将流量从生产服务器路由到蜜罐答案

【问题标题】：routing traffic from production server to honeypot将流量从生产服务器路由到蜜罐
【发布时间】：2018-08-01 16:06:55
【问题描述】：

我正在尝试将用于我的生产服务器的恶意流量引导到我的蜜罐。我现在有 3 个虚拟机：一个在内联模式下运行 Snort 的路由器、一个生产服务器（debian）和我的 kippo 蜜罐。我对此很陌生，我正在寻找过滤掉不良 UDP 流量然后将其路由到我的蜜罐的方法。任何帮助将不胜感激！提前致谢。

【问题讨论】：

您是否考虑过在您的 NAT 上配置端口转发，以便您提供的端口被定向到合法服务器，而其他所有内容都被转发到蜜罐？
@DavidHoelzer 感谢您的回复。我不确定我的想法是否正确，但我提供的端口是否也可能受到攻击？有没有办法首先过滤掉这些端口上的流量，然后路由非法流量到蜜罐？我对 DoS/DDoS 攻击特别感兴趣。
当然可以……但是动态地将流量路由到蜜罐会更加困难。
@DavidHoelzer 有哪些可能的选择？是否有可能通过使用 snort（在我创建的充当路由器的 VM 上使用它）？

【解决方案1】：

我不知道当前有哪个项目可以做到这一点，但“baitnswitch”是一个更古老的项目，旨在完成它。但是，您当然可以执行以下操作：

这些都不难。我要给您的唯一警告是，当您的 iptables 防火墙中包含数千条规则时，您的内核将开始随机爆炸。定期清除这些规则以防止这种情况发生是一个非常好的主意。

【讨论】：

非常感谢您的回答！我确实尝试过使用 baitnswitch，但不知何故对我不起作用。我遇到了一些错误，由于这是一个较旧的项目，我无法向任何人询问我的疑问。在这个领域非常新意味着我并不总是确定事情是如何运作的，所以我阅读并尝试实施。我肯定会接受您的建议，并会阅读如何在我的项目中实现这一点。非常感谢您的帮助！
感谢支持。 :) 如果您在实现此功能时遇到具体问题，请随时在此处添加评论，因为这是最有可能吸引我注意的方式；我不经常看 [snort] 标签。
嘿@DavidHoelzer，我想知道我们是否可以在 fwsnort 和 psad 中添加自定义 iptable 规则？我知道他们可以在匹配规则集时接受和拒绝数据包，但它也可以将数据包转发到蜜罐吗？