たとえばDNSやPOP、FTPなどを起動して応答する。
クローズドな環境でマルウェアを実際に動かして解析するときに使用する。
インストール手順としては、inetsim を登録してから apt-get となる。
VirtualBox:~$ wget http://www.inetsim.org/debian/binary/inetsim-archive-keyring_2008.10.12_all.deb --2013-02-27 11:01:10-- http://www.inetsim.org/debian/binary/inetsim-archive-keyring_2008.10.12_all.deb www.inetsim.org をDNSに問いあわせています... 81.169.154.213 www.inetsim.org|81.169.154.213|:80 に接続しています... 接続しました。 HTTP による接続要求を送信しました、応答を待っています... 200 OK 長さ: 3140 (3.1K) [application/x-debian-package] `inetsim-archive-keyring_2008.10.12_all.deb' に保存中 100%[======================================>] 3,140 --.-K/s 時間 0s 2013-02-27 11:01:11 (77.5 MB/s) - `inetsim-archive-keyring_2008.10.12_all.deb' へ保存完了 [3140/3140] VirtualBox:~$ VirtualBox:~$ VirtualBox:~$ sudo dpkg -i inetsim-archive-keyring_2008.10.12_all.deb 未選択パッケージ inetsim-archive-keyring を選択しています。 (データベースを読み込んでいます ... 現在 147694 個のファイルとディレクトリがインストールされています。) (inetsim-archive-keyring_2008.10.12_all.deb から) inetsim-archive-keyring を展開しています... inetsim-archive-keyring (2008.10.12) を設定しています ... OK VirtualBox:~$ VirtualBox:~$ VirtualBox:~$ sudo apt-get update 1,916 B を 10秒 で取得しました (184 B/s) パッケージリストを読み込んでいます... 完了 VirtualBox:~$ VirtualBox:~$ VirtualBox:~$ sudo apt-get install inetsim パッケージリストを読み込んでいます... 完了 依存関係ツリーを作成しています 状態情報を読み取っています... 完了 以下の特別パッケージがインストールされます: libio-multiplex-perl libio-socket-inet6-perl libipc-shareable-perl libiptables-ipv4-ipqueue-perl libnet-cidr-perl libnet-server-perl libsocket6-perl 以下のパッケージが新たにインストールされます: inetsim libio-multiplex-perl libio-socket-inet6-perl libipc-shareable-perl libiptables-ipv4-ipqueue-perl libnet-cidr-perl libnet-server-perl libsocket6-perl アップグレード: 0 個、新規インストール: 8 個、削除: 0 個、保留: 0 個。 584 kB のアーカイブを取得する必要があります。 この操作後に追加で 2,830 kB のディスク容量が消費されます。 続行しますか [Y/n]? Y 取得:1 http://www.inetsim.org/debian/ binary/ inetsim 1.2.3-1 [299 kB] 取得:2 http://jp.archive.ubuntu.com/ubuntu/ oneiric/main libio-multiplex-perl all 1.13-1 [22.2 kB] 取得:3 http://jp.archive.ubuntu.com/ubuntu/ oneiric/main libsocket6-perl i386 0.23-1build1 [25.1 kB] 取得:4 http://jp.archive.ubuntu.com/ubuntu/ oneiric/main libio-socket-inet6-perl all 2.65-1.1 [13.7 kB] 取得:5 http://jp.archive.ubuntu.com/ubuntu/ oneiric/universe libipc-shareable-perl all 0.60-8 [34.7 kB] 取得:6 http://jp.archive.ubuntu.com/ubuntu/ oneiric/universe libiptables-ipv4-ipqueue-perl i386 1.25-3build1 [25.7 kB] 取得:7 http://jp.archive.ubuntu.com/ubuntu/ oneiric/main libnet-cidr-perl all 0.14-1 [14.7 kB] 取得:8 http://jp.archive.ubuntu.com/ubuntu/ oneiric/main libnet-server-perl all 0.99-2ubuntu2 [149 kB] 584 kB を 4秒 で取得しました (142 kB/s) 未選択パッケージ libio-multiplex-perl を選択しています。 (データベースを読み込んでいます ... 現在 147699 個のファイルとディレクトリがインストールされています。) (.../libio-multiplex-perl_1.13-1_all.deb から) libio-multiplex-perl を展開しています... 未選択パッケージ libsocket6-perl を選択しています。 (.../libsocket6-perl_0.23-1build1_i386.deb から) libsocket6-perl を展開しています... 未選択パッケージ libio-socket-inet6-perl を選択しています。 (.../libio-socket-inet6-perl_2.65-1.1_all.deb から) libio-socket-inet6-perl を展開しています... 未選択パッケージ libipc-shareable-perl を選択しています。 (.../libipc-shareable-perl_0.60-8_all.deb から) libipc-shareable-perl を展開しています... 未選択パッケージ libiptables-ipv4-ipqueue-perl を選択しています。 (.../libiptables-ipv4-ipqueue-perl_1.25-3build1_i386.deb から) libiptables-ipv4-ipqueue-perl を展開しています... 未選択パッケージ libnet-cidr-perl を選択しています。 (.../libnet-cidr-perl_0.14-1_all.deb から) libnet-cidr-perl を展開しています... 未選択パッケージ libnet-server-perl を選択しています。 (.../libnet-server-perl_0.99-2ubuntu2_all.deb から) libnet-server-perl を展開しています... 未選択パッケージ inetsim を選択しています。 (.../inetsim_1.2.3-1_all.deb から) inetsim を展開しています... man-db のトリガを処理しています ... ureadahead のトリガを処理しています ... ureadahead will be reprofiled on next reboot libio-multiplex-perl (1.13-1) を設定しています ... libsocket6-perl (0.23-1build1) を設定しています ... libio-socket-inet6-perl (2.65-1.1) を設定しています ... libipc-shareable-perl (0.60-8) を設定しています ... libiptables-ipv4-ipqueue-perl (1.25-3build1) を設定しています ... libnet-cidr-perl (0.14-1) を設定しています ... libnet-server-perl (0.99-2ubuntu2) を設定しています ... inetsim (1.2.3-1) を設定しています ... Creating default SSL key and certificate... done. * Edit /etc/default/inetsim to start inetsim VirtualBox:~$ VirtualBox:~$ VirtualBox:~$ VirtualBox:~$ sudo inetsim INetSim 1.2.3 (2012-10-01) by Matthias Eckert & Thomas Hungenberg Main logfile '/var/log/inetsim/main.log' does not exist. Trying to create it... Main logfile '/var/log/inetsim/main.log' successfully created. Sub logfile '/var/log/inetsim/service.log' does not exist. Trying to create it... Sub logfile '/var/log/inetsim/service.log' successfully created. Debug logfile '/var/log/inetsim/debug.log' does not exist. Trying to create it... Debug logfile '/var/log/inetsim/debug.log' successfully created. Using log directory: /var/log/inetsim/ Using data directory: /var/lib/inetsim/ Using report directory: /var/log/inetsim/report/ Using configuration file: /etc/inetsim/inetsim.conf Parsing configuration file. Configuration file parsed successfully. === INetSim main process started (PID 2983) === Session ID: 2983 Listening on: 127.0.0.1 Real Date/Time: Wed Feb 27 11:06:31 2013 Fake Date/Time: Wed Feb 27 11:06:31 2013 (Delta: 0 seconds) Forking services... * time_37_udp - started (PID 3001) * echo_7_udp - started (PID 3005) * echo_7_tcp - started (PID 3004) * syslog_514_udp - started (PID 2999) * ident_113_tcp - started (PID 2998) * daytime_13_udp - started (PID 3003) * discard_9_udp - started (PID 3007) * irc_6667_tcp - started (PID 2995) * finger_79_tcp - started (PID 2997) * dummy_1_udp - started (PID 3013) * time_37_tcp - started (PID 3000) * discard_9_tcp - started (PID 3006) * dns_53_tcp_udp - started (PID 2985) * daytime_13_tcp - started (PID 3002) * chargen_19_udp - started (PID 3011) * quotd_17_udp - started (PID 3009) * chargen_19_tcp - started (PID 3010) * ntp_123_udp - started (PID 2996) * quotd_17_tcp - started (PID 3008) * dummy_1_tcp - started (PID 3012) * tftp_69_udp - started (PID 2994) * smtp_25_tcp - started (PID 2988) * ftps_990_tcp - started (PID 2993) * ftp_21_tcp - started (PID 2992) * smtps_465_tcp - started (PID 2989) * pop3s_995_tcp - started (PID 2991) * http_80_tcp - started (PID 2986) * pop3_110_tcp - started (PID 2990) * https_443_tcp - started (PID 2987) done. Simulation running. * dummy_1_udp - stopped (PID 3013) * dummy_1_tcp - stopped (PID 3012) * chargen_19_udp - stopped (PID 3011) * chargen_19_tcp - stopped (PID 3010) * quotd_17_udp - stopped (PID 3009) * quotd_17_tcp - stopped (PID 3008) * discard_9_udp - stopped (PID 3007) * discard_9_tcp - stopped (PID 3006) * echo_7_udp - stopped (PID 3005) * echo_7_tcp - stopped (PID 3004) * daytime_13_udp - stopped (PID 3003) * daytime_13_tcp - stopped (PID 3002) * time_37_udp - stopped (PID 3001) * time_37_tcp - stopped (PID 3000) * ident_113_tcp - stopped (PID 2998) * finger_79_tcp - stopped (PID 2997) * ntp_123_udp - stopped (PID 2996) * ftps_990_tcp - stopped (PID 2993) * ftp_21_tcp - stopped (PID 2992) * pop3s_995_tcp - stopped (PID 2991) * pop3_110_tcp - stopped (PID 2990) * smtps_465_tcp - stopped (PID 2989) * smtp_25_tcp - stopped (PID 2988) * https_443_tcp - stopped (PID 2987) * http_80_tcp - stopped (PID 2986) * dns_53_tcp_udp - stopped (PID 2985) * syslog_514_udp - stopped (PID 2999) * tftp_69_udp - stopped (PID 2994) * irc_6667_tcp - stopped (PID 2995) Simulation stopped. === INetSim main process stopped (PID 2983) === . VirtualBox:~$起動まで確認できたところで inetsim.conf の設定。
/etc/inetsim/inetsim.conf を編集する。
サーバで使用する IP アドレスなので、下記の部分をサーバについている IP アドレスを使用する。
service bind address dns_default_ip
また、この状態では NAT 変換機能がないため iptables の NAT 機能ですべての通信を自分あてに変更する。
下記の2行を追加する。
インターフェースは eth0 の場合。
sudo iptables -t nat -A PREROUTING -i eth0 -j REDIRECT sudo iptables -t filter -A INPUT -i eth0 -j ACCEPT
通信の履歴などは /var/log/inetsim/service.log に保存される。
0 件のコメント:
コメントを投稿