| Labrea Labrea ist eine Intrusion-Erkennung / "klebrige" Honigtopftechnologie mit virtuellen Servern, um Malware zu erkennen. |
Jetzt downloaden |
Labrea Ranking & Zusammenfassung
- Name des Herausgebers:
- Loren Gordon
Labrea Stichworte
Labrea Beschreibung
Labrea ist eine Intrusion-Erkennung / "klebrige" Honigtopftechnologie mit virtuellen Servern, um Malware zu erkennen. Labrea ist eine Intrusion-Erkennung / "klebrige" Honigtopftechnologie mit virtuellen Servern, um Malware zu erkennen. Labrea übernimmt ungenutzte IP-Adressen und erstellt virtuelle Server, die für Würmer, Hacker und andere Anweisungen des Internets attraktiv sind. Das Programm antwortet auf Verbindungsversuche auf eine Weise, in der die Maschine am anderen Ende "stecken" stecken ", manchmal für eine sehr lange Zeit, um ARP-Anfragen und Antworten zu sehen. Wenn die PGM aufeinanderfolgende ARP-Anfragen mehrere Sekunden abweichen, ohne dass ein dazugehöriger ARP-Antworten abgesehen wird, geht davon aus, dass die fragliche IP unbesetzt ist. Es erstellt dann "Erstellt" eine ARP-Antwort mit einer Bogus-MAC-Adresse und feuert es wieder an den Anforderer ab. Ein Beispiel (von einem TCPDump von Labrea läuft in meinem Netzwerk): 14: 18: 28.832187 ARP WHO-HAT XX.XX.XX .13 Tell XX.XX.XX.114: 18: 29.646402 ARP WHO-HAT XX.XX.XX.13 Tell XX.XX.XX.114: 18: 31.707295 ARP WHO-HAT XX.XX.XX.13 Sagen Sie xx.xx.xx.114: 18: 31.707574 ARP-Antwort xx.xx.xx.13 IS-at 0: 0: F: FF: FF: FFTHERE ist keine xx.xx.xx.13-Maschine in meinem Netzwerk. In diesem Fall wurde das Timeout auf 3 Sekunden eingestellt (es ist ein Befehlszeilenparameter), und wenn das Finale "WHO-HAT" eingekannet, ist die Antwort, die Sie von LabRea erstellt haben. Eine MAC-Adresse von 0: 0: F: FF: FF: FF entweder. Es ist nicht vorhanden FF: FF, und so sendet es pflichtbewusst Pakete an. Unsenz, wir haben auf dieser IP-Adresse eine "virtuelle Maschine" erstellt.Now, Labrea achtet auch für den TCP-Verkehr, der für die Etheradresse bestimmt ist. 0: 0: F: FF: FF: FF: FF. Wenn es ein eingehendes TCP-SYN-Paket sieht, antwortet er mit einer SYN / ACK, die "Tarpits" diesen Verbindungsversuch tarpits «ist. Alles andere wird ignoriert. (Nun ... irgendwie. .) Aber Sie müssen weiter lesen ), src / labrea.c: Setzen Sie Alarm- und Signalhandler, nachdem Sie in den Daemon-Modus gegangen sind, so dass das Kind Signal erhält · SRC / LABREA_INIT.C, SRC / LBIO.C: FUGE-Code herausnehmen, da libdnet 1.7 Ethopen jetzt das libdnet-Gerät verwendet Namen (dh ETH1 usw.).
Labrea Zugehörige Software