у неё есть 2 больших минуса....
1) чтобы настроить на 2 порта, нуно 2 раза запустить прогу, а это не очень-то удобно.
2) прогу незя настроить на 135, 139, 445.  так как они уже используются...
Страницы: 1
Читают тему