Honeyd日志使用
1、数据包级日志
1)创建日志文件
root@strom-virtual-machine:~# touch /var/log/honeyd.log
2)给予授权
root@strom-virtual-machine:~# chmod 777 /var/log/honeyd.log
3)通过“-l”参数启动服务
root@strom-virtual-machine:~# honeyd -l /var/log/honeyd.log -f /etc/test.config
4)通过supersan进行扫描,查看防御系统日志写入的日志包文件
2016-01-11-16:59:32.0166 tcp(6) S 10.10.10.134 1048 10.10.1.16 21 [Windows 2000 RFC1323]
2016-01-11-16:59:32.0275 tcp(6) S 10.10.10.134 1049 10.10.1.16 25 [Windows 2000 RFC1323]
2016-01-11-16:59:32.0435 tcp(6) S 10.10.10.134 1050 10.10.1.16 80 [Windows 2000 RFC1323]
2016-01-11-16:59:40.0376 tcp(6) E 10.10.10.134 1048 10.10.1.16 21: 0 0
2016-01-11-16:59:40.0526 tcp(6) E 10.10.10.134 1049 10.10.1.16 25: 0 0
2016-01-11-16:59:40.1197 tcp(6) E 10.10.10.134 1050 10.10.1.16 80: 27 0
5)数据包日志分析
016-01-11-16:59:32.0166 ---时间
tcp(6) --协议
S 代表链接开始,E代表链接结束, “-”表示不属于任何链接
10.10.10.134 1048 源IP和源端口
10.10.1.16 21 目的IP 和目的端口
F:fin 表示发送方传完数据
S:Syn 表示同步序列号
R:Rst 表示重置的链接
P:Push 表示立即发送数据
A:Ack 表示确认字段
U:Urg 表示紧急指针
[Windows 2000 RFC1323] 是猜测信息
2、服务级日志(参数-s)
root@strom-virtual-machine:~# touch /var/log/serverhoneyd
root@strom-virtual-machine:~# chmod +x /var/log/serverhoneyd
root@strom-virtual-machine:~# honeyd -l /var/log/honeyd.log -s /var/log/serverhoneyd -f /etc/test.config
Honeyd V1.5c Copyright (c) 2002-2007 Niels Provos
honeyd[2696]: started with -l /var/log/honeyd.log -s /var/log/serverhoneyd -f /etc/test.config
honeyd[2696]: listening promiscuously on eth0: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip )) and not ether src 00:0c:29:57:d2:b4
Honeyd starting as background process
3、使用Python脚本查询日志
root@strom-virtual-machine:~# cat logfile.py
#!/usr/bin/env python
import sys
old_day=''
ips={}
for line in open('/var/log/honeyd.log'):
(date,a,b,srcip,c)=line.split(' ',4)
day='_'.join(date.split('-')[0:3])
if day !=old_day:
if old_day:
print old_day.len(ips)
old_day=day
ips={}
ips[srcip]=1
print day,len(ips)
root@strom-virtual-machine:~# python logfile.py
2016_01_11 1 ---在2016年1月11日有1个IP对honeyd防御系统进行扫描
356
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
