PDA

Просмотр полной версии : Банка с медом,Установка, использование и обнаружение honeypot



SDA
01.05.2005, 13:00
В свое время была разработана концепция системы, получившая название honeypot – «бочка с медом» по-английски. Как сказал один компетентный человек, honeypot – это система, в которой сделано все, чтобы ее захотелось сломать. Пожалуй, это самое полное определение. Ханипот занимается тем, что эмулирует сервер с кучей серьезных ошибок, которые должны приманивать сетевых взломщиков, чтобы те хакали эту виртуальную машину.....
http://www.xakep.ru/magazine/xa/073/064/1.asp

Палыч
02.05.2005, 00:14
Прочитал всю статью. Конечно мало чего понял, ибо я чайник ещё. Но вот ВОПРОС !!
А чего это Олег наш Зайцев скромно молчит о своей программе APS?
Информация о программе "засветилась" тут: http://www.xakep.ru/magazine/xa/073/064/6.asp

Даю цитату:
APS (http://z-oleg.com/secur/aps.htm). Эта программа умеет распознавать около двухсот видов атак, причем база данных постоянно обновляется. Программа умеет оповещать сисадминов по электронной почте, а также использовать net send.(конец цитаты)

Если верить журналу, то эта программа имеет непосредственное отношение к главной теме нашего форума. Но никто на ней внимание не заострял. Или я проглядел что-то?

SDA
02.05.2005, 00:44
Программа APS мне понравилась, (конечно это не полноценная платная система honeypot) стоит на машине, периодически включаю (много орет если сделаешь фаером допуск в сеть), но внимание на ней действительно никто не заострял, вобщем программа интересная.

Зайцев Олег
02.05.2005, 11:44
.....
Если верить журналу, то эта программа имеет непосредственное отношение к главной теме нашего форума. Но никто на ней внимание не заострял. Или я проглядел что-то?

Да просто случая не было - APS по сути не HonejPot в чистом виде, это эмулятор уязвимых сервисов и троянских программ. Идея его проста - APS прослушивает кучу описанных в его базе портов и вопит, когда кто-то пытается по ним установить соединение. Плюс передает ответ (заранее заданные отклики сервисов и (или) случайно генерируемый текстовый или бинарный бред). Лично у меня в сети APS применяется не столько как HonejPot, сколько как ловушка для шутников-кулхацкеров, желающих посканировать сеть, что запрещено политикой безопасности ...

Alexey P.
02.05.2005, 17:11
Когда-то давно в сетке ловили лавсан.
Я тогда брал из лога своего файерволла IP компьютеров, обращавшихся ко мне на порты 135 и 4444, давал ребятам список, и они шли по этим компьютерам убивать гада и ставить патчи.
Вот по старой памяти и скачал себе APS для таких вещей.
Только случая использовать больше не представилось :).
Да и патчи теперь ставятся автоматом.