Dionaeaハニーポット
低対話型のハニーポットであるDioanaeに関するメモです。
低対話型のサーバーハニーポットとしては一番完成度が高いそうで、とりあえず試しにやってみるならこれ、というところじゃないでしょうか。
ともあれ、自分でインストールを試みたものの、古いのか、うまくいかないものが多かったので、備忘録的に残しておきます。
・Dionaeaについて
低対話型のサーバーハニーポット。エミュレートするプロトコルは以下の通り。
- Server Message Block (SMB)
- Hypertext Transfer Protocol (HTTP)
- File Transfer Protocol (FTP)
- Trivial File Transfer Protocol (TFTP)
- Microsoft SQL Server (MSSQL)
- Voice over IP (VoIP)
多分下記のページが本家(検索するしても出てこない……)
Dionaea – A Malware Capturing Honeypot
このページのインストール手順のgitのリンクが既にお亡くなりになっているようで、こちらのインストール手順だとうまくいかない。
リポジトリを追加して、apt-getでインストールする方法もありましたが、そちらも消えているようでリポジトリが見つかりませんでした( Installation — dionaea 0.6.0 documentation )。
インストールはこの辺を参考にしました。
上の記事のコマンド通りで問題なく入りました。
インストール後、設定ファイルをいじります。
まず、ログに関する設定から。「logging」の中のそれぞれのlevelを必要なものだけ吐き出すよう、変更します。
default = {
levels = "all,-debug"
} errors = {
levels = "error"
}
次に、待ち受けるインターフェースの設定。「listen」のインターフェースに待ち受けるIPアドレスを入れます。
mode = "manual"
addrs = { eth0 = ["xx.xx.xx.xx"] }
この設定を入れないまま起動すると、自分の環境ではローカルループバックで待ち受けていました。
それから、dionaeaを動かすようのユーザを作成します。
# groupadd dionaea
# useradd -g dionaea -s /usr/sbin/nologin dionaea
# chown -R dionaea:dionaea /opt/dionaea/
以上でDionaeaを起動します。Dオプションをつけるとデーモンとしてバックグラウンドで起動するようです。
# /opt/dionaea/bin/dionaea -c /opt/dionaea/etc/dionaea/dionaea.conf -w /opt/dionaea -u dionaea -g dionaea -D
止める際は……コマンドは用意されていないんですかね。プロセスをKillしましょう。
環境はCentOS7でDocker上にUbuntuをベースとしてインストールしました。
ちなみにDockerだと、こういうのもありました。
GitHub - DinoTools/dionaea-docker
今回はインストールからと思い、試してはいません。
ちょっと情報が古いものが多く、手間取りました。Dioanae自体はもう結構前からあるハニーポットなので、仕方ないですかね。そろそろ新しいものが出てきてもいいんじゃないかとか思いつつ。
HTTPなどはGlastopfなどのWeb型のハニーポットもありますし、Dioanaeに飽きたら、そのあたりもやってみたいと思います。
飽きるまでは、しばらくDioanaeを稼働させておいてみようかと思います。