[原创文章] 作者:tjs1214 -----转载请注明出处和作者
HoneBot构造入侵检测系统
Honeybot一款很牛B的僵尸网络跟踪工具。能够在网络上模仿超过1000个易受攻击的服务的Windows蜜罐程序,可以捕获和记录入侵和袭击企图。它运行于Windows 2000及以上版本,是AtomicSfotwareSolutions公司的产品。
上图可以看出有很多ip访问我本地的1433 8080 22 1080 80 3389等端口,据经验有的是寻找socks代理,有部分是中了网络蠕虫病毒,拼命朝我的135端口 1433端口发数据。如果你发现一个ip连接你的多个端口,很可能是入侵前的扫描工作。HoneyBot能够记录下来,并能提供ip头信息,模仿真实的服务使入侵者上当。可以模仿65535个TCP/UDP端口。下面是我用扫描工具HScan v120 获得的信息:
[192.168.1.2]: hostname: "6ea4c3a2cbfe4f7"
[192.168.1.2]: Found "PORT: 21/ftp" !!!
[192.168.1.2]: Found "PORT: 22/unknow" !!!
[192.168.1.2]: Found "PORT: 23/telnet" !!!
[192.168.1.2]: Found "PORT: 25/smtp" !!!