ハニーポット観察記録(8)
Nepenthes というハニーポットのインストールについて説明します.
公式サイト
http://nepenthes.carnivore.it/
インストールに使用した OS は FreeBSD 8.3(x86_64)です.なぜ FreeBSD なんですかって? 個人の趣味です.
インストールは非常に簡単です.ports からインストールします.
# cd /usr/ports/net/nepenthes
# make install clean
インストール終了後,nepenthes ユーザとグループを追加します.
# adduser
(適当にユーザ作成する.おそらくログインすることはないので,ログインシェルを/usr/sbin/nologin にしておくとかね)
起動してみる.
> sudo nepenthes -u nepenthes -g nepenthes -D
こんな感じで起動します.この AA はウツボカズラでしょうか...
Nepenthes 起動画面
nmap で -sS するとこんな結果になります.(一部の情報を伏せています)
Nepenthes に nmap -sS
コンフィグファイルはここ
> ls /usr/local/etc/nepenthes/
ログファイルはここ
> ls /usr/local/var/log/
環境構築は非常に簡単です.
約1ヶ月ほど使ってみましたが,あまりイケてないなぁという感じです.たとえば HTTP だと,アクセスしてきた URL やリモートファイルインクルードのファイルの URL などが記録されるのは便利なんですが,nepenthes からのレスポンスが全くないので検索サイトのクローラが来ても,(おそらく)クローリングされない.だから攻撃ボットに補足されるチャンスがほとんどないので,攻撃検知数も少なくなっていると考えられます.
ファイル共有や FTP 等の その他のサービスもちゃんと機能しているのか不安でした.
amun に続き,Nepenthes も今後,あえて使う理由が見つからないです.
なお Nepenthes の後継の Dionaea を推奨する記事があり,これを見ても Dionaea を使ったほうが良さそうです.
introducting_dionaea (CARNIVORE NEWS)
