問題タブ [honeypot]

Windows OS で「ファイル ハニーポット」のようなものを作成したいと考えています。

私が答えたい問題は次のとおりです。ファイルがアクセスされていることを検出する必要があります (マルウェアはファイルを読み取ってインターネット経由で送信しようとしています)。しかし、私はこのことにどのように正確に取り組むかわかりません。

1. 定期的にファイルをテストできます - このソリューションは好きではありません。数ミリ秒ごとにプロセッサを煩わす必要のないイベント駆動が必要です。ただし、ファイルが十分に大きい場合は機能する可能性があるため、チェック間で読み取ることができません。

2. 私は自分でファイルを排他的に開き、ファイルがアクセスされているかどうかを何らかの方法で検出できました。しかし、私はこれを行う方法がわかりません。

この問題を効果的に解決する方法について何か考えはありますか? 特殊なドライバーを作成すると役立つかもしれませんが、これについてはほとんど経験がありません。

ありがとう

スクリプトに関しては初心者なので、ご容赦ください。サーバー上のすべてのファイル共有に追加されたおとりファイルを監視するスクリプトを作成しようとしています。スクリプトは、ファイルが変更されたことを確認すると、変更を行ったユーザーへのアクセスをブロックし、電子メールを送信します。スクリプトは、FileSystemWatcher 以外は正常に動作しているようです。最後の共有のみを監視します。ここで同様の投稿を見たことがありますが、答えに混乱していました。おとりファイルごとに FileSystemWatcher を作成する作業を手伝ってもらえますか? また、他の方法でスクリプトを改善する方法についてもご意見をお寄せください。よろしくお願いいたします。

私は素敵な blackhoneyholepotdoom を構築しようとしていますが、私を悩ませているのは、ボットが戻ったりタブを切り替えたりできるという事実です。彼らの行動は次のとおりです: 1) ログインリンクを押す、失敗する、戻る。2) 登録リンクを押す、失敗する、戻る。3) 離れるか、やり直してください。これは Xr*m*r の動作だと思いますか? ボットを地球上で地獄にするために、「戻る」をできるだけ中断する必要があります。

JS 以外に、以前のタブや他のすべてのタブ/ウィンドウを破棄しながら、新しいタブ/ウィンドウでリンクを開く方法を知っている方法はありますか? ポップアップ、iframe トリガー トップなど、なんでもかまいません。私の知る限り、ボットは気にせず、とにかくヘッダーやコンテンツを通過することはありません。

これは、人間に使用すると非常に疑わしい意味を持つため、存在しないように見えますが、おそらく回避策があると考えられました. ここで共有したくない場合は、gmail dawt com の dhaupin にメールまたはスパムを送ってください。

ありがとうございました！

バックグラウンド。

私は、ハニーポット展開で使用されるファイアウォール/NAT デバイスを構築しています。簡単に言えば、ある種のリバース ファイアウォールとして機能するように構成されています。ハニーポットの 1 つが感染または侵害されると、ファイアウォールは攻撃者によるアウトバウンド接続を許可しますが、アウトバウンド接続は、特定の制限内の特定のポート セットに制限され、特定の数の接続のみに制限されます。ファイアウォールがこれらの制限を超えるトラフィックを検出すると、一定期間パケットのドロップを開始します。ハニーポットから発信されたすべてのトラフィックは、悪意があると見なされるため、ログに記録されます。

問題。

ハニーポットは、攻撃者が DDoS 攻撃を仕掛けるためによく使用されます。平均して、このトラフィックの 97% がファイアウォールによってブロックされ、そのすべてがログに記録されます。問題は、それが aropx を生成することです。毎秒 90000 エントリであり、これらの攻撃は 10 分から数時間続く可能性があります。このすべてがログに記録されるため、かなり大きなログ ファイルが生成されます。

現在の回避策。

ファイアウォール ログを 60 秒ごとにローテーションすることでこの問題を回避しようとしましたが、これはログ サイズにのみ影響します。logrotate が最大数のログを作成すると、1 回の DDoS 攻撃によるログの負荷が発生するだけです。ログ ファイルを保持する専用のハード ドライブを追加し、ログのローテーションを増やしました。

質問。

残念ながら、これは「ケーキを保持する/ケーキを食べる」状況です。特定の時点でトラフィックのログ記録を停止するように iptables に指示しながら、できるだけ多くのログを記録したいと考えています。

エントリをログ ファイルに書き込むように iptables を構成する方法はありますが、同じエントリが最後の 1 秒間に N 回書き込まれた場合、残りのログは記録されなくなりますか?

ロギング機能に「レート制限」などはありますか？

この問題を解決する他の方法はありますか?

Honeyd をインストールしようとしましたが、最後の行の意味がわかりません

/usr/lib/libc.so* で libc にアクセスできるかどうかを確認しています...いいえ

configure: エラー: libc にアクセスする方法がわかりませんでした

次のネゴシエーション用の鍵アルゴリズムをサポートする SSH クライアントであるアプリケーションがあります。

diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group-exchange-sha256

SSH クライアントを変更するオプションがないため、Twisted を使用している SSH サーバーの問題を解決しようとしています。SSH サーバーは実際には Kippo ハニーポットに実装されていますが、根本的な問題は Twisted にあります。

Twisted は 221 行目で diffie-hellman-group-exchange-sha1 と diffie-hellman-group1-sha1 をサポートしていることがわかります : .py

ここの 60 行目で diffie-hellman-group-exchange-sha1 が無効になっていることがわかります: py" rel="nofollow">https://github.com/twisted/twisted/blob/38421d6fcffa1ddb590e51df0e1c6cba6f29d052/twisted/conch/ssh/factory.py

diffie-hellman-group-exchange-sha1 はサポートされていましたが、後で無効になりました。私のアプリケーションの SSH クライアントは、キーをネゴシエートして、Twisted を利用している SSH サーバーへの SSH 接続を確立できません。

無効にする前にコードにこのメモが表示されます「log.msg('disabling diffie-hellman-group-exchange because we cannot find moduli file')」 sha1 次のエラーが表示されます。

diffie-hellman-group-exchange-sha1 を有効にする回避策または解決策はありますか?

一部の Web フォームで ASP クラシックを使用せざるを得ない状況に陥っています。スパムに遭いたくないのですが、.asp クラシックでハニーポットを作成する方法がわかりません。

これは可能ですか、それともキャプチャ フィールドを使用する必要がありますか?

または、asp クラシックでスパムを防止するためのより良い方法はありますか?

フォーム フィールド: