[Umfrage] honeypots

#1 http://www.citi.umich.edu/u/provos/honeyd/

Das honeynet ist nun ca 2 Jahre alt.

Was ist das honeynet eigentlich?
Es besteht aus dem honeyd und diversen Scripte dazu, die z.B. einen Apache simulieren.

Was macht das honeynet?
Es hat sich zum Ziel gesetzt, die Vorgehensweiße von "Hacker" zu analysieren.

Ein honeyd wird oft in großen Firmen eingesetzt, indem man versucht den honeyd ein paar Sicherheitslücken zu verpassen und in somit als leichte Beute darzustellen. Sollte nun dort jemand zugreifen, bleiben die anderen Rechner länger unberührt und das Verhalten des Angreifers kann studiert werden.

Wie verschafft sich ein "Hacker" zugriff auf das System?
Was macht er mit dem System?
Richtet er Backdoors ein? Wenn ja wie und welche?
Was verändert er?
Dringt er weiter in das Interne Netzwerk vor?
Es ist nicht von bedeutung ob Seiten vom WebServer gelöscht werden, sondern ob und was er mit dem Rechner danach macht! Z.B. illegales filesharing ; spoofing auf andere hosts ; einsatz von sniffern ; planung von ddos angriffen (den honeynetserver als master verwenden)


Mit honeys wurden übrigends auch schon desöfteren Sicherheitslücken frühzeitig aufgedeckt.


Wie denkt ihr über dieses Projekt? Wenn ihr noch Infos einfliessen lassen wollt, dann nur her damit.

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#2 Open Relay Teergrubing and Honeypots
Teergrubing FAQ

Neben der Möglichkeit Hacker bei ihrem Vorgehen zu beobachten finde ich die Möglichkeit Honeypots zur Spamabwehr zu benutzen sehr faszinierend.

Besonders raffiniert ist das "Teergrubing"-Prinzip. Hier wird ein Open Relay Server aufgesetzt der auch als Honeypot fungieren kann. Wenn jetzt ein Spammer diesen Server benützt wird er nicht einfach geblockt sondern die SMTP-Session wird künstlich offen gehalten. Bei einer Mail stellt das kein sonderliches Problem dar, aber wenn es sich um tausende Mail handelt wird der Mailversand unakzeptabel langsam.

Mit ein paar hundert Teergruben weltweit wäre der Versand von Spam schwer bis unmöglich. Da Spam inzwischen eine echte Seuche geworden ist kann ich solche Projekte nur unterstützen.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#3 Das typische Beispiel für ein honeypot

Code

Starting nmap 3.27 ( www.insecure.org/nmap/ ) at 2003-08-01 13:48 CEST
Interesting ports on 69.xxx.xxx.xxx:
(The 65317 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp
22/tcp     open        ssh
23/tcp     filtered    telnet
25/tcp     open        smtp
57/tcp     filtered    priv-term
80/tcp     open        http
110/tcp    open        pop-3
111/tcp    filtered    sunrpc
139/tcp    filtered    netbios-ssn
143/tcp    open        imap2
445/tcp    filtered    microsoft-ds
515/tcp    filtered    printer
587/tcp    open        submission
993/tcp    open        imaps
995/tcp    open        pop3s
1080/tcp   filtered    socks
1130/tcp   open        unknown
1433/tcp   filtered    ms-sql-s
1521/tcp   open        oracle
1522/tcp   open        rna-lm
2000/tcp   open        callbook
2426/tcp   open        unknown
3128/tcp   filtered    squid-http
3306/tcp   open        mysql
4445/tcp   open        unknown
6000/tcp   open        X11
6001/tcp   open        X11:1
6666/tcp   open        irc-serv
6667/tcp   open        irc
7021/tcp   open        unknown
7363/tcp   open        unknown
8080/tcp   filtered    http-proxy
9000/tcp   open        unknown
9853/tcp   open        unknown
12322/tcp  open        unknown
17300/tcp  filtered    kuang2
27374/tcp  filtered    subseven
34558/tcp  open        unknown

Nmap run completed -- 1 IP address (1 host up) scanned in 1834.526 seconds

Code

Apache/1.3.27 (Unix) mod_throttle/3.1.2 mod_perl/1.27 PHP/4.3.2 

Vermutlich irgendeine Linux/Unix maschine. Ich habe dies aber nicht weiter verfolgt.

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#4 Kleine Korrektur:
Für ne Teergrube muss man nicht unbedingt einen Open Relay bauen.
Wer nen eigenen Mailserver betreibt,sollte den Server so konfigurieren,das er gar nicht erst als Relay von extern genutzt werden kann.

Um Spam zu bekämpfen,nützen Teergruben nicht wirklich was.Teergrubing bekämpft eigentlich nur die Spammer aus dem eigenen Netz.Dazu müsste man die bei den ISPs mit ihren offenen Relays implementieren.....es wird immer genügend Spamfreundliche ISPs geben.
Die kann man nur kriegen,wenn sie bei möglichst vielen RBLs gelistet sind und die Kunden sie mit Beschwerden wegen nicht erhaltener Mails bombadieren.
In Verbindung mit nem Honeypot können die Logs jedoch gut als Futter für die RBL-Listen dienen

Greetz,Auggie
__________
Du hast keine Chance,aber nutze sie!

#5 Um das Thema nochmal aufzugreifen: Ich finde Teergruben sehr faszinierend und eine gute Möglichkeit, Spammer Einhalt zu gebieten. Allerdings dann nach folgendem Prinzip: Die Teergrube bekommt eine Anfrage zur Mailablieferung. Das Verfahren basiert auf einem Frage-Antwort-Spiel, der Sender fragt "darf ich die Mail an bla@blub.de hier abliefern" und der Empfänger (also der SMTP-Server) antwortet dann mit ja oder nein. Wenn man diese (und nicht nur diese) Antwort jetzt sehr lange hinauszögert kann man die Verbindung (nach Berichten) mehrere Stunden lang offen halten. So hat der Spammer bei mehreren Teergruben etliche Verbindungen offen und wird (zugegeben bei sehr vielen Teergruben) irgendwann daran gehindert, weitere Mails zu versenden.

Dazu gibt es dann auch noch einen HTTP-Server, der Email-Adressen automatisch generiert, die das aktuelle Datum, die Zeit und die Abrufer-IP beinhaltet. Diese Adressen werden von sog. Harvestern "geerntet" und gespeichert.

Ein weiteres Ärgernis für Spammer wäre eine automatisch generierte Liste, die Mail-Adressen zu nicht-existierenden Domains (wie z. B. example.com, sieh RFCs) erzeugt. Dadurch werden die Datenbanken der Spammer mit nutzlosen Adressen gefüllt, die beim Versenden Ressourcen verbrauchen (eine Liste kann ja gerne mal 10'000 Adressen beinhalten).

Das ganze kann man mit einem relativ einfachen PHP-Skript erzeugen.

So far...
Matthias
__________
Hier könnte Ihre Signatur stehen

#6 @Matneu:

Die von dir beschriebene Vorgehensweise mit den Mailaddressen für nicht existierenden Domains hat allerdings einen grossen Haken: nimmt man einfach "wilde", möglicherweise IM MOMENT noch nicht existierende Domains dafür, kann es sofort oder später einen unschuldigen Unbekannten treffen - und die für die in den RFCs extra aufgeführten Sample-Domains generierten Addressen werden mit Sicherheit ausgefiltert, wenn es sich nicht um einen absolut dämlichen Spammer handelt.


Gruss

Aahz

#7 Dagegen nehme ich möglichst kurze, also 3-stellige Adressen mit TLDs, die nicht existieren, also etwa *@abc.ab
Kurz deshalb weil es sich bei einer Seite mit 10'000 Adressen schon bemerkbar macht, ob die Domain 3 oder 5 Stellen hat.
Und ich denke nicht, daß nach TLDs gefiltert wird.

Für eine Teergrube müßte man natürlich dann die eigene Domain benutzen, sonst funktioniert sie nicht

So far...
Matthias
__________
Hier könnte Ihre Signatur stehen

#8 zukunftsweisende und viel versprechende mittel gegen spam sind

- der RX-Record
- AMTP

greez

#9 Bei AMTP sage ich nur IPv6
IPv6 wurde geheiligt.
Aber ist es bis heute eingeführt?
Die Umstellung ist aus Sicht vieler grosser Firmen zu gross.
Denkst du dies ist bei AMTP nicht so?
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#10 solange wie die meisten noch mit spam verdienen können (und auch die softwarehersteller verdienen ja durch spam) wird dies nur träge voran gehen.

aber eines tages wird man nicht herum kommen und amtp ist von ansatz her nicht schlecht, leider aber wie schon richtig gesagt mit großem aufwand verbunden

so richtig benötigen tun wir ja IPv6 derzeit (noch) nicht, deshalb dauert die ganze sache auch aufgrund von bequemlichkeit so lang
bei amtp könnte das anders sein, wenn erste große mail-provider (freemailer, hoster, ...) solche dienste als "option" anbieten, was dann sicher auch genutzt wird

lassen wir uns überraschen
mich nervt jedenfalls spam in größenregionen von 100 stck./tag

greez