labrea - Online sa Cloud

PROGRAMA:

NAME

labrea - Honeypot para sa mga papasok na pagtatangka ng koneksyon sa IP

SINOPSIS

labrea [-i --aparato Interface] [-n --network nnn.nnn.nnn.nnn[/nn]] [-m --maskara
nnn.nnn.nnn.nnn] [-t --laki ng throttle BYTES] [-p --max-rate NAPALIWANAG ] [-R --soft-restart] [-r
--arp-timeout NAPALIWANAG] [-s --switch-safe] [-h --hard-capture] [-x --disable-capture] [-X
--exclude-resolvable-ips] [-P --perist-mode-only] [-a --no-resp-synack] [-H
--auto-hard-capture] [-f --no-resp-excluded-ports] [--no-arp-sweep] [--init-file FILE] [-F
--bpf-file FILE] [-T --dry-run] [-d --foreground] [-o --log-to-stdout] [-O
--log-timestamp-panahon] [-l --log-to-syslog] [-b --log-bandwidth] [-v --verbose] [-q
--tahimik] [-z --no-nag] [-? --gamit - Tumulong ] [-V --bersyon] [-I --ip-addr nnn.nnn.nnn.nnn]
[-E --my-mac-addr xx:xx:xx:xx:xx:xx] [-D --list-interfaces] [-j --winpcap-dev nn]
[--syslog-server nnn.nnn.nnn.nnn] [--syslog-port nnn]

[BPF Filter]

DESCRIPTION

labrea lumilikha ng mga virtual machine para sa hindi nagamit na mga IP address sa tinukoy na bloke ng IP
mga address. Umupo at nakikinig si LaBrea para sa mga kahilingang "na may" ARP.

Kapag ang isang kahilingan sa ARP para sa isang partikular na IP ay hindi nasagot nang mas mahaba kaysa sa "rate" na setting nito
(default: 3 segundo), gumagawa si labrea ng ARP na tugon na nagruruta sa lahat ng trapikong nakalaan para sa
IP sa isang "bogus" MAC address. Si labrea ay sumisinghot para sa TCP/IP na trapikong ipinadala sa MAC address na iyon
at pagkatapos ay tumugon sa anumang SYN packet na may SYN/ACK packet na nilikha nito.

Opsyon

labrea tumatanggap ng mga sumusunod na opsyon:

-i --aparato interface
Bilang default, ginagamit ng labrea ang unang interface ng ethernet. Pinipilit nito si labrea na gamitin ang
tinukoy na interface.

-n --network xxx.xxx.xxx.xxx[/nn]
Ang labrea ay karaniwang kumukuha ng impormasyon tungkol sa netblock mula sa impormasyon ng IP
itinalaga sa interface. Kung ang labrea ay pinapatakbo sa isang hindi naka-configure na interface (one
nang walang nakatalagang IP address), pagkatapos ay gamitin ang opsyong ito upang tukuyin ang magiging subnet
nakunan.

xxx.xxx.xxx.xxx ay ang address ng network. /nn ay ang subnet mask sa CIDR notation.
Kung ang subnet mask ay hindi tinukoy dito, dapat mong isama ang -m parameter.

-m --maskara xxx.xxx.xxx.xxx
Ang isa pang paraan upang tukuyin ang network mask para sa pagkuha ng netblock. Kung ang parameter na ito
ay tinukoy, pagkatapos ay dapat ding tukuyin ang -n parameter.

-t --laki ng throttle nn
Itinatakda ang TCP window advertisement upang limitahan ang dami ng data na ipinadala sa labrea. Ang
bilang ng mga byte ng data upang payagan ang bawat packet ay nn byte.

-p --max-rate singil
Ang mga pagtatangka sa pagkonekta ay permanenteng makukuha sa pamamagitan ng pagpilit sa koneksyon sa a
"pagpatuloy" na estado (sa pamamagitan ng pagsasara ng TCP window). Sa ganitong estado, ang koneksyon ay hindi
time out. Permanenteng kukunan ng labrea ang mga pagtatangka sa pagkonekta hanggang sa maximum na bandwidth
singil byte. Kung lumagpas sa tinukoy na bandwidth, tarpit pa rin ni labrea ang
papasok na koneksyon (ibig sabihin, tumugon sa SYN/ACK sa papasok na SYN).

-R --soft-restart
Ang mga bagong pag-capture ay ititigil sa loob ng 5 minuto upang hayaang umunlad ang mga kalkulasyon ng bandwidth.
Kung ang isang pangunahing pag-scan ay tumama pagkatapos lamang ng pagsisimula, pinipigilan din nito ang pagkuha ng labrea
maraming koneksyon.

-r --arp-timeout singil
Maghintay singil ilang segundo pagkatapos makita ang mga papasok na arp request bago kumuha ng IP
address.

-s --switch-safe
Kapag may papasok na kahilingan sa ARP, tinutukoy na ang labrea ay dapat magpadala ng ARP
ang sarili nitong kahilingan para sa parehong IP address. Ito ay kinakailangan para sa ligtas na operasyon sa
isang inilipat na kapaligiran kung saan ang isang host ay hindi kinakailangang makita ang lahat ng trapiko sa
ang switch.

-h --hard-capture
Kapag nakuha na ang isang IP address, huwag maghintay ng "-r" na timeout para sa
susunod na papasok na kahilingan sa ARP.

-x --disable-capture
Huwag kumuha ng mga IP.

-X --exclude-resolvable-ips
Sa pagsisimula, subukan ang paglutas ng DNS sa lahat ng mga IP sa loob ng capture netblock.
Awtomatikong ibukod ang anumang IP na may katumbas na entry sa DNS. Mag-ingat ka
dahil makakabuo ito ng maraming DNS lookup kung malaki ang capture subnet.

-P --perist-mode-only
Subukang limitahan ang paggamit ng bandwidth sa pamamagitan lamang ng patuloy na pagkuha. Tandaan: Ang parameter na ito
ay may limitadong pakinabang dahil mas mababa sa max b/w, ang parehong palitan na humahantong sa pananatili
Ang pagkuha ay mayroon ding side effect ng tarpitting.

-a --no-resp-synack
Bilang default, ang LaBrea virtual host ay tumutugon sa SYN/ACK gamit ang RST, at sumasagot sa Pings.
Hindi pinapagana ang gawi na ito.

-H --auto-hard-capture
Markahan ang lahat ng hindi ibinukod at lahat ng hindi hardexcluded na IP bilang hard captured. Tingnan mo
labrea.conf(5) para sa karagdagang impormasyon. Dapat gamitin ang parameter na ito sa pag-iingat.

-f --no-resp-excluded-ports
I-drop ang mga papasok na koneksyon sa mga hindi kasamang port. Ang normal na default na gawi ay ang pagbabalik
isang RST. Ginagawang mas mabagal ang pag-scan sa istilo ng nmap.

--no-arp-sweep
Sa startup, winalis ni labrea ang capture subnet na may mga pagsabog ng mga kahilingan sa ARP sa isang
subukang hanapin ang lahat ng mga live na makina. Hindi pinapagana ng parameter na ito ang sweep.

--init-file file
Basahin ang configuration mula sa tinukoy file sa halip na mula sa default
lokasyon.

-F --bpf-file file
Nagtatalaga ng pangalan ng isang file na naglalaman ng filter ng BPF na tumuturo sa mga makina/port
maging tarpitted. Tulad ng filter ng command line na BPF, DAPAT ang mga koneksyon na ito
firewalled upang DROP papasok na trapiko.

-T --dry-run
Magsagawa ng labrea initialization, kasama ang Dns excludes, parse ng configuration file,
pagbubukas ng interface ng network atbp. Mag-print ng diagnostic na impormasyon, pagkatapos ay lumabas.

-d --foreground
Huwag ihiwalay ang proseso. (Mga Unix system lang)

-o --log-to-stdout
Magpadala ng impormasyon ng log sa stdout kaysa sa syslog. Ang pagpipiliang ito ay nagpapahiwatig din ng at
itinatakda ang -d na opsyon (ibig sabihin, huwag tanggalin ang proseso).

-O --log-timestamp-panahon
Pareho sa opsyong "-o", ngunit may oras na output sa mga segundo mula noong panahon na gawin ito
mas madali para sa mga logfile analysis program.

-l --log-to-syslog
Magpadala ng mga mensahe ng log sa syslog.

-b --log-bandwidth
Mag-log ng mensahe bawat minuto na nagdedetalye ng kasalukuyang paggamit ng bandwidth ng -p
opsyon (patuloy na makuha).

-v --verbose
Palakihin ang verbosity ng mga log message. Gumamit ng dalawang beses para sa higit pang epekto.

-q --tahimik
Huwag mag-ulat ng mga kahilingan sa arp para sa mga IP na wala sa capture subnet.

-z --no-nag
I-off ang nag message. Bago mo gawin ito, basahin ang pangunahing babala sa Mga Tala
seksyon sa ibaba lamang.

-? --gamit - Tumulong
Mag-print ng mensahe ng tulong at pagkatapos ay lumabas.

-V --bersyon
I-print ang impormasyon ng bersyon at lumabas.

-I --ip-addr nnn.nnn.nnn.nnn
Manu-manong tukuyin ang IP address para sa labrea server.

-E --my-mac-addr xx:xx:xx:xx:xx:xx
Manu-manong tukuyin ang MAC address ng NIC ng server ng labrea.

-D --list-interfaces
Sa Windows system, i-print ang listahan ng mga WinPcap device, na sinusundan ng listahan ng
mga interface ng libdnet. Tandaan na ang bawat API ay may ibang nomenclature para sa
pinagbabatayan ng NIC.

-j --winpcap-dev nn
Sa mga system ng windows, piliin ang nth winpcap device sa listahan.

NOTA

Basic babala tungkol sa gamitin of labrea
Ikaw dapat maunawaan ito: Bilang default, kinukuha ng LaBrea ang mga IP address sa pamamagitan ng paglikha ng a
"virtual machine" na nakalagay sa anumang UNUSED IP address na nakikita nito. labrea ay naging
maingat na isinulat at sinubukan upang malinaw at mapayapang gumana sa normal na produksyon
kapaligiran ngunit...

Doon is a malamang na para problema kung may nagpasya na simulan ang paggamit ng isa sa IP
mga address na inaangkin ni labrea, o kung maling nagpasya si labrea na isang IP
ang address ay libre kapag sa katunayan ay isang tunay na makina ay naroroon na.

Built-in mga proteksyon
Sinisikap ni labrea na HINDI kumuha ng IP na mayroong live na makina na nakalagay dito.

Ang mga sumusunod na awtomatikong mekanismo ay ibinigay:

· Kung nakakita si labrea ng isang walang bayad na ARP na hudyat ng pagdating ng isang bagong makina, ito
minarkahan ang kaukulang IP address bilang hindi kasama. ("mga bagong bata sa block"
lohika)

· Ang bawat tugon ng ARP ay binabanggit at ang kaukulang IP address ay minarkahan bilang
hindi kasama.

· Sa pagsisimula, isang sistematikong pagwawalis ang ginagawa sa buong subnet ng pagkuha (hangga't
dahil hindi masyadong malaki ang subnet). Lahat ng IP address na tumutugon ay minarkahan bilang
hindi kasama.

Pagkatapos ay mayroong mga paraan ng manu-manong pagtukoy sa pagbubukod ng ilang mga address, at
kung hindi man ay tinitiyak ang ligtas na operasyon:

· Ang EXC config stmt ay nagpapahintulot sa mga tinukoy na IP address na manu-manong maibukod
mula sa paghuli.

· Ang IPI config stmt ay nagdudulot ng mga packet na may tinukoy na IP source address(es)
para hindi pansinin.

· -s --switch-safe na parameter ay nagiging sanhi ng pag-mirror ng mga kahilingan sa ARP sa isang switched
kapaligiran

· -X --exclude-resolvable-ips ay nagsasabing ibukod ang lahat ng IP na mayroong a
kaukulang Dns entry

Trapiko rerouting: Sa kabila ng lahat ng ito, kung kahit papaano ay nakakatanggap si labrea ng traffic na kaninong IP
Ang address na patutunguhan ay kabilang sa isang live na makina, i-reroute ni labrea ang trapikong iyon sa
tunay na makina.

laki of ang pagbihag subnet
Pinakamainam na limitahan ang capture subnet sa tunay Physical bahagi (VLAN, hub) kung saan
tumatakbo si labrea.

Sa ilang configuration, kung saan ginagamit ang proxy arp para matukoy ang pagruruta, interface
maaaring malaki ang mga subnet mask. (ibig sabihin, ang "buong" network ay "direkta" na naka-attach sa
pisikal na segment).

Sa kasong ito, kung kukunin ni labrea ang subnet mask mula sa interface, gagawin ni labrea
hindi mahusay na manood ng mga address na wala itong pag-asang makuha. Dapat mong gamitin ang -m / -n
mga parameter upang manu-manong limitahan ang laki ng capture subnet.

iba paggamit mga tala
Gumagamit ang mga labrea virtual machine ng huwad na MAC address na 0:0:f:ff:ff:ff

Sa ilang mas lumang Windows system, maaaring kailanganin na manual na tukuyin ang pagkuha
subnet

Sa mga unix system, ang KILL -USR1 ay i-toggle ang pag-log off sa on at off.

Sa mga unix system, ang KILL -HUP ay magsasanhi sa labrea na mag-reinitialize (at sa gayon ay libre ang mga nakuhang IP).

Kung masyadong malaki ang capture subnet (higit sa 1024 na address), hindi gagawin ang labrea
isang arp sweep.

Gumamit ng labrea online gamit ang mga serbisyo ng onworks.net