ハニーポット(Dionaea)について

　ハニーポットには分類がありまして，低対話型/高対話型とサーバ型/クライアント型があります．
　

• 低対話型・・・本物の「ような」環境や、その反応をエミュレートすることで侵入、攻撃を行う者（または、プログラム）を観察し、情報を得るもの
• 高対話型・・・脆弱性が存在する本物のOSやアプリケーションを用いて構築されるもの

• サーバ型・・・攻撃を待ち受ける
• クライアント型・・・わざと脆弱性のある環境でアクセスし、感染の有無でウイルス攻撃を検出する

　
　今回選んだ"Dionaea"というハニーポットは，「低対話型サーバ型ハニーポット」に分類されます．（読み方は「ディオナエア」で合ってる？笑）
　IPAの資料によると，Dioneaaは「最も推奨されるハニーポットツール。FTP、WINS、TFTP、MS Windows RPC、SMB、HTTPS、MSSQL、MySQL、VoIP など幅広くサポートし、動作のエミュレーションレベルも高い」とあります．

今後ハニーポットでやりたいこと

• パケットキャプチャ&Dionaeaのログをひたすら眺める
• ログを元に色々統計をとってみる
• マルウェアを拾ったら解析してみる
• WEB周りをごにょごにょしたい，PHPを書きたい
• 各種解析ツール，便利ツールなどを入れる(WinScpとか)
• ドメイン取得した方がいいというお話を聞いたので検討する

パケットキャプチャについて

　パケットキャプチャにはtcpdumpを使っています．pcapデータの解析にはtsharkなどの各種ツールを使っていこうと思います．
　
　ず－っと同じファイルに書き出していくと，サイズが大きくなって解析もしにくくなるので，ファイルを１日毎に分割する工夫をしました．

#!/bin/sh
#86400秒(1日)毎にファイルを分割して出力する
sudo tcpdump -G 86400 -np -Z root -w /home/***/pcap/tcpdump_%Y%m%d%H%M%S.pcap 

$ at "00:00 03.10.14" -f tcpdump.sh

【おまけ】さっそくやらかした話

　sudoの設定ファイルのアクセス権限をいじったせいでsudoの実行ができなくなって最終的にサーバのインスタンスそのものを潰すことになった話をします．

　とある事情で，sudoの設定ファイル"/etc/sudoers"を編集する必要があり，単純に書き換えようとしたら，書き込み権限ないためにできませんでした．
　そこでアクセス権限の情報を見てみると

-r--r-----  1 root root    4004 Oct  3 13:11 sudoers

　とあり，「あーなるほど，rootでも書き込み権限がないんだな，ならchomdで権限を与えてやろう」

　と，chmodで権限を与える．
　
　/etc/sudoersにアクセスすると「書き込みできるようになっちゃってるよ！危ないから開けないようにしておくよ！」と言われ，開けなくなる．
　
　sudoを実行しようとすると「設定ファイルが書き込みできるようになっちゃってるよ！危ないから実行できないようにしておくよ！」と言われ，実行できなくなる．

　chmodで権限を元に直そうにもsudoが使えないので実行できない．

　詰む．

　こんな感じで何もできなくなり，インスタンスを新しく作りなおすことになりました（笑）

　事の顛末は，実はLinuxでは，上記のような権限情報になっていてもrootでは書き込みができるようになっているとのこと．
　ですから，権限をいじらなくてもsudo viとかsudo visudoでよかったんですねぇ...パソコン初心者なのでつらい…
　
　
　良い教訓になりました．
　
　

参考にしたサイト