Okay, ich habe es endlich geschafft und es stellte sich heraus, dass ich die Funktion der MAC-Adresse falsch verstanden habe. Ich dachte, es wäre dazu gedacht, eine beliebige MAC-Adresse zu fälschen, aber es scheint, als würde sie tatsächlich dazu verwendet, anzugeben, an welche Schnittstelle honeydsie die Ausgabe sendet. Ich hatte das Problem, dass honeydseine Antwort über eine andere Schnittstelle gesendet wurde als die, von der die Anfrage kam. Also habe ich konfiguriert honeyd, die Antwort der winxpVorlage an die gewünschte Schnittstelle zu senden .
Hier ist die Konfiguration, die für mich funktioniert hat:
Ich laufe honeydauf der br192Schnittstelle.
$ ifconfig br192 br192 Link encap:Ethernet HWaddr 00:0c:29:16:3c:80 inet addr:0.1.2.3 Bcast:255.255.255.255 Mask:0.0.0.0 inet6 addr: fe80::20c:29ff:fe16:3c80/64 Scope:Link UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:103730 errors:0 dropped:0 overruns:0 frame:0 TX packets:771 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:21835405 (21.8 MB) TX bytes:72694 (72.6 KB) Meine honeyd.confDatei:
create winxp set winxp personality "Microsoft Windows XP Professional SP1" set winxp default tcp action reset set winxp default udp action reset set winxp default icmp action open set winxp ethernet "00:0c:29:16:3c:80" bind 10.0.0.200 winxp Beginnend honeyd:
$ sudo honeyd -d -i br192 -f /etc/honeypot/honeyd.conf 10.0.0.200/31 Honeyd V1.5c Copyright (c) 2002-2007 Niels Provos honeyd[5524]: started with -d -i br192 -f /etc/honeypot/honeyd.conf 10.0.0.200/31 honeyd[5524]: listening promiscuously on br192: (arp or ip proto 47 or (udp and src port 67 and dst port 68) or (ip and (net 10.0.0.200/31))) and not ether src 00:0c:29:16:3c:80 honeyd[5524]: Demoting process privileges to uid 65534, gid 65534