将流量从生产服务器路由到蜜罐

routing traffic from production server to honeypot

我正在尝试将针对我的生产服务器的恶意流量定向到我的蜜罐。我现在有 3 个虚拟机:一个路由器 运行 内联模式 Snort,一个生产服务器 (debian) 和我的 kippo 蜜罐。我对此很陌生,我正在寻找方法来过滤掉不良的 UDP 流量,然后将其路由到我的蜜罐。任何帮助将不胜感激!提前致谢。

我不知道当前有哪个项目这样做,但 "baitnswitch" 是一个试图完成它的更老的项目。但是,您当然可以执行以下操作:

  • Snort 运行(内联或非内联),生成警报
  • 日志分析进程监视特定警报或高优先级警报
  • 当看到高优先级警报时,将插入一个 iptables 规则,动态地将来自该源的入站数据包 NAT 到您的蜜罐

None这个就难了。我要给你的唯一警告是,当你的 iptables 防火墙中有几千条规则时,你的内核将开始随机爆炸。定期清除这些规则以防止这种情况发生是一个非常好的主意。