Kiedy przeglądam 7thGuarda, widzę że coraz mniej w nim praktyki (i nowych autorów), coraz więcej informacji „ze świata”. Żeby odwrócić ten trend, chciałbym zapoczątkować cykl tekstów „Krótko o…” – cotygodniowych krótkich opisów ciekawych programów, na które warto zwrócić uwagę, a które nie są powszechnie znane (OpenOffice.org nie znajdzie się więc w naszym kręgu zainteresowań). Na pierwszy ogień pójdzie program LaBrea, o którego istnieniu przypomniał kilka dni temu NewsForge.
Uzupełnienie: Na naszym wiki umieściłem listę tekstów, które już nadeszły – żeby były zachętą dla nowych autorów i zabezpieczyły przed powtórzeniem tematu.
LaBrea to namiastka honeypota – pułapki na włamywaczy, która ma za zadanie ułatwić wykrycie skanowania naszej podsieci w poszukiwaniu działających komputerów. Przeszukiwanie podsieci na obecność działających komputerów jest jednym z pierwszych działań podejmowanych przez sporą część włamywaczy. LaBrea nasłuchuje przez cały czas na wskazanym interfejsie sieciowym i próbuje wykryć, czy ktoś nie próbuje łączyć się z nieistniejącym adresem IP. Jeśli odkryje taką próbę, natychmiast zapisuje to w logach i podszywa się pod nieistniejący komputer.
W teorii brzmi to skomplikowanie, spójrzmy więc na praktykę:
honey@hobbit:~$ ping 192.168.0.211
PING 192.168.0.211 (192.168.0.211): 56 data bytes
From 192.168.0.240 icmp_seq=1 Destination Host Unreachable
From 192.168.0.240 icmp_seq=2 Destination Host Unreachable
...
I tak dalej. Teraz na jednej z maszyn uruchomimy nasz nowy nabytek:
sauron:~# labrea -o -v -z
Mon Nov 15 11:42:18 2004 LaBrea will attempt to capture unused IPs.
Mon Nov 15 11:42:18 2004 Full internal BPF filter: arp or (ip and ether dst host 00:00:0F:FF:FF:FF)
Mon Nov 15 11:42:18 2004 LaBrea will log to stdout
Mon Nov 15 11:42:18 2004 Logging will be verbose.
Mon Nov 15 11:42:18 2004 Initiated on interface: eth0
Mon Nov 15 11:42:18 2004 Host system IP addr:192.168.0.245, MAC addr: 00:0d:88:3c:28:42
Mon Nov 15 11:42:18 2004 ...Processing configuration file
Mon Nov 15 11:42:18 2004 ... End of configuration file processing
Mon Nov 15 11:42:18 2004 Network number: 192.168.0.0
Mon Nov 15 11:42:18 2004 Netmask: 255.255.255.0
Mon Nov 15 11:42:18 2004 Number of addresses LaBrea will watch for ARPs: 255
Mon Nov 15 11:42:18 2004 Range: 192.168.0.0 - 192.168.0.255
Mon Nov 15 11:42:18 2004 Throttle size set to WIN 10
Mon Nov 15 11:42:18 2004 Rate (-r) set to 3
Mon Nov 15 11:42:18 2004 Labrea started
…i spójrzmy, jak teraz zachowa się ping:
honey@hobbit:~$ ping 192.168.0.211 PING 192.168.0.211 (192.168.0.211): 56 data bytes
64 bytes from 192.168.0.211: icmp_seq=3 ttl=64 time=0.4 ms
64 bytes from 192.168.0.211: icmp_seq=4 ttl=64 time=0.2 ms
Krótko mówiąc – w sieci „pojawiła” się nowa maszyna. Ciekawy efekt daje nmap na nieistniejący adres IP – ponad półtora tysiąca otwartych portów. Wygląda jak typowy firewall.
LaBrea stara się uniknąć problemu związanego z nagłym włączeniem maszyny o nieistniejącym wcześniej IP – w chwili wykrycia podpięcia takiej maszyny do podsieci, przestanie się podszywać pod ten adres. LaBrea działa bez podania jakichkolwiek parametrów, ale też ma dość duże możliwości konfiguracji. Więcej – w manualu.
Zapraszam do lektury kolejnych odcinków – i podsyłania własnych opisów programow. Tylko wyszukując je wspólnie, nie przegapimy żadnej „perełki”… 🙂
Archiwalny news dodany przez użytkownika: honey.
Kliknij tutaj by zobaczyć archiwalne komentarze.