Honeypot再起動

2026-04-26

アクセス観測

一週間ほど前、「翻弄の手仕舞い」の記事にあるように、つきまといアクセスや、スキャンアクセスの分離受信を廃止したのだが・・・
例のつきまといアクセスが一向に止まず、ログに残り続ける状態となっていた。
アクセスはHTTPSへ301リダイレクトされるため、最終的にはルーターでDROPされ、相手側は何も情報を得られない。
それにもかかわらず、執拗にアクセスを繰り返してくる。

結果として、ランダムなスキャンや攻撃アクセスよりも、つきまといアクセスのログが目立つ状況に・・・
これが不快で、じわじわとストレスが蓄積していく。

そこでiptablesの構成を変更し、Honeypot（観察用サーバー）を再起動。
再び分離受信を行うことにした。

ただし、「翻弄の手仕舞い」以前の状態、「正規サイトとハニーポット切り替え詳細」の記事にある設定へ単純に戻すと、目障りなつきまといアクセスまでHoneypot側のログに残ってしまう。
そこで今回は、FireHOLデータベースに登録されているIPレンジのホストのみを、Honeypot（観察用サーバー）へDNAT転送する構成とした。

つきまとい側は、DROPを避けるためFireHOLなどのブラックリストに該当しないホストを使ってくる。
そのため逆に、FireHOL該当ホストだけを通すことで、意図的に振り分けを行う形である。

この構成であれば、スキャンアクセスの収集は維持しつつ、例のつきまといアクセスの大半を除外できる。
さらに、FireHOLで検知されるホストの中身も確認できるため、一石二鳥だ。

●PREROUTINGチェイン

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        7   352 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:smtp match-set firehol_level3 src to:192.168.1.2:25
2        1    40 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:smtp match-set firehol_level2 src to:192.168.1.2:25
3        0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:smtp match-set firehol_level1 src to:192.168.1.2:25
4       44  2268 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set firehol_level3 src to:192.168.1.2:80
5        1    52 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set firehol_level2 src to:192.168.1.2:80
6        0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set firehol_level1 src to:192.168.1.2:80
7       49  2616 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set firehol_level3 src to:192.168.1.2:443
8       29  1596 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set firehol_level2 src to:192.168.1.2:443
9        7   384 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set firehol_level1 src to:192.168.1.2:443
10       1    60 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:ssh match-set jpnet src to:192.168.1.1:22
11       8   420 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:smtp to:192.168.1.1:25
12       0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set jpnet src to:192.168.1.1:80
13       1    44 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:http match-set searchengines src to:192.168.1.1:80
14       0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set jpnet src to:192.168.1.1:443
15      31  1728 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:https match-set searchengines src to:192.168.1.1:443
16       0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:submission match-set jpnet src to:192.168.1.1:587
17       0     0 DNAT       tcp  --  ppp0   any     anywhere             anywhere             tcp dpt:imaps match-set jpnet src to:192.168.1.1:993

・firehol_level1～3 : FireHOLで公開されているブラックリストIPからのアクセスのみを Honeypot（192.168.1.2）へ振り分け
・jpnet：日本国内からのアクセスを Main Server（192.168.1.1）へ
・searchengines：主要検索エンジンのクローラを Main Server（192.168.1.1）へ

今のところ、目論見どおりログの収集ができており、現時点での所感は以下の通りである（笑）

●FireHOL勢

・質
「プロのゴミ」

・理由
UAを変えてリトライするなど、アクセス内容に技術への執着が見られる。
ログに残す価値はある。

●例のつきまとい

・質
「底なしの汚物」

・理由
長年貢献してきた個人を標的とし、かつてはアドレスを悪用したスパム攻撃、現在は物理的な嫌がらせを継続。
論理も技術もなく、ただ「相手を不快にさせること」に全リソースを割いている。

しばらくは、この構成で運用を続ける予定だ。