Honeynet 项目的 Lance Spitzner(www.honeynet.org)提出了一种技巧,对于蜜罐(诱饵)网络,甚至对于生产 DMZ 而言都非常有用:隐形日志记录。该技巧允许连接到集线器或其他共享介质的主机将其日志文件发送到没有 IP 地址的系统,该系统可以看到并捕获日志消息,但无法通过网络直接访问,从而使得网络上的入侵者更难篡改日志文件。
这个想法很简单:假设您在 syslog.conf 操作中指定一个伪造的 IP 地址,即一个对您主机的 LAN 合法但实际上没有任何运行 syslogd 的主机使用的 IP 地址。由于 syslog 消息是使用无连接(单向)UDP 协议发送的,因此发送主机在发送日志消息时不需要任何回复。
此外,假设您的 DMZ 主机连接到集线器之类的共享介质,则通过网络发送的任何 syslog 消息都将在本地 LAN 上广播。因此,该 LAN 上的中央日志服务器无需具有 IP 地址;日志服务器可以被动地通过 snort 或其他数据包嗅探器(而不是 tcpdump,它查看数据包头,而不是数据负载)来嗅探日志消息。
显然,由于无法通过常用的基于 IP 的远程管理工具访问无 IP 地址的隐形日志记录器,因此您需要控制台访问权限才能查看日志(除非它将日志打印到行式打印机)。
此外,要配置每个 DMZ 主机的 syslog.conf 文件以记录到伪造的 IP 地址,您还需要在每个发送主机上设置伪造的 ARP 条目。 如果不这样做,每个系统都会徒劳地尝试学习具有该 IP 的主机的以太网地址,并且不会发送任何日志数据包。
例如,如果您希望给定的主机假装将数据包发送到伪造的 IP 192.168.192.168,那么除了在 /etc/syslog.conf 中的一行或多行上指定 @192.168.192.168 作为操作之外,您还需要从 shell 提示符输入以下命令:
arp -s 192.168.192.168 03:03:03:31:33:77
如果将日志数据包发送到普通日志主机(即 192.168.192.168 是运行带有 -r 标志的 syslogd 的主机的 IP 地址),则无需执行此操作。