Как я могу отклонить сканированный IP-адрес от приманок?

Question

Я никогда раньше не использовал honeypot. Но у меня есть задача из моей лекции, что я должен использовать приманку для обнаружения хакерских атак.

Я искал в журналах, учебных пособиях и статьях. Я пробовал использовать honeydrive3 и использовал honeypot Kippo. Когда я попробовал это, и я атакую ​​сам, это работает, детали атаки обслуживаются. Но когда я сказал это своему лектору, он сказал, что это не то, что он хотел.

Рабочий процесс, который ему нужен, таков: мы используем приманку, а затем пробуем это на некоторых веб-сайтах. Но когда злоумышленник сканирует или делает что-то с этим веб-IP-адресом, он должен отклониться от приманки, это означает, что злоумышленник действительно атакует настоящий веб-сайт ... и я действительно не знаю, что делать.

Answer 1

Вы либо неправильно поняли, чего хотел лектор, либо то, что он хочет, не имеет смысла.

Вы можете анализировать только трафик c, отправленный на ваш IP (или контролируемый вами IP), это невозможно чтобы вы могли "отклонить трафик c" с общего c IP-адреса.

То, что вы сделали, правильно: поставили приманку, а затем отправили на нее трафик c.

Следующим шагом будет предоставление его Inte rnet для получения вредоносного трафика c (направленного на ваш IP), но вы должны быть очень осторожны, так как вся машина, вероятно, будет чтобы получить успешную атаку. Он не должен иметь никакого подключения к вашей (домашней | uni | частной) сети, потому что (честно говоря, читаю ваш вопрос) у вас пока нет шансов защитить его.

Я бы go для машины, размещенной в облаке, которую я бы убил.