Honeypot: Ddospot

Februar 29, 2024 - Lesezeit: 4 Minuten

DDoSPot Honeypot System

DDoSPot ist eine Honeypot-Plattform, die speziell für die Verfolgung und Überwachung von UDP-basierten Distributed Denial of Service (DDoS) Angriffen entwickelt wurde. Die Plattform unterstützt verschiedene Honeypot-Dienste/Server in Form von relativ einfachen Plugins, die als “pots” bezeichnet werden. Zu den derzeit unterstützten Diensten gehören:

DNS-Server: Dieser Plugin basiert auf UDPot und verwendet das Twisted-Framework. Er versucht, einen echten DNS-Dienst so genau wie möglich zu emulieren, indem er alle Anfragen an einen gültigen rekursiven Resolver weiterleitet und eine willkürliche Antwort auf CHAOS-Anfragen zurückgibt.
NTP-Server: Reagiert auf drei NTP-Paketmodi: Client (Modus 3), Control (Modus 6) und monlist (Modus 7). Diese Modi wurden ausgewählt, weil sie am häufigsten in amplifikationsbasierten DDoS-Angriffen auf NTP verwendet werden (Modus 6 und 7), und der Client-Modus wurde implementiert, um den Dienst realistischer erscheinen zu lassen.
SSDP-Server: Reagiert auf gültige Multicast (M-SEARCH) Anfragen und bietet eine (extrem eingeschränkte und leichte) Emulation von MiniUPnP.
CHARGEN-Server: Emuliert chargen von xinetd (der nicht vollständig RFC 864-konform ist). Die Antwortgröße des Dienstes (und damit der Verstärkungsfaktor) ist vollständig konfigurierbar.
Generischer UDP-Server: Dieser Plugin kann verwendet werden, um die Antwort eines beliebigen Dienstes zu emulieren, ohne einem spezifischen Protokollspezifikation oder Algorithmus zu folgen.
Jeder Plugin verwendet eine separate Datenbank und eine dedizierte Protokolldatei und hat die Fähigkeit, täglich eine Sammlung von IP-Adressen zu generieren, die als Angreifer/Scanner betrachtet werden können - diese Blacklists werden im Verzeichnis bl/ gespeichert. Zusätzlich kann jeder Plugin E-Mail-Benachrichtigungen senden, wenn ein Angriff auf ein bestimmtes Land gestartet wird.

Die Installation von DDoSPot erfordert Python 3 und einige zusätzliche Pakete. Weitere Informationen und der Quellcode sind auf dem offiziellen GitHub-Repository verfügbar

1. **Zweck und Ziel**: DDoSPot ist eine Honeypot-Plattform, die speziell darauf ausgerichtet ist, UDP-basierte DDoS-Angriffe zu verfolgen und zu überwachen. UDP (User Datagram Protocol) ist ein Netzwerkprotokoll, das für die Übertragung von Daten in Echtzeit verwendet wird, jedoch nicht die Zuverlässigkeit von TCP bietet. DDoS-Angriffe, die auf UDP basieren, zielen darauf ab, Netzwerke und Dienste durch eine Überlastung mit einer großen Anzahl gefälschter UDP-Pakete zu überlasten.

2. **Funktionsweise**: DDoSPot funktioniert ähnlich wie andere Honeypots, indem er als attraktives Ziel für potenzielle Angreifer dient. Er emuliert oder simuliert UDP-Dienste oder -Anwendungen, die Angreifer dazu verleiten sollen, Angriffe auf diese Ziele durchzuführen. Während Angreifer versuchen, die vermeintlichen Ziele anzugreifen, zeichnet DDoSPot alle relevanten Informationen über die Angriffe auf, einschließlich der Quell-IP-Adressen, der Art des Angriffs, der verwendeten Paketgrößen und vielem mehr.

3. **Überwachung und Analyse**: DDoSPot sammelt und analysiert die Daten über die durchgeführten DDoS-Angriffe. Durch die Analyse dieser Daten können Sicherheitsfachleute und Netzwerkadministratoren Muster erkennen, Trends identifizieren und potenzielle Schwachstellen in ihren Netzwerken oder Diensten aufdecken. Diese Informationen können dann verwendet werden, um geeignete Gegenmaßnahmen zu ergreifen, um die Auswirkungen zukünftiger Angriffe zu minimieren.

4. **Schutz und Verteidigung**: Basierend auf den Erkenntnissen aus der Überwachung und Analyse können Organisationen geeignete Maßnahmen ergreifen, um sich vor DDoS-Angriffen zu schützen. Dies kann die Implementierung von Firewalls, Intrusion Detection- und Präventionsystemen (IDPS), Traffic-Shaping-Techniken und anderen Sicherheitsvorkehrungen umfassen.

Insgesamt bietet DDoSPot eine spezialisierte Lösung zur Verfolgung und Überwachung von UDP-basierten DDoS-Angriffen. Durch die Nutzung dieser Plattform können Organisationen ihre Sicherheitsstrategien verbessern und effektivere Maßnahmen zum Schutz ihrer Netzwerke und Dienste entwickeln.

GitHub: Das offizielle GitHub-Repository für DDoSPot, wo Sie den Quellcode finden und zur Entwicklung beitragen können.

Verschiedene Server-Plugins: DDoSPot unterstützt mehrere Honeypot-Dienste, die als Plugins fungieren, wie DNS-, NTP-, SSDP-, CHARGEN- und generische UDP-Server.
Emulation echter Dienste: Die Plugins versuchen, echte Dienste zu emulieren, um Angreifer anzulocken und ihre Methoden zu analysieren.
Protokollierung von Angriffen: DDoSPot zeichnet Angriffsdaten auf, um Muster zu erkennen und die Quellen von DDoS-Angriffen zu identifizieren.
Erstellung von Blacklists: Die Plattform generiert täglich Listen von IP-Adressen, die als potenzielle Angreifer betrachtet werden können.
E-Mail-Benachrichtigungen: DDoSPot kann Benachrichtigungen senden, wenn Angriffe aus bestimmten Ländern erkannt werden.
Die Plattform ist in Python 3 geschrieben und erfordert einige zusätzliche Pakete für die Installation. Weitere Informationen und der Quellcode sind auf dem offiziellen GitHub-Repository für DDoSPot verfügbar.