LiquidHoney

Um honeypot pequeno, fluido e de baixa interação, projetado para falsificar banners em milhares de portas.

• Análise e falsificação com base no formato de arquivo nmap-service-probes do nmap.
• Suporte para protocolos encapsulados em SSL (consulte create-cert.sh )
• Substituição de registro por hora
• Suporte para protocolos baseados em UDP e TCP
• Funciona passivamente, pode ser usado para reconhecimento/captura além de ser um honeypot
• Não requer root após a configuração

Observação :
Embora o LiquidHoney tente registrar regras de iptables redirecionando as portas para si mesmo, pode ser necessário fazer isso manualmente se o iptables não estiver presente ou não puder ser usado.

A configuração é relativamente simples. Você precisará do Python 3 e do pip instalados para executar este aplicativo.

1. Instale sondas de serviço nmap. Este arquivo está sob uma licença diferente (https://nmap.org/book/man-legal.html). Qualquer uma destas opções funcionará:
   • Instale o nmap
   • Baixe aqui: https://raw.githubusercontent.com/nmap/nmap/master/nmap-service-probes.
2. pip install -r requirements.txt
3. ./create-cert.sh para gerar um certificado SSL
4. Configure as regras do iptables usando sudo python3 liquid_honey.py --create-rules
5. Execute o servidor com python3 liquid_honey.py
6. Observe os registros rolarem!

Nota: Por padrão, o LiquidHoney descarta pacotes enviados para a porta de escuta de endereços não internos, no entanto, é altamente recomendável que você bloqueie o tráfego externo para essa porta (11337 por padrão).

O LiquidHoney pode ser configurado com mais detalhes usando o arquivo config.yml . Existem descrições das opções na configuração padrão.