Du hast auf jeden Fall auch bei deinem privaten Anschluss immer das Hintergrundrauschen, das man im Netz durch Botnetze immer hat. D.h. irgendwelche Spreader von Botnetzen scannen ganze IP-Ranges ab oder feuern wahllos irgendwelche Exploits oder typische Default-Logins auf bestimmte Ports ab. Du wirst z.B. auf Port 80 immer wieder Kram wie diesen reinbekommen:
Code:
2.230.49.27 - - [07/Sep/2017:23:25:21 +0200] "HEAD http://X.X.X.X:80/2phpmyadmin/ HTTP/1.1" 404 - "-" "Mozilla/5.0 Jorgee"
2.230.49.27 - - [07/Sep/2017:23:25:20 +0200] "HEAD http://X.X.X.X:80/phpmyadmin4/ HTTP/1.1" 404 - "-" "Mozilla/5.0 Jorgee"
2.230.49.27 - - [07/Sep/2017:23:25:20 +0200] "HEAD http://X.X.X.X:80/phpmyadmin3/ HTTP/1.1" 404 - "-" "Mozilla/5.0 Jorgee"
2.230.49.27 - - [07/Sep/2017:23:25:20 +0200] "HEAD http://X.X.X.X:80/phpmyadmin2/ HTTP/1.1" 404 - "-" "Mozilla/5.0 Jorgee"
2.230.49.27 - - [07/Sep/2017:23:25:20 +0200] "HEAD http://X.X.X.X:80/phpmyAdmin/ HTTP/1.1" 404 - "-" "Mozilla/5.0 Jorgee"
2.230.49.27 - - [07/Sep/2017:23:25:20 +0200] "HEAD http://X.X.X.X:80/phpMyAdmin/ HTTP/1.1" 404 - "-" "Mozilla/5.0 Jorgee"
2.230.49.27 - - [07/Sep/2017:23:25:20 +0200] "HEAD http://X.X.X.X:80/phpMyadmin/ HTTP/1.1" 404 - "-" "Mozilla/5.0 Jorgee"
2.230.49.27 - - [07/Sep/2017:23:25:20 +0200] "HEAD http://X.X.X.X:80/phpmyadmin/ HTTP/1.1" 401 - "-" "Mozilla/5.0 Jorgee"
2.230.49.27 - - [07/Sep/2017:23:25:20 +0200] "HEAD http://X.X.X.X:80/mysql/mysqlmanager/ HTTP/1.1" 404 - "-" "Mozilla/5.0 Jorgee"
2.230.49.27 - - [07/Sep/2017:23:25:20 +0200] "HEAD http://X.X.X.X:80/mysql/sqlmanager/ HTTP/1.1" 404 - "-" "Mozilla/5.0 Jorgee"
2.230.49.27 - - [07/Sep/2017:23:25:20 +0200] "HEAD http://X.X.X.X:80/mysql/dbadmin/ HTTP/1.1" 404 - "-" "Mozilla/5.0 Jorgee"
2.230.49.27 - - [07/Sep/2017:23:25:20 +0200] "HEAD http://X.X.X.X:80/mysql/admin/ HTTP/1.1" 404 - "-" "Mozilla/5.0 Jorgee"
Das ist eine typische Scan-Signatur eines Perl-basierten Bots, der sich über Lücken in PHPMyAdmin verbreitet. Der prüft einfach typische Installationsordner für PHPMyAdmin ob er irgendwo einen validen Response bekommt. Das Teil ist enorm weit verbreitet und wird gern von Script-Kiddies verwendet, die einfach nur den Header im Skript sowie den IRC-Server, der als C&C verwendet wird, austauschen um ihn als ihren Bot auszugeben. Variieren tun hier meist nur die Ordnernamen geringfügig und die (gefakten) Browser-Signaturen. Wenn man dem ein angreifbares PHPMyAdmin anbietet, kannst du davon ausgehen, dass du davon im Monat etwa 5-10 Stück einfängst. Ich nenne ihn daher gern den Honeypot-Spammer.
Daneben gibt es ein paar Modifikationen für Wordpress (schaut meist nach der Datei xmlrpc.php und feuert dann beliebige Login-Versuche darauf ab) oder Joomla und andere Webapplikationen, die für ihre Sicherheitslücken bekannt sind.
Du kannst auch keinen SSH-Server auf seinem Default-Port lassen, ohne dass du ständig solchen Kram rein bekommst:
Code:
Sep 7 16:56:37 bitmuncher-28 sshd[28362]: Invalid user prueba from 51.15.52.242
Sep 7 16:56:32 bitmuncher-28 sshd[28360]: Invalid user vagrant from 51.15.52.242
Sep 7 16:56:29 bitmuncher-28 sshd[28357]: Invalid user vagrant from 51.15.52.242
Sep 7 16:56:23 bitmuncher-28 sshd[28355]: Invalid user vagrant from 51.15.52.242
Sep 7 16:56:18 bitmuncher-28 sshd[28353]: Invalid user linuxacademy from 51.15.52.242
Sep 7 16:56:14 bitmuncher-28 sshd[28351]: Invalid user linuxacademy from 51.15.52.242
Sep 7 16:56:11 bitmuncher-28 sshd[28348]: Invalid user user from 51.15.52.242
Sep 7 16:56:06 bitmuncher-28 sshd[28345]: Invalid user chef from 51.15.52.242
Wobei die Benutzernamen hier ziemlich variieren, aber meist auch irgendwelche typischen Linux-Systemaccounts beinhalten (vagrant, nagios, postgres, ftpuser, oracle), aber auch Namen wie a, admin, root, ubuntu, ubnt und ähnliches. Das ist ein Bot, der einfach, sobald er einen offenen Port 22 findet, diverse typische SSH-Accounts mit ein paar einfachen Passwörtern ausprobiert. Ziemlich ineffizient, aber so weit, wie das verbreitet ist, scheint es doch ab und an zu funktionieren.
Ich behaupte, dass es wohl kaum eine IP im Netz gibt, die nicht mindestens ein Mal am Tag von irgendeinem Bot besucht wird. Denn diese primitiven Botnetze prüfen nicht, ob da ein valider Service läuft und ob der ggf. eine angreifbare Version laufen hat. Die feuern einfach ziemlich wahllos ihre Exploits auf ganze IP-Ranges ab.
Sowas mit einem Honeypot einzufangen ist daher auch kein Problem und du musst keinen echten Service aufsetzen, so lange du deren Requests immer so beantwortest, wie sie es erwarten.
Insgesamt gibt es aber nunmal kein optimales Setup. Ein IDS setzt du z.B. typischerweise dann in Verbindung mit einem Honeypot ein, wenn du echte Services im Netz anbietest und potentielle Angriffe von diesen fernhalten willst. Dann kann dein IDS den reinkommenden Traffic analysieren, valide Anfragen an deinen Service durchlassen und potentielle Angriffe in einem Honeypot umleiten, wo du den Angriffsversuch genauer analysieren kannst. Dadurch kannst du mit ein klein bisschen Erfahrung z.B. erkennen, ob das ein gezielter Angriff war oder ob einfach nur ein Bot vorbeigeschaut hat und entsprechend darauf reagieren oder auch nicht. Nimmst du dir etwas Zeit deinen Honeypot immer weiter auszubauen, kann der die Analyse in >90% der Fälle auch irgendwann allein. Dann lässt du dir von dem Honeypot nur noch eine Email schicken, wenn er einen bisher unbekannten Angriffsversuch gefunden hat.
Willst du hingegen nur IPs von Botnetzen sammeln, reicht es, wenn du eine Maschine laufen hast, auf der für jeden möglichen Dienst ein Honeypot läuft. Ich nutze sowas z.B. um die Firewalls meiner Server dynamisch zu konfigurieren. Da die Honeypot-Maschinen garantiert keine validen Anfragen bekommen können (sind ja schliesslich nur Honeypots), kann ich davon ausgehen, dass jede darauf eingehende Verbindung von einer IP kommt, die entweder ein manueller Angreifer oder Teil eines Botnetzes ist. Die IP wird dann an alle meine Server weitergereicht und dort mittels iptables so lange gesperrt, bis mich jemand fragt, warum er meine echten Server/Dienste nicht erreichen kann. (Dann war's nämlich eine dynamische IP, die mittlerweile ihren Besitzer gewechselt hat.)
Hast du als Ziel Bots zu sammeln um sie zu analysieren oder gar Botnetze zu kartographieren, dann musst du natürlich den Bots die Möglichkeit geben sich einzunisten. Das ist etwas aufwendiger, weil du deinem Honeypot nach und nach beibringen musst auf verschiedene Exploits zu reagieren und diese so zu beantworten, wie es ein echter verwundbarer Service tun würde. Und du musst natürlich dafür sorgen, dass der eingeschleuste Bot, sobald er tatsächlich auf der Kiste gelandet ist, keinen Kontakt mehr zu anderen IPs als zu seinem C&C aufnimmt, weil du sonst ggf. in rechtliche Schwierigkeiten kommen kannst. Du willst ja nicht, dass dein Honeypot für DDoS-Angriffe oder ähnliches missbraucht wird. Geht's dir nur um die Bots selbst und nicht noch um die Exploits, die sie ggf. auf Anweisung ihres C&C nachladen, kannst du natürlich nach dem Einnisten einfach sämtliche Verbindungen für den Bot kappen.
Und willst du nur ein Skiddy ärgern, das sich etwas zu viel mit seinen Skills brüstet, biete ihm einen Honeypot an um sich darauf auszutoben. Die Responses für seine Hack-Versuche baust du dann so um, dass sie seinen Rechner blockieren.
Kurzum: Es gibt kein optimales Setup. Wie du Honeypots einsetzt, hängt ganz davon ab, was du damit erreichen willst. Deine Fritzbox ist für alle Zwecke jedoch relativ irrelevant, weil du ja darauf keine VMs laufen lassen kannst. Die ist dann also lediglich der Port-Forwarder, damit deine Honeypots auch aus dem Internet erreichbar sind. Meist ist aber ein kleiner VServer für 5 Euro im Monat die bessere Wahl als das Heimnetzwerk, weil du zum einen dort diese Forward-Problematik nicht hast und zum anderen die IP-Ranges von Rechenzentren häufiger Ziele von Angriffen werden. Ausserdem kann es ja auch vorkommen, dass irgendwelche Wartungsverbindungen von deinem Provider auf deinem Netzwerk eingehen, die du dann ggf. in einen Honeypot umlenken würdest. Soll Provider geben, die sowas nicht gern sehen.
![[HaBo]](/styles/default/logoklein.png){kind=small}
