Mise en place de honeyd

[aurel8555]

Bonjour à tous,

Je cherche à mettre en place Honeyd en local pour faire une démonstration la semaine prochaine mais je rencontre des problèmes.

Les versions de ma configuration:
Debian etch stable amd64
package honeyd (1.5b-1)
package farpd (0.2-8 )
nmap 4.60 for Windows
or nmap 4.20 for windows
or nmap 4.11 for windows


Le problème est que nmap ne détecte pas mon honeypot. J'arrive a le pinguer avec une machine du réseau.

Code: Tout sélectionner

C:\Documents and Settings\windows>ping 192.168.2.20

Envoi d'une requête 'ping' sur 192.168.2.20 avec 32 octets de données :

Délai d'attente de la demande dépassé.
Réponse de 192.168.2.20 : octets=32 temps<1ms TTL=128
Réponse de 192.168.2.20 : octets=32 temps<1ms TTL=128
Réponse de 192.168.2.20 : octets=32 temps<1ms TTL=128

Statistiques Ping pour 192.168.2.20:
    Paquets : envoyés = 4, reçus = 3, perdus = 1 (perte 25%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms


J'arrive a scanner ses ports avec SCANPORT.

Mais je n'arrive pas à le détecter avec nmap.

J'ai essayé d'appliquer ce patch à Farpd mais j'ai l'impression que le paquet Debian Farpd source a un problème de dépendance.

http://honeyd.org/phpBB2/viewtopic.php?t=473&sid=8be0cc5c1edeb38458d41c15df04bbc0

Je suis quasiment sur que le problème vient de là mais je n'arrive pas a le régler.


la config de mon honeypot :

Code: Tout sélectionner

# Example of a simple host template and its binding
create template
set template personality "Microsoft Windows XP Professional SP1"
set template maxfds 35
# For a complex IIS server
add template tcp port 80 "sh /usr/share/honeyd/scripts/win32/web.sh"
add template tcp port 22 "/usr/share/honeyd/scripts/test.sh $ipsrc $dport"
add template tcp port 23 proxy $ipsrc:23
add template udp port 53 proxy 141.211.92.141:53
set template default tcp action reset
# Use this if you are not running honeyd as 'honeyd' user:
# Debian-specific (use nobody = 65534 instead of 32767)
# set template uid 65534 gid 65534

create default
set default default tcp action block
set default default udp action block
set default default icmp action block

bind 192.168.2.20 template



Merci d'avance pour vos réponses

[aurel8555]

Quelq'un a t'il déja installé Honeyd ?

[S0l0]

Quelq'un a t'il déja installé Honeyd ?

je ne pense pas que les gens joue encore avec ses $%#&! en production .... en periode de test peut-etre mais en prod :/
Il me semble que si il n'y as pas d'argument en lancant honeyd il part un peu en live(j'ai la memoire qui flanche)...
ca ressemble a un truc comme :

honeyd -d -p NMAP.PRINTS -x [.....] -a NMAP.ASSOC etc......

je me souviens pas trop de la totalite des args , trop longtemps que j'ai pas jouer avec ces trucs

[aurel8555]

je ne pense pas que les gens joue encore avec ses $%#&! en production .... en periode de test peut-etre mais en prod :/

QUe veux tu dire par là ?

je me souviens pas trop de la totalite des args , trop longtemps que j'ai pas jouer avec ces truc

oui oui je mets la totale quand je lance honeyd mais le probleme à l'air de venir de farpd qui ne reponds pas assez vite. (comme tu peux le voir sur la commande ping) MAis je ne vois pas comment regler ce probleme...