我在我的linux系统上设置了snort作为IDS。 Kippo honeypot安装在我的覆盆子pi中。现在每当snort检测到攻击时,我都希望攻击者的IP被重定向到kippo honeypot。 我们如何将恶意流量重定向到蜜罐?
答案 0 :(得分:0)
如果您只在IDS模式下使用snort,则无法通过snort将数据包发送到网络,您完全是透明的。
但是,我会选择不同的进程轮询日志文件,并在日志中发送数据包,攻击者IP作为源,蜜罐作为目标。
如果您处于IPS模式,则可以通过数据包适应来开发主动响应,但这可能有点棘手。然而,无论如何,我会选择合并,让snort只是放弃& amp;报道此事件。