www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(1)

いくつかのハニーポット用意して,その観察をしようと思います.

軽く背景でも...

先月,YAPC::Asia Tokyo 2013 へ行ってきました.ただ一般参加者としてではなく,ネットワークスタッフ(LLNOC team)として参加しました.イベントで配布していたノベルティが余っているとのことだったので,いただきました.

その中にさくらインターネットさんの「さくらのクラウド 2万円無料券付きチラシ」が入っていました.せっかくいただいたので何に使うか迷った挙句,今までやりたくても踏み出せなかった,ハニーポットを一斉に運用し観察してみようという結論になりました.

 

無料券自体は既に他の技術検証用として,少し使用してしまっていましたが,まだ残額はかなりあるので下記のハニーポットを一斉に運用することにしました.(なぜこれらを選んだのかという理由は今後の別記事で)

 

  • Amun →低対話型ハニーポット
  • Nepenthes →低対話型ハニーポット
  • Dionaea →低対話型ハニーポット(Nepenthes の後継)
  • Glastopf → Web ハニーポット
  • Kippo → SSH ハニーポット

 

事前に ENISA の「Proactive detection of security incidents II – Honeypots」で運用するハニーポットを選定し,動作検証をしています.

http://www.enisa.europa.eu/activities/cert/support/proactive-detection/proactive-detection-of-security-incidents-II-honeypots

 

また Dionaea に関しては現在,主流のハニーポットのようなので,3つ運用します.ただし並行稼働させるだけではつまらないので,IDS(Snort, Suricata, Bro IDS)で監視する予定です.

運用は1ヶ月弱を想定しており,既に一部のハニーポットは動作させています.今後は各ハニーポットの特徴や,ハニーポットで捕獲したマルウェア,IDS で検知した攻撃などなどを紹介していこうと考えています.


初めての試みですが,出来ることは出来るだけ全部やってみて,その中から1つでも新しい発見や,面白いことが見つかればいいやぐらいの気持ちで運用していきます.

Written by 森久

10月 8th, 2013 at 10:13 pm