래브 레아 Labrea는 가상 서버를 사용하여 맬웨어를 탐지하는 침입 탐지 / "끈적 끈적한 냄비 기술입니다.
지금 다운로드

래브 레아 순위 및 요약

래브 레아 태그

섬기는 사람 맬웨어 꿀단지 꿀 냄비 기술 가상 서버 네트워크 맬웨어

래브 레아 설명

Labrea는 가상 서버를 사용하여 맬웨어를 탐지하는 침입 탐지 / "끈적 끈적한 냄비 기술입니다. Labrea는 가상 서버를 사용하여 맬웨어를 탐지하는 침입 탐지 / "끈적 끈적한 냄비 기술입니다. Labrea는 사용되지 않는 IP 주소를 사용하고 웜, 해커 및 기타 인터넷의 다른 거지에 매력적인 가상 서버를 만듭니다. 이 프로그램은 다른 쪽의 컴퓨터가 "stuck", 때로는 매우 긴 시간을 가지는 방식으로 연결 시도에 대한 답변을 답합니다 .Labrea는 ARP 요청 및 응답을 보면서 작동합니다. PGM이 연속적인 ARP 요청이 몇 초 간격으로 간격을두고있는 경우, Intervening Arp reply 없이는 문제의 IP가 비어있는 것으로 가정합니다. 그런 다음 Bogus MAC 주소로 ARP 회신을 "작성"하고 요청자에게 다시 시작합니다. 예제 (내 네트워크에서 실행중인 래브리어의 TCPDUMP에서) : 14 : 18 : 28.832187 ARP WHO-XX.XX.xx 13 xx.xx.xx.1에 대한 14 : 18 : 29.646402 ARP who-is xx.xx.xx.13 to sell xx.xx.xx.114 : 18 : 31.707295 ARP who-asxx.xx.13 xx.xx.xx.114 : 18 : 31.707574 arp reply xx.xx.xx.13은 0 : 0 : f : ff : ff : fftphere는 내 네트워크에 xx.xx.xx.13 컴퓨터가 없습니다. 이 경우 시간 초과가 3 초로 설정되었습니다 (명령 줄 매개 변수). 그 마지막 "WHO-HAS"가 들어 왔을 때, 당신이 보는 "is-at"답장은 래브레아에 의해 생성되었습니다. MAC 주소 0 : 0 : F : FF : FF : FF도. 그것은 존재하지 않습니다. 이제 라우터 (xx.xx.xx.1)는 xx.xx.xx.13의 일부 컴퓨터가 있고 MAC 주소 0 : 0 : F : FF에 상주한다고 믿습니다. ff : ff, 패킷을 보냅니다. 해당 IP 주소에 "가상 시스템"을 만들었습니다. 이제 LabRea는 Ether Address 0 : 0 : F : FF : FF : FF에 대한 TCP 트래픽을 시청합니다. 인바운드 TCP SYN 패킷을 볼 때 연결 시도를 "tarpits"라는 Syn / ACK로 응답합니다. 다른 모든 것은 무시됩니다. (음 ... Labrea는 또한 "가상 컴퓨터"를 제공하려고 시도합니다 ... 당신은 그들을 ping 할 수 있으며, RST와 동기 / ACK에 응답합니다. .)하지만이 릴리스에서는 더 많은 것을 읽어야합니다. · SRC / CTL.C (CTL_INIT_ARRAYS) : Linux에서 알람 호출과 믹스하지 않기로 가정되지 않으므로 수면을 제거하십시오. · src / utils.c (util_alarm ), src / labrea.c : 데몬 모드로 들어가서 알람 및 신호 처리기를 설정하므로 자식이 신호 · src / labrea_init.c, src / lbio.c : libdnet 1.7 etropen이 LibdNet 장치를 사용하기 때문에 Fudge 코드를 꺼냅니다. 이름 (즉, eth1 등).

래브 레아 관련 소프트웨어