36、Linux蜜罐服务全解析

Linux蜜罐服务全解析

1. 端口欺骗（Portspoof）相关操作

可以从系统日志（syslog）中提取端口欺骗（portspoof）的条目。信息是相同的，但时间戳以 ASCII 格式显示，而不是“自纪元开始以来的秒数”。操作如下：

$ cat /var/log/syslog | grep portspoof
Jul 15 15:48:02 ubuntu portspoof[26214]:  1626378481 # Service_
probe # SIGNATURE_SEND # source_ip:192.168.122.183 # dst_
port:80
Jul 15 15:48:02 ubuntu portspoof[26214]:  1626378481 # Service_
probe # SIGNATURE_SEND # source_ip:192.168.122.183 # dst_
port:82
Jul 15 15:48:02 ubuntu portspoof[26214]:  1626378481 # Service_
probe # SIGNATURE_SEND # source_ip:192.168.122.183 # dst_
port:81

当需要拆除端口欺骗时，要移除之前添加的网络地址转换（NAT）条目，使 Linux 主机恢复对这些端口的原始处理：

$ sudo iptables -t nat -F

2. 其他常见蜜罐

2.