Labrea. LABrea é uma detecção de intrusão / tecnologia "pegajosa" de mel usando servidores virtuais para detectar malware.
Baixe Agora

Labrea. Classificação e resumo

Labrea. Tag

servidor malware. pote de mel Tecnologia de pote de mel Servidores virtuais malware de rede

Labrea. Descrição

O Labrea é uma tecnologia de alimento de detecção de intrusão / "pegajosa" usando servidores virtuais para detectar malware. O Labrea é uma tecnologia de alimento de detecção de intrusão / "pegajosa" usando servidores virtuais para detectar malware. O Labrea assume endereços IP não utilizados e cria servidores virtuais que são atraentes para vermes, hackers e outros habitantes da Internet. O programa responde às tentativas de conexão de uma forma que a máquina na outra extremidade fica "presa", às vezes por muito tempo. LaBrea Works assistindo às solicitações e respostas da ARP. Quando o PGM vê solicitações ARP consecutivas espaçadas a vários segundos, sem qualquer resposta ARP intermediária, assume que o IP em questão está desocupado. Em seguida, "cria" uma resposta ARP com um endereço MAC falso e dispara de volta para o Requester.an Exemplo (de um TCPDUMP de Labrea em execução na minha rede): 14: 18: 28.832187 ARP Quem-tem xx.xx.xx .13 Diga xx.xx.xx.114: 18: 29.646402 ARP Quem-tem xx.xx.xx.13 Diga xx.xx.xx.114: 18: 31.707295 ARP Quem - XX.XX.XX.13 Diga xx.xx.xx.114: 18: 31.707574 ARP Responder xx.xx.xx.13 IS-AT 0: 0: F: FF: FF: FFThere não é nenhuma máquina xx.xx.xx.13 na minha rede. Nesse caso, o tempo limite foi definido para 3 segundos (é um parâmetro de linha de comando), e quando essa final "quem" entrou, a resposta "é" que você vê foi gerada por Labrea.Hão Um endereço MAC de 0: 0: F: FF: FF: FF. Não existe. Mas agora, o roteador (xx.xx.xx.1) acredita que há alguma máquina em xx.xx.xx.13, e que reside no endereço MAC 0: 0: F: FF: FF: FF e, por isso, ele impede os pacotes. Insessence, criamos uma "máquina virtual" nesse endereço IP. Agora, LaBrea também assiste ao tráfego TCP destinado ao endereço de éter 0: 0: F: FF: FF: FF. Quando vê um pacote TCP de entrada, ele responde com um syn / ack que "tarpits" essa tentativa de conexão. Tudo o mais é ignorado. (Bem ... tipo de. Labrea também tenta dar a suas "máquinas virtuais" algum personagem ... você pode ping eles, e eles respondem a um syn / ack com um rst. Há mais do que isso (obviamente .. .) Mas você precisará ler além disso. O que é novo nesta versão: · SRC / CTL.C (CTL_INIT_ARRAYS): Remova a chamada para dormir, já que não deveria misturar com chamadas de alarme no Linux. · SRC / Utils.c (Util_Alarm ), SRC / Labrea.c: Definir manipuladores de alarme e sinal depois de entrar no modo doemon para que a criança receba sinal · SRC / Labrea_init.c, src / lbio.c: Retire o código de fudge, uma vez que o libdnet 1.7 Ethopen agora usa o dispositivo libdnet nomes (ou seja, etc1, etc).

Labrea. Software Relacionado