A configuração do endereço MAC do modelo honeyd falha

0

Estou tentando definir o endereço MAC de um dos meus modelos honeyd , mas recebo uma mensagem de erro de queixas de que que não há interface que possa alcançar o endereço IP ao qual desejo me vincular. Isso é o que eu tenho no meu arquivo honeyd.conf :

route entry 30.0.0.1
route 30.0.0.1 link 30.0.0.0/24

create routerone
set routerone personality "Cisco 7206 running IOS 11.1(24)"
set routerone default tcp action reset
set routerone default icmp action open
add routerone tcp port 23 "/etc/honeypot/scripts/telnet/faketelnet.pl"

create winxp
set winxp personality "Linux Kernel 2.4.20"
#set winxp personality "Microsoft Windows XP Professional SP1"
set winxp default tcp action reset
set winxp default udp action block
set winxp default icmp action open
add winxp tcp port 22 proxy 10.0.0.200:22
add winxp tcp port 23 "/etc/honeypot/scripts/telnet/faketelnet.pl"
add winxp tcp port 24 "sh /etc/honeypot/scripts/hello.sh"
set winxp ethernet "00:11:22:33:44:55"

bind 30.0.0.100 winxp
bind 30.0.0.1 routerone

Ao tentar executar o daemon honeyd , recebo a seguinte mensagem de erro:

$ honeyd -d -i ens160:1 -f honeyd.conf 30.0.0.0/24
Honeyd V1.5c Copyright (c) 2002-2007 Niels Provos
honeyd[4093]: started with -d -i ens160:1 -f honeyd.conf 30.0.0.0/24
honeyd[4093]: listening promiscuously on ens160:1: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip and (net 30.0.0.0/24))) and not ether src 00:0c:29:40:e7:6a
honeyd[4093]: Demoting process privileges to uid 65534, gid 65534

Funciona bem quando não estou configurando o endereço de ethernet e posso fazer o ping dele. Então, obviamente, existe uma interface que pode atingir 30.0.0.100. Vi algumas configurações que estão definindo um endereço Ethernet fixo em combinação com dhcp , mas preciso vincular a um endereço IP estático.

Alguma idéia?

    
por arne.z 25.01.2017 / 16:38

1 resposta

0

Ok, finalmente consegui que funcionasse e descobri que mal entendi a função do endereço MAC. Eu pensei que era para falsificar um endereço MAC arbitrário, mas parece que ele é realmente usado para especificar qual interface honeyd envia sua saída para. Eu tive o problema que honeyd enviar sua resposta através de uma interface diferente da que a solicitação veio. Então eu configurei honeyd para enviar a resposta do template winxp para a interface que eu quero.

Aqui está a configuração que funcionou para mim:

Estou executando honeyd na interface br192 .

$ ifconfig br192
br192     Link encap:Ethernet  HWaddr 00:0c:29:16:3c:80  
          inet addr:0.1.2.3  Bcast:255.255.255.255  Mask:0.0.0.0
          inet6 addr: fe80::20c:29ff:fe16:3c80/64 Scope:Link
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:103730 errors:0 dropped:0 overruns:0 frame:0
          TX packets:771 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:21835405 (21.8 MB)  TX bytes:72694 (72.6 KB)

Meu arquivo honeyd.conf :

create winxp
set winxp personality "Microsoft Windows XP Professional SP1"
set winxp default tcp action reset
set winxp default udp action reset
set winxp default icmp action open
set winxp ethernet "00:0c:29:16:3c:80"

bind 10.0.0.200 winxp

Iniciando honeyd :

$ sudo honeyd -d -i br192 -f /etc/honeypot/honeyd.conf 10.0.0.200/31
Honeyd V1.5c Copyright (c) 2002-2007 Niels Provos
honeyd[5524]: started with -d -i br192 -f /etc/honeypot/honeyd.conf 10.0.0.200/31
honeyd[5524]: listening promiscuously on br192: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip and (net 10.0.0.200/31))) and not ether src 00:0c:29:16:3c:80
honeyd[5524]: Demoting process privileges to uid 65534, gid 65534
    
por 29.01.2017 / 22:31