この記事はHoneypot Advent Calendar 2018の1日目の記事です。

adventar.org

今回はいつもと一風違って、ハニポ系論文を紹介することにします。
私は最近Fingerprint関係の研究をしていて、偶然この論文を見つけたので読んだのですが、非常に面白かったです。特に、運用者へ警鐘を鳴らしているところが！ 以前TwitterとかSlackとかで簡単に紹介したような気がするけど、英文だとあまり読んでくれないよね。。。
というわけで、簡単に日本語で紹介してみようと思います。間違いや解釈違いがあるかもしれませんが、見つけたらご指摘ください。あとこういう論文紹介をブログに書くのも初めてだから作法わからないし…。(こちらも何か問題あったら連絡ください)
また、わかりやすさのために脚色も入っています。論文に示されている技術面もあまり語りません。ですので、興味があればできれば原著を読んでくださいね。

USENIX Woot'18で発表された論文、「Bitter Harvest: Systematically Fingerprinting Low- and Medium-interaction Honeypots at Internet Scale」です。
著者はケンブリッジ大学のA. VetterlさんとR. Claytonさん。 論文はこちらで読めます。

https://www.usenix.org/system/files/conference/woot18/woot18-paper-vetterl.pdf

やりたいこと

わかりづらいタイトルですがやりたいことは以下。

例えば、8080番ポートでwebサーバを立てた時、80番でもアクセスしたい場合に

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

としますよね？

そうすると、外から見えるポートはこんなかんじ。

$ nmap [targetIP]
Starting Nmap 7.70 ( https://nmap.org ) at 2018-06-15 20:18 JST
Nmap scan report for [targetIP]
Host is up (0.067s latency).
Not shown: 996 closed ports
PORT     STATE  SERVICE
80/tcp   open   http
8080/tcp open   http-proxy

Nmap done: 1 IP address (1 host up) scanned in 6.62 seconds

ポートスキャナのNmapでスキャンしてみました。
80番と8080番が空いています。繋いでみると、どちらも8080番に繋がります。
通常の使い方だとこれで良いのですが、ハニーポットなどでroot権限でプログラムを動かすのを避けるためにポートフォワーディングしている場合、80番だけを外に見せていたくなります。ポートスキャンしたときに2つも同じサービスが動いているのは怪しまれる材料になりますからね。
というわけでプログラムを8080番で動かしつつ、80番だけでサービスを動かすiptablesを設定します。

最初に大部分で参考にさせてもらった記事を載せておきます

qiita.com

この記事はHoneypot Advent Calendar25日目の記事です。
遅れすぎて年越しカウントダウンカレンダーになってしまったゾ。
今回は失敗談みたいな感じです。ためになりはしませんが、笑い話になるかなー？
あと、面倒で画像とかつける気になれなかったのでポエムっぽいですが、すみません想像してください。

ABCTF 2016 write up

ABCTFに、CTF wo Suruというチームで参加しました。
23位で3545ptでした。私は時間があまり取れずちょっとだけしか参加してません。
私は50ptと120ptを通しました。他4人のチームメンバーが強い。すごい。
というわけで120ptだけwrite up書きます。