Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen komut labrea'sıdır.
Program:
ADI
labrea - Gelen IP bağlantı girişimleri için Honeypot
SİNOPSİS
laboratuvar [-i --cihaz ARA] [-n --ağ nnn.nnn.nnn.nnn[/nn]] [-m --maske
nnn.nnn.nnn.nnn] [-t --gaz kelebeği boyutu BAYT] [-p --maksimum oran ORANI ] [-R --soft-yeniden başlatma] [-r
--arp-zaman aşımı ORANI] [-s --anahtar güvenli] [-h --zor-yakalama] [-x --devre dışı bırak-yakalama] [-X
--exclude-çözülebilir-ips] [-P --yalnızca kalıcı mod] [-a --resp-synack yok] [-H
--otomatik-sabit-yakalama] [-f --no-resp-hariç tutulan-portlar] [--arp-süpürme yok] [--init dosyası DOSYA] [-F
--bpf dosyası DOSYA] [-T --kuru çalışma] [-d --ön plan] [-o --log-stdout'a] [-O
--log-zaman damgası-epoch] [-l --log-sistem günlüğüne] [-b --log-bant genişliği] [-v --ayrıntılı] [-q
--sessizlik] [-z --hayır dırdır] [-? --kullanım --yardım et ] [-V --versiyon] [-I --ip-addr nnn.nnn.nnn.nnn]
[-E --mac-addr'ım xx:xx:xx:xx:xx:xx] [-D --list-arayüzleri] [-j --winpcap-dev nn]
[--syslog-sunucusu nnn.nnn.nnn.nnn] [--syslog-bağlantı noktası nnn]
[BPF filtre]
TANIM
laboratuvar belirtilen IP bloğunda kullanılmayan IP adresleri için sanal makineler oluşturur
adresler. LaBrea oturur ve ARP'nin "kimin sahip olduğu" isteklerini dinler.
Belirli bir IP için bir ARP isteği, "oran" ayarından daha uzun süre yanıtsız kaldığında
(varsayılan: 3 saniye), labrea hedeflenen tüm trafiği yönlendiren bir ARP yanıtı oluşturur.
"Sahte" bir MAC adresine IP. labrea, bu MAC adresine gönderilen TCP/IP trafiğini koklar
ve daha sonra herhangi bir SYN paketine, oluşturduğu bir SYN/ACK paketi ile yanıt verir.
SEÇENEKLER
laboratuvar aşağıdaki seçenekleri kabul eder:
-i --cihaz arayüzey
Varsayılan olarak labrea ilk ethernet arayüzünü kullanır. Bu labrea'yı
belirtilen arayüz
-n --ağ xxx.xxx.xxx.xxx[/nn]
labrea normalde netblock hakkındaki bilgileri IP bilgisinden çeker
arayüze atanır. labrea yapılandırılmamış bir arabirimde çalıştırılırsa (bir
atanmış bir IP adresi olmadan), ardından alt ağı belirlemek için bu seçeneği kullanın.
Yakalanan.
xxx.xxx.xxx.xxx ağ adresidir. /nn CIDR gösterimindeki alt ağ maskesidir.
Burada alt ağ maskesi belirtilmemişse, -m parametresini eklemelisiniz.
-m --maske xxx.xxx.xxx.xxx
Yakalama netblock için ağ maskesini belirtmenin başka bir yolu. Eğer bu parametre
belirtilirse, -n parametresi de belirtilmelidir.
-t --gaz kelebeği boyutu nn
Labrea'ya gönderilen veri miktarını sınırlamak için TCP pencere reklamını ayarlar. NS
paket başına izin verilecek veri baytı sayısı nn bayt.
-p --maksimum oran oranları
Bağlantı denemeleri, bağlantı zorlanarak kalıcı olarak yakalanacaktır.
"kalıcı" durumu (TCP penceresini kapatarak). Bu durumda, bağlantı
zaman aşımı. labrea, maksimum bant genişliğine kadar bağlantı denemelerini kalıcı olarak yakalayacaktır
oranları bayt. Belirtilen bant genişliği aşılırsa, labrea yine de
gelen bağlantı (yani, gelen SYN'ye SYN/ACK yanıtı verin).
-R --soft-yeniden başlatma
Bant genişliği hesaplamalarının ilerlemesine izin vermek için yeni yakalamalar 5 dakika süreyle tutulacaktır.
Başlangıçtan hemen sonra büyük bir tarama gerçekleşirse, bu labrea'nın da yakalamasını önler
birçok bağlantı.
-r --arp-zaman aşımı oranları
Bekleyin oranları bir IP yakalamadan önce gelen arp isteklerini gördükten saniyeler sonra
adres.
-s --anahtar güvenli
Gelen bir ARP talebi olduğunda, labrea'nın bir ARP göndermesi gerektiğini belirtir.
aynı IP adresi için kendi isteği. Bu, güvenli çalışma için gereklidir.
bir ana bilgisayarın tüm trafiği mutlaka görmeyeceği anahtarlanmış bir ortam
anahtar.
-h --zor-yakalama
Bir IP adresi alındıktan sonra, "-r" zaman aşımını beklemeyin.
sonraki gelen ARP isteği.
-x --devre dışı bırak-yakalama
IP'leri yakalama.
-X --exclude-çözülebilir-ips
Başlangıçta, yakalama netblock içindeki tüm IP'lerde DNS çözümlemesini deneyin.
DNS'de karşılık gelen bir girişi olan tüm IP'leri otomatik olarak hariç tutun. Dikkat olmak
çünkü bu, yakalama alt ağı büyükse çok sayıda DNS araması oluşturabilir.
-P --yalnızca kalıcı mod
Yalnızca kalıcı yakalama yaparak bant genişliği kullanımını sınırlamaya çalışın. Not: Bu parametre
maksimum s/b'nin altında olduğu için sınırlı kullanışlılığa sahiptir, aynı değişim kalıcılığa yol açar
yakalama ayrıca muşambanın yan etkisine de sahiptir.
-a --resp-synack yok
Varsayılan olarak, LaBrea sanal ana bilgisayarları SYN/ACK'e RST ile yanıt verir ve Ping'leri yanıtlar.
Bu davranışı devre dışı bırakır.
-H --otomatik-sabit-yakalama
Tüm hariç tutulmayan ve kesin olarak hariç tutulmayan tüm IP'leri sabit yakalanmış olarak işaretleyin. Görmek
labrea.conf(5) daha fazla bilgi için. Bu parametre kullanılmalıdır ile Dikkat.
-f --no-resp-hariç tutulan-portlar
Gelen bağlantıları hariç tutulan bağlantı noktalarına bırakın. Normal varsayılan davranış geri dönmektir
bir RST. Nmap tarzı taramanın çok daha yavaş ilerlemesini sağlar.
--arp-süpürme yok
Başlatmada labrea, yakalama alt ağını ARP istekleri patlamalarıyla süpürür.
tüm canlı makineleri bulmaya çalışın. Bu parametre, süpürmeyi devre dışı bırakır.
--init dosyası dosya
Belirtilenden yapılandırmayı okuyun dosya varsayılan yerine
yer.
-F --bpf dosyası dosya
Makinelere/bağlantı noktalarına işaret eden bir BPF filtresi içeren bir dosyanın adını belirler.
muşamba olmak. Komut satırı BPF filtresinde olduğu gibi, bu bağlantılar MUTLAKA
DROP gelen trafiğine güvenlik duvarı.
-T --kuru çalışma
Dns hariç tutma dahil labrea başlatma, yapılandırma dosyasının ayrıştırılması,
ağ arayüzünü açma vb. Tanılama bilgilerini yazdırın, ardından çıkın.
-d --ön plan
Süreci ayırmayın. (Yalnızca Unix sistemleri)
-o --log-stdout'a
Günlük bilgilerini syslog yerine stdout'a gönderin. Bu seçenek aynı zamanda ve
-d seçeneğini ayarlar (yani işlemi ayırma).
-O --log-zaman damgası-epoch
"-o" seçeneğiyle aynı, ancak bunu yapmak için Epoch'tan bu yana saniye cinsinden zaman çıktısı
logfile analiz programları için daha kolay.
-l --log-sistem günlüğüne
Günlük mesajlarını syslog'a gönderin.
-b --log-bant genişliği
-p'nin mevcut bant genişliği tüketimini detaylandıran her dakika bir mesaj kaydedin
seçeneği (kalıcı yakalama).
-v --ayrıntılı
Günlük mesajlarının ayrıntı düzeyini artırın. Daha fazla etki için iki kez kullanın.
-q --sessizlik
Yakalama alt ağında olmayan IP'ler için arp isteklerini bildirmeyin.
-z --hayır dırdır
Nag mesajını kapatın. Bunu yapmadan önce Notlar bölümündeki temel uyarıyı okuyun.
hemen altındaki bölüm.
-? --kullanım --yardım et
Bir yardım mesajı yazdırın ve ardından çıkın.
-V --versiyon
Sürüm bilgilerini yazdırın ve çıkın.
-I --ip-addr nnn.nnn.nnn.nnn
labrea sunucusu için IP adresini manuel olarak belirtin.
-E --mac-addr'ım xx:xx:xx:xx:xx:xx
labrea sunucusunun NIC'sinin MAC adresini manuel olarak belirtin.
-D --list-arayüzleri
Windows sistemlerinde, WinPcap cihazlarının listesini ve ardından aşağıdakilerin listesini yazdırın.
libdnet arayüzleri. Her API için farklı bir terminolojiye sahip olduğunu unutmayın.
temel NIC.
-j --winpcap-dev nn
Windows sistemlerinde, listeden n'inci winpcap cihazını seçin.
NOTLAR
Basic uyarı hakkında kullanım of laboratuvar
Sen şart anlamak bu: Varsayılan olarak, LaBrea bir IP adresi oluşturarak IP adreslerini yakalar.
gördüğü herhangi bir KULLANILMAMIŞ IP adresine oturan "sanal makine". labrea olmuştur
normal üretimde şeffaf ve barışçıl bir şekilde çalışmak için dikkatlice yazılmış ve test edilmiştir
ortamlar ama...
Orada is a potansiyel için sorunlar biri IP'den birini kullanmaya karar verirse
labrea'nın hak iddia ettiği veya labrea'nın hatalı bir şekilde bir IP'ye karar vermesi durumunda
Aslında gerçek bir makine zaten orada olduğunda adres ücretsizdir.
Gömme korumaları
labrea, üzerinde canlı bir makine bulunan bir IP'yi ASLA yakalamamak için çok uğraşır.
Aşağıdaki otomatik mekanizmalar sağlanmıştır:
· Labrea, yeni bir makinenin geldiğini bildiren gereksiz bir ARP görürse,
karşılık gelen IP adresini hariç olarak işaretler. ("bloktaki yeni çocuklar"
mantık)
· Her ARP yanıtı not edilir ve ilgili IP adresi şu şekilde işaretlenir:
dışlanan.
· Başlangıçta, tüm yakalama alt ağının sistematik bir taraması yapılır (olduğu sürece
alt ağ çok büyük olmadığı için). Yanıt veren tüm IP adresleri şu şekilde işaretlenir:
dışlanan.
Ardından, belirli adreslerin hariç tutulmasını manuel olarak belirlemenin yolları vardır ve
aksi takdirde güvenli çalışmayı sağlamak:
· EXC yapılandırma stmt'si, belirtilen IP adreslerinin manuel olarak hariç tutulmasına izin verir
yakalamaktan.
· IPI yapılandırma stmt'si, belirtilen IP kaynak adres(ler)ine sahip paketlere neden olur
göz ardı edilmek.
· -s --switch-safe parametresi, anahtarlamalı bir sistemde ARP isteklerinin ikizlenmesine neden olur.
çevre
· -X --exclude-resolvable-ips, bir
karşılık gelen Dns girişi
Trafik yeniden yönlendirme: Tüm bunlara rağmen, labrea bir şekilde IP'si olan trafik alırsa
hedef adres canlı bir makineye aitse, labrea bu trafiği
gerçek makine.
beden of the ele geçirmek alt
Yakalama alt ağını aşağıdakilerle sınırlamak en iyisidir. gerçek fiziksel bölüm (VLAN, hub) nerede
labrea çalışıyor.
Yönlendirmeyi belirlemek için proxy arp'nin kullanıldığı bazı yapılandırmalarda, arabirim
alt ağ maskeleri oldukça büyük olabilir. (yani "bütün" ağ "doğrudan"
fiziksel bölüm).
Bu durumda, labrea arayüzden alt ağ maskesini alırsa, labrea
ele geçirme umudu olmayan adresleri verimsiz bir şekilde izlemek. -m / -n kullanmalısın
yakalama alt ağının boyutunu manuel olarak sınırlamak için parametreler.
Diğer kullanım notlar
Labrea sanal makineleri, 0:0:f:ff:ff:ff şeklinde sahte bir MAC adresi kullanır.
Bazı eski Windows sistemlerinde, yakalamayı manuel olarak belirtmek gerekebilir.
alt ağ.
Unix sistemlerinde, KILL -USR1 oturumu kapatmayı açar ve kapatır.
Unix sistemlerinde KILL -HUP, labrea'nın yeniden başlatılmasına (ve dolayısıyla ücretsiz yakalanan IP'lerin) neden olur.
Yakalama alt ağı çok büyükse (1024 adresten büyükse), labrea bunu yapmayacaktır.
bir arp taraması.
onworks.net hizmetlerini kullanarak labrea'yı çevrimiçi kullanın
