Honeypot: Endlessh
Februar 29, 2024 Lesezeit: 4 Minuten
Endlessh Honeypot System
Endlessh ist eine Honeypot-Software, die als SSH-Tarpit dient, welche absichtlich sehr langsam ein endloses, zufälliges SSH-Banner sendet. Das Ziel von Endlessh ist es, SSH-Clients für Stunden oder sogar Tage zu binden, indem es sie in diese Tarpit lockt, während der echte SSH-Server auf einem anderen Port betrieben wird. Da die Tarpit im Banner vor jeglichem kryptografischen Austausch stattfindet, hängt dieses Programm nicht von kryptografischen Bibliotheken ab. Es ist ein einfaches, einzelthreadiges, eigenständiges C-Programm, das `poll()` verwendet, um mehrere Clients gleichzeitig zu fangen.
Einige der Hauptfunktionen von Endlessh sind:
- **Verzögerung der Nachrichten**: Die Verzögerung zwischen den einzelnen Bannerzeilen kann in Millisekunden eingestellt werden.
- **Maximale Bannerzeilenlänge**: Die Länge jeder Zeile wird zufällig bestimmt, und es gibt eine Einstellung für die maximale Länge jeder Zeile.
- **Maximale Anzahl von Clients**: Es gibt eine Einstellung für die maximale Anzahl von Clients, die gleichzeitig akzeptiert werden.
- **Protokollierung**: Endlessh kann Protokolle auf verschiedenen Detailebenen erstellen, von ruhig bis hin zu sehr detaillierten Debugging-Informationen.
Die Hauptziele von Endlessh sind:
Reduzierung von Brute-Force-Angriffen: Indem es Angreifer beschäftigt hält, verringert es die Anzahl der Angriffe, die ein echter Server erleiden würde.Ablenkung von Angreifern: Es lenkt Angreifer von den tatsächlichen Diensten ab und erhöht so die Sicherheit des Systems.
Sammeln von Informationen: Durch das Protokollieren der Verbindungsversuche können Administratoren Muster erkennen und die Sicherheitsmaßnahmen verbessern.
Endlessh ist eine Honeypot-Software, die entwickelt wurde, um SSH (Secure Shell) Angriffe zu verlangsamen und zu vereiteln, indem sie eine scheinbar endlose SSH-Verbindung für Angreifer bereitstellt. Hier sind einige Details zur Endlessh Honeypot-Software:
1. **Zweck**: Endlessh zielt darauf ab, Angreifer aufzuhalten, die versuchen, SSH-Dienste zu scannen oder Brute-Force-Angriffe durchzuführen, indem es eine endlose SSH-Verbindung für sie bereitstellt. Anstatt eine typische SSH-Verbindung zu öffnen, die eine Authentifizierung erfordert, akzeptiert Endlessh die Verbindung und hält sie offen, ohne eine vollständige Authentifizierung durchzuführen.
2. **Funktionsweise**: Wenn ein Angreifer versucht, sich über SSH mit einem System zu verbinden, auf dem Endlessh läuft, akzeptiert Endlessh die Verbindung und antwortet mit einer scheinbar endlosen Zeichenfolge von zufälligen Daten. Da die Verbindung nicht abgelehnt wird und keine normale SSH-Interaktion stattfindet, verschwendet der Angreifer Zeit und Ressourcen, während er auf eine Antwort wartet, die niemals kommt.
3. **Verzögerung von Angriffen**: Endlessh verlangsamt nicht nur potenzielle Angriffe, sondern kann auch dazu beitragen, dass Angreifer ihre Angriffe abbrechen oder sich von dem System abwenden, da sie glauben könnten, dass die Verbindung unterbrochen ist oder das System nicht reagiert.
4. **Einfache Konfiguration und Implementierung**: Endlessh ist einfach zu konfigurieren und zu implementieren und erfordert keine komplexen Einstellungen oder Konfigurationen. Es kann auf Linux-Systemen und anderen Betriebssystemen installiert werden, auf denen SSH-Dienste ausgeführt werden.
5. **Open-Source**: Endlessh ist eine Open-Source-Software, was bedeutet, dass der Quellcode frei verfügbar ist und von der Community weiterentwickelt und verbessert werden kann.
Insgesamt bietet Endlessh eine einfache und effektive Möglichkeit, SSH-Angriffe zu verlangsamen und zu vereiteln, indem es eine endlose SSH-Verbindung für Angreifer bereitstellt. Durch die Verzögerung von Angriffen kann Endlessh dazu beitragen, die Sicherheit von Systemen zu verbessern und potenzielle Bedrohungen zu reduzieren.
Weitere Informationen und der Quellcode sind auf dem offiziellen GitHub-Repository von Endlessh verfügbar.