Labrea es un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System).
LaBrea se asigna las direcciones IP no utilizadas, y crea servidores virtuales que sean "atractivos" para los virus, hackers. El programa responde a los intentos de conexión de tal manera que la máquina en el otro extremo queda "atrapado", a veces durante un tiempo muy largo. Esto tambien se le conoce como Honeypot.
el comando puede correrse de la siguinete manera
#labrea -i eth0 -d -l-v-z
para detalle de la sintaxis puedes verla con man desde la consola
Bien ya esta corriendo nuestro honeypot ahora vamos a ver las abejas esto dentro del syslog
#tail -f /var/log/syslog
busca las lineas parecidas a las de abajo e ip's que se repitan como abajo veras la 10.0.0.132
Dec 8 11:33:13 decepticon : Capturing local IP 10.0.0.208
Dec 8 11:33:13 decepticon : Initial Connect - tarpitting: 10.0.0.33 53180 -> 10.0.0.109 80
Dec 8 11:33:13 decepticon : Initial Connect - tarpitting: 10.0.0.33 53180 -> 10.0.0.109 80
Dec 8 11:33:14 decepticon : Initial Connect - tarpitting: 10.0.10.132 61122 -> 10.0.0.110 8080 *
Dec 8 11:33:14 decepticon : Initial Connect - tarpitting: 10.0.10.132 61122 -> 10.0.0.110 8080 *
Dec 8 11:33:14 decepticon : Initial Connect - tarpitting: 10.0.10.132 61123 -> 10.0.0.110 8080
Dec 8 11:33:14 decepticon : Initial Connect - tarpitting: 10.0.10.132 61123 -> 10.0.0.110 8080
No hay comentarios.:
Publicar un comentario