Ok, finalmente consegui que funcionasse e descobri que mal entendi a função do endereço MAC. Eu pensei que era para falsificar um endereço MAC arbitrário, mas parece que ele é realmente usado para especificar qual interface honeyd
envia sua saída para. Eu tive o problema que honeyd
enviar sua resposta através de uma interface diferente da que a solicitação veio. Então eu configurei honeyd
para enviar a resposta do template winxp
para a interface que eu quero.
Aqui está a configuração que funcionou para mim:
Estou executando honeyd
na interface br192
.
$ ifconfig br192
br192 Link encap:Ethernet HWaddr 00:0c:29:16:3c:80
inet addr:0.1.2.3 Bcast:255.255.255.255 Mask:0.0.0.0
inet6 addr: fe80::20c:29ff:fe16:3c80/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:103730 errors:0 dropped:0 overruns:0 frame:0
TX packets:771 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:21835405 (21.8 MB) TX bytes:72694 (72.6 KB)
Meu arquivo honeyd.conf
:
create winxp
set winxp personality "Microsoft Windows XP Professional SP1"
set winxp default tcp action reset
set winxp default udp action reset
set winxp default icmp action open
set winxp ethernet "00:0c:29:16:3c:80"
bind 10.0.0.200 winxp
Iniciando honeyd
:
$ sudo honeyd -d -i br192 -f /etc/honeypot/honeyd.conf 10.0.0.200/31
Honeyd V1.5c Copyright (c) 2002-2007 Niels Provos
honeyd[5524]: started with -d -i br192 -f /etc/honeypot/honeyd.conf 10.0.0.200/31
honeyd[5524]: listening promiscuously on br192: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip and (net 10.0.0.200/31))) and not ether src 00:0c:29:16:3c:80
honeyd[5524]: Demoting process privileges to uid 65534, gid 65534