labrea - Online in Cloud

Rulați labrea în furnizorul de găzduire gratuit OnWorks prin Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS

Aceasta este comanda labrea care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS

Rulați în Ubuntu Rulați în Fedora Rulați în Windows Sim Rulați în MACOS Sim

PROGRAM:

NUME

labrea - Honeypot pentru tentativele de conectare IP primite

REZUMAT

labrea [-i --dispozitiv INTERFAȚĂ] [-n --reţea nnn.nnn.nnn.nnn[/nn]] [-m --masca
nnn.nnn.nnn.nnn] [-t --dimensiunea clapetei de accelerație BYTES] [-p --rată-max RATĂ ] [-R --soft-restart] [-r
--arp-timeout RATĂ] [-s --switch-safe] [-h --hard-capture] [-x --disable-capture] [-X
--exclude-rezolvabile-ips] [-P --persist-mode-only] [-a --fără-resp-synack] [-H
--auto-hard-capture] [-f --no-resp-excluded-ports] [--no-arp-sweep] [--init-file FILE] [-F
--bpf-file FILE] [-T --funcție uscată] [-d --prim plan] [-o --log-to-stdout] [-O
--log-timestamp-epoch] [-l --log-to-syslog] [-b --log-bandwidth] [-v --verbos] [-q
--Liniște] [-z --nu-nag] [-? --utilizare --Ajutor ] [-V --versiune] [-I --ip-addr nnn.nnn.nnn.nnn]
[-E --my-mac-addr xx:xx:xx:xx:xx:xx] [-D --list-interfețe] [-j --winpcap-dev nn]
[--syslog-server nnn.nnn.nnn.nnn] [--syslog-port NNN]

[BPF Filtru]

DESCRIERE

labrea creează mașini virtuale pentru adrese IP neutilizate în blocul de IP specificat
adrese. LaBrea stă și ascultă cererile ARP „cine-are”.

Când o solicitare ARP pentru o anumită IP rămâne fără răspuns mai mult decât setarea „rată”.
(implicit: 3 secunde), labrea creează un răspuns ARP care direcționează tot traficul destinat
IP la o adresă MAC „falsă”. labrea adulmecă după traficul TCP/IP trimis la acea adresă MAC
și apoi răspunde la orice pachet SYN cu un pachet SYN/ACK pe care îl creează.

OPŢIUNI

labrea acceptă următoarele opțiuni:

-i --dispozitiv interfață
Implicit, labrea folosește prima interfață ethernet. Acest lucru forțează labrea să folosească
interfata specificata.

-n --reţea xxx.xxx.xxx.xxx[/nn]
labrea extrage în mod normal informații despre netblock din informațiile IP
atribuite interfeței. Dacă labrea este rulat pe o interfață neconfigurată (una
fără o adresă IP atribuită), apoi utilizați această opțiune pentru a specifica subrețeaua care urmează să fie
capturat.

xxx.xxx.xxx.xxx este adresa de rețea. /nn este masca de subrețea în notație CIDR.
Dacă masca de subrețea nu este specificată aici, atunci trebuie să includeți parametrul -m.

-m --masca xxx.xxx.xxx.xxx
O altă modalitate de a specifica masca de rețea pentru blocul net de captură. Dacă acest parametru
este specificat, atunci trebuie specificat și parametrul -n.

-t --dimensiunea clapetei de accelerație nn
Setează fereastra publicitară TCP pentru a limita cantitatea de date trimisă către labrea. The
numărul de octeți de date care trebuie permis pentru fiecare pachet este nn octeți.

-p --rată-max rată
Încercările de conectare vor fi captate permanent prin forțarea conexiunii în a
starea „persist” (prin închiderea ferestrei TCP). În această stare, conexiunea nu va fi
pauză. labrea va captura permanent încercările de conectare până la lățimea de bandă maximă
rată octeți. Dacă lățimea de bandă specificată este depășită, labrea va continua să tarpit
conexiune de intrare (adică răspunde SYN/ACK la SYN de intrare).

-R --soft-restart
Noile capturi vor fi oprite timp de 5 minute pentru a permite calculele lățimii de bandă să progreseze.
Dacă o scanare majoră are loc imediat după pornire, acest lucru împiedică capturarea și labrea
multe conexiuni.

-r --arp-timeout rată
Așteaptă rată secunde după ce ați văzut solicitările arp primite înainte de a captura un IP
adresa.

-s --switch-safe
Când vine o solicitare ARP, specifică că labrea ar trebui să trimită un ARP
cerere proprie pentru aceeași adresă IP. Acest lucru este necesar pentru funcționarea în siguranță în
un mediu comutat în care o gazdă nu vede neapărat tot traficul activat
schimbarea.

-h --hard-capture
Odată ce o adresă IP a fost capturată, atunci nu așteptați un timeout „-r” pentru
următoarea solicitare ARP primită.

-x --disable-capture
Nu capturați IP-uri.

-X --exclude-rezolvabile-ips
La pornire, încercați rezoluția DNS pe toate IP-urile din blocul de captură.
Excludeți automat orice IP care are o intrare corespunzătoare în DNS. Atenție
deoarece acest lucru poate genera o mulțime de căutări DNS dacă subrețeaua de captare este mare.

-P --persist-mode-only
Încercați să limitați utilizarea lățimii de bandă făcând doar captură persistentă. Notă: Acest parametru
are o utilitate limitată deoarece sub max b/w, același schimb care duce la persistență
captura are, de asemenea, efectul secundar de prelate.

-a --fără-resp-synack
În mod implicit, gazdele virtuale LaBrea răspund la SYN/ACK cu RST și răspund la Ping-uri.
Dezactivează acest comportament.

-H --auto-hard-capture
Marcați toate IP-urile neexcluse și toate IP-urile neexcluse ca fiind capturate cu greu. Vedea
labrea.conf(5) pentru mai multe informatii. Acest parametru ar trebui utilizat cu prudență.

-f --no-resp-excluded-ports
Renunțați la conexiunile de intrare către porturile excluse. Comportamentul normal implicit este revenirea
un RST. Face ca scanarea în stil nmap să meargă mult mai încet.

--no-arp-sweep
La pornire, labrea mătură subrețeaua de captură cu rafale de solicitări ARP într-un
încercați să localizați toate mașinile active. Acest parametru dezactivează măturarea.

--init-file fişier
Citiți configurația din cele specificate fişier în loc de la implicit
locație.

-F --bpf-file fişier
Desemnează numele unui fișier care conține un filtru BPF care indică către mașini/porturi către
fi prelata. Ca și în cazul filtrului BPF din linia de comandă, aceste conexiuni TREBUIE să fie
firewall pentru a DROP traficul de intrare.

-T --funcție uscată
Faceți inițializarea labrea, inclusiv excluderile Dns, analizarea fișierului de configurare,
deschiderea interfeței de rețea etc. Imprimați informațiile de diagnosticare, apoi ieșiți.

-d --prim plan
Nu detașați procesul. (numai sisteme Unix)

-o --log-to-stdout
Trimiteți informațiile de jurnal către stdout mai degrabă decât către syslog. Această opțiune implică și
setează opțiunea -d (adică nu detașați procesul).

-O --log-timestamp-epoch
La fel ca și opțiunea „-o”, dar cu ieșire de timp în secunde de la epoca pentru a o face
mai ușor pentru programele de analiză a fișierelor jurnal.

-l --log-to-syslog
Trimiteți mesaje de jurnal către syslog.

-b --log-bandwidth
Înregistrați un mesaj în fiecare minut care detaliază consumul curent de lățime de bandă al -p
opțiune (persista captura).

-v --verbos
Creșteți gradul de verbozitate al mesajelor de jurnal. Utilizați de două ori pentru mai mult efect.

-q --Liniște
Nu raportați solicitările arp pentru IP-uri care nu sunt în subrețeaua de captură.

-z --nu-nag
Opriți mesajul nag. Înainte de a face acest lucru, citiți avertismentul de bază din Note
secțiunea de mai jos.

-? --utilizare --Ajutor
Imprimați un mesaj de ajutor și apoi ieșiți.

-V --versiune
Tipăriți informațiile despre versiune și ieșiți.

-I --ip-addr nnn.nnn.nnn.nnn
Specificați manual adresa IP pentru serverul labrea.

-E --my-mac-addr xx:xx:xx:xx:xx:xx
Specificați manual adresa MAC a NIC-ului serverului labrea.

-D --list-interfețe
Pe sistemele Windows, tipăriți lista dispozitivelor WinPcap, urmată de lista dispozitivelor
interfețe libdnet. Rețineți că fiecare API are o nomenclatură diferită pentru
NIC subiacent.

-j --winpcap-dev nn
Pe sistemele Windows, selectați al-lea dispozitiv winpcap din listă.

NOTE

pachet de bază avertizare despre utilizare of labrea
Tu trebuie sa înţelege acest: În mod implicit, LaBrea captează adrese IP prin crearea unui
„mașină virtuală” care se află pe orice adresă IP NEUTILIZĂ pe care o vede. labrea a fost
scrise și testate cu atenție pentru a funcționa în mod transparent și pașnic în producția normală
medii dar...

Acolo is a potenţial pentru probleme dacă cineva decide să înceapă să folosească unul dintre IP
adresele la care Labrea a revendicat sau dacă Labrea decide în mod eronat că este o IP
adresa este gratuită când, de fapt, o mașină reală este deja acolo.

Built-in protectii
labrea încearcă din greu să nu capteze NICIODATĂ un IP care are o mașină live pe el.

Sunt prevăzute următoarele mecanisme automate:

· Dacă labrea vede un ARP gratuit care semnalează sosirea unei noi mașini, acesta
marchează adresa IP corespunzătoare ca fiind exclusă. ("copiii noi din cartier"
logică)

· Fiecare răspuns ARP este notat și adresa IP corespunzătoare este marcată ca
excluse.

· La pornire, se efectuează o scanare sistematică a întregii subrețele de captare (atât timp
deoarece subrețeaua nu este prea mare). Toate adresele IP care răspund sunt marcate ca
excluse.

Apoi, există modalități de a specifica manual excluderea anumitor adrese și
în caz contrar, asigurând funcționarea în siguranță:

· EXC config stmt permite excluderea manuală a adreselor IP specificate
de la capturare.

· Stmt-ul de configurare IPI generează pachete cu adresa(e) sursă IP specificată(e)
a fi ignorat.

· Parametrul -s --switch-safe cauzează oglindirea cererilor ARP într-un comutator
mediu inconjurator

· -X --exclude-resolvable-ips spune să excludeți toate IP-urile care au a
intrarea Dns corespunzătoare

Trafic redirecționare: Cu toate acestea, dacă labrea primește cumva trafic al cărui IP
adresa de destinație aparține unei mașini live, labrea va redirecționa acel trafic către
mașină adevărată.

Mărimea of il captura subrețea
Cel mai bine este să limitați subrețeaua de captare la curent fizic segment (VLAN, hub) unde
labrea fuge.

În unele configurații, în care proxy arp este utilizat pentru a determina rutarea, interfața
măștile de subrețea pot fi destul de mari. (adică „întreaga” rețea este „direct” atașată la
segment fizic).

În acest caz, dacă labrea preia masca de subrețea din interfață, atunci labrea o va face
urmărește ineficient adrese pe care nu are nicio speranță să le capteze. Ar trebui să utilizați -m / -n
parametrii pentru a limita manual dimensiunea subrețelei de captare.

Altele folosire notiţe
Mașinile virtuale labrea folosesc o adresă MAC falsă de 0:0:f:ff:ff:ff

Pe anumite sisteme Windows mai vechi, poate fi necesar să specificați manual captura
subrețea.

Pe sistemele Unix, KILL -USR1 va activa și dezactiva deconectarea.

Pe sistemele Unix, KILL -HUP va determina reinițializarea labreei (și astfel eliberarea IP-urilor capturate).

Dacă subrețeaua de captură este prea mare (mai mare de 1024 de adrese), atunci labrea nu va face
o măturare arp.

Utilizați labrea online folosind serviciile onworks.net