You are viewing a single comment's thread from:

RE: Honeypot Cowrie einrichten (Teil 2)

in #deutsch7 years ago (edited)

Ich frage mich nur wie man den richtigen SSH Port, über den man sich anmeldet, am besten auf einen gemieteten Server versteckt. Dort hat man ja nicht unbedingt die Möglichkeit den Router zu konfigurieren. Aber ansonsten wieder einfach und verständlich erklärt @sempervideo.

Sort:  

Ja, guter Punkt! Hinter einem Router ist es nochmal was anderes als mit z. B. einem vServer. Wenn ich als Angreifer zwei SSH-Ports bei einem Scan sehen würde, würde mich das skeptisch machen.
Ich habe auf die schnelle nichts gefunden :/

Da gibt es schon Möglichkeiten. z.B. nach kurzem googlen bin ich auf diese Lösung gestossen: https://www.qikgrp.com/ssh-mit-iptables-tarnen/

Hab es gerade mal schnell mit meinem Pi getestet. Ist zwar ein interessanter Ansatz, aber leider nicht perfekt. Denn nach dem zweiten Port-Scan wird der Port halt trotzdem noch angezeigt. Damit kann man vielleicht Bots verjagen, aber ob ein echter Angreifer das nicht bemerken würde ist eine andere Sache. Es sei den man stellt vielleicht die Zeit bis zum freischalten des Ports etwas runter, das könnte dann aber echt nervig werden das Timing hinzukriegen.

Normalerweise scannen Tools wie Nmap nur die am häufigstgen verwendeten Ports , denn ein Scan aller 65535 Ports ist meist zu zeitaufwendig (Bei Nmap sind es die häufigsten 1000 Ports). Wenn du also für deinen SSH Service einen Port wählst, der nicht in einem normalen Scan abgefragt wird, dann fällt das wahrscheinlich fast nie auf.

Hm, ja klar bei der ersten schnellen Überprüfung wird das vermutlich nicht auffallen. Aber wenn der Angreifer schlau ist, und noch weitere Checks durch führt, fällt es ihm vielleicht auf. Wie gesagt vermutlich gut gegen Bots, aber halt nicht Perfekt.