LiquidHoney

Ein kleiner, flüssiger Honeypot mit geringer Interaktion, der dazu dient, Banner über Tausende von Ports hinweg zu fälschen.

• Parsen und Spoofing basierend auf dem Dateiformat nmap-service-probes von nmap.
• Unterstützung für SSL-verpackte Protokolle (siehe create-cert.sh )
• Stündlicher Protokoll-Rollover
• Unterstützung für UDP- und TCP-basierte Protokolle
• Funktioniert passiv, kann nicht nur als Honeypot, sondern auch zur Aufklärung/Eroberung verwendet werden
• Nach der Einrichtung ist kein Root erforderlich

Notiz :
Während LiquidHoney versucht, iptables-Regeln zu registrieren, die Ports auf sich selbst umleiten, müssen Sie dies möglicherweise manuell tun, wenn iptables nicht vorhanden oder nicht verwendbar ist.

Die Einrichtung ist relativ einfach. Um diese Anwendung auszuführen, müssen Python 3 und Pip installiert sein.

1. Installieren Sie nmap-service-probes. Diese Datei steht unter einer anderen Lizenz (https://nmap.org/book/man-legal.html). Jede dieser Optionen funktioniert:
   • Nmap installieren
   • Laden Sie es hier herunter: https://raw.githubusercontent.com/nmap/nmap/master/nmap-service-probes.
2. pip install -r requirements.txt
3. ./create-cert.sh um ein SSL-Zertifikat zu generieren
4. Richten Sie die iptables-Regeln mit sudo python3 liquid_honey.py --create-rules
5. Führen Sie den Server mit python3 liquid_honey.py aus
6. Beobachten Sie, wie die Protokolle einlaufen!

Hinweis: Standardmäßig verwirft LiquidHoney Pakete, die von nicht internen Adressen an den Listen-Port gesendet werden. Es wird jedoch dringend empfohlen, den externen Datenverkehr zu diesem Port zu blockieren (standardmäßig 11337).

LiquidHoney kann mithilfe der Datei config.yml detaillierter konfiguriert werden. Es gibt Beschreibungen der Optionen in der Standardkonfiguration.