Dionaea: honeypot para el estudio de ataques y malware

El estudio de los ataques automatizados es muy interesante para poder ver, como los “malos” consiguen acceso a servidores desde los cuales luego hacen formar parte de su botnet, por ejemplo.

Uno de los proyectos más interesantes que he visto hasta ahora se trata de Dionaea, este proyecto suple al ya conocido Nephentes. Que seguro que más de uno conoce.

Después de solo un día de tener Dionaea en funcionamiento ya me ha dado resultados bastante interesantes. Para hacer la instalación lo tienen muy bien documentada y recomiendo hacer la instalación en Ubuntu, mucho más sencillo.

Cuando hayamos arrancado Dionaena, pondrá a la escucha una serie de servicios:

root@marc:/home/marc# lsof -nPi

dionaea 31345 root 10u IPv4 833300 0t0 TCP 127.0.0.1:80 (LISTEN)
dionaea 31345 root 11u IPv4 834271 0t0 TCP 127.0.0.1:443 (LISTEN)
dionaea 31345 root 13u IPv4 834272 0t0 UDP 127.0.0.1:69
dionaea 31345 root 15u IPv4 834273 0t0 TCP 127.0.0.1:21 (LISTEN)
dionaea 31345 root 16u IPv4 834274 0t0 TCP 127.0.0.1:42 (LISTEN)
dionaea 31345 root 17u IPv4 834275 0t0 TCP 127.0.0.1:445 (LISTEN)
dionaea 31345 root 18u IPv4 834276 0t0 TCP 127.0.0.1:135 (LISTEN)
dionaea 31345 root 19u IPv4 834277 0t0 TCP 127.0.0.1:5061 (LISTEN)
dionaea 31345 root 20u IPv4 833301 0t0 UDP 127.0.0.1:5060
dionaea 31345 root 21u IPv4 833302 0t0 TCP 127.0.0.1:5060 (LISTEN)
dionaea 31345 root 22u IPv4 833303 0t0 TCP 127.0.0.1:1433 (LISTEN)
dionaea 31345 root 23u IPv4 833304 0t0 TCP 127.0.0.1:3306 (LISTEN)
dionaea 31345 root 24u IPv4 833305 0t0 TCP.153:80 (LISTEN)
dionaea 31345 root 25u IPv4 833306 0t0 TCP .153:443 (LISTEN)
dionaea 31345 root 26u IPv4 833307 0t0 UDP153:69
dionaea 31345 root 27u IPv4 833308 0t0 TCP 153:21 (LISTEN)


Dionaea expone servicios a la red como SMB, SIP, SMB, MYSQL y todos los resultados los guarda en una base de datos SQLite y además es capaz de capturar binarios que se utilicen en los ataques.

Contenido completo en fuente original Seifreed

Suscríbete a nuestro Boletín