Armadilha de mel Ataques de armadilha de projeto de honeytrap contra serviços TCP.
Baixe Agora

Armadilha de mel Classificação e resumo

Armadilha de mel Tag

ataques armadilha segurança de rede ataques de armadilha Ataques TCP. Armadilha de mel

Armadilha de mel Descrição

Ataques de armadilha de projeto de honeytrap contra serviços TCP. Ataques de armadilha de projeto de honeytrap contra serviços TCP. A Honeytrap é uma ferramenta de segurança de rede escrita para observar ataques contra serviços TCP. Como um honeypot interativo, coleta informações sobre ataques baseados em rede conhecidos ou desconhecidos e, portanto, pode fornecer informações de alerta precoce. O modelo aplicado distingue estritamente entre a captura de dados e a análise de ataque. O processo de coleta de informações relacionados aos ataques é feito completamente dentro do sistema central. O processamento adicional como a análise automatizada pode ser feita com plugins que podem ser carregados dinamicamente durante o tempo de execução. Isso garante a expansibilidade sem a necessidade de desligar ou até recompilar o software. A abordagem clássica na tecnologia de HoneyPot é emular serviços ou até mesmo vulnerabilidades conhecidas em serviços, perseguidos por muitas ferramentas excelentes (por exemplo, Nepenthes - dê uma olhada). No entanto, isso não funciona se alguém estiver interessado em poder também capturar ataques totalmente desconhecidos. Se o daemon da Honeytrap detectar uma solicitação para uma porta TCP, inicia um processo de servidor para lidar com a conexão recebida. Isso torna possível lidar com ataques quando ocorrem, não importa se eles são então conhecidos ou não. Não há necessidade de manter milhares de portos obrigados a garantir que novos ataques sejam apanhados. Em vez disso, a honeytrap extrai a conexão TCP tenta de um fluxo de rede usando os chamados "monitores de conexão". Dois tipos diferentes de monitores de conexão estão atualmente disponíveis: · Um sniffer baseado em libpcap pega pacotes gerados localmente com um número de seqüência de zero indicando uma solicitação de conexão rejeitada. Normalmente - particularmente em caso de ataque - o sistema remoto tentará novamente e, em seguida, será bem-sucedido. Este é o monitor padrão devido à sua portabilidade. · No Linux Systems é possível conectar a interface IP_Queue do NetFilter / iptables e criar uma regra de iptables para fornecer pacotes Syn relacionados a novas conexões para a Honeytrap. Este monitor tem a vantagem de pegar um ataque na primeira vez que atinge, mas não é tão furtivo quanto a abordagem da PCAP.

Armadilha de mel Software Relacionado