2) On applique le patch aux sources de Honeyd (http://www.rstack.org/oudot/prelude/ ) :
# patch -p0 < honeyd-as-a-prelude-ids-sensor.patch patching file honeyd-0.5/Makefile.am patching file honeyd-0.5/Makefile.in patching file honeyd-0.5/README.prelude-ids patching file honeyd-0.5/command.c patching file honeyd-0.5/honeyd.c patching file honeyd-0.5/prelude_alert.c patching file honeyd-0.5/prelude_alert.h #
3) On configure puis on installe Honeyd :
Cette installation nécessite les librairies libevent, libdnet et libpcap.
# ./configure # make # make install
4) On déclare Honeyd comme une sonde sur le Prelude Manager :
# sensor-adduser --sensorname "honeyd" --uid 0 -m 130.120.84.63
5) On modifie la configuration de Prelude dans /usr/local/etc/prelude-sensor/sensor-default.conf :
manager-addr : 130.120.84.63
6) On installe Arpd (arpd-0.2.tar.gz) :
# ./configure # make # make install
7) On lance Arpd :
# ./arpd 130.120.84.0/24 arpd[13817]: listening on eth0: arp and (dst net 130.120.84.0/24) and not ether src 00:10:5a:d8:8b:51 #A partir de maintenant, le daemon Arpd gère toutes les adresses IP libres sur le réseau 130.120.84.0/24
8) On lance Honeyd :
# honeyd -d -p nmap.prints -f config.sample 130.120.84.0/24 -l honeyd.log - Connecting to Tcp prelude Manager server 130.120.84.63:5554. - SSL authentication succeed with Prelude Manager. honeyd[13826]: listening on eth0: ip and (dst net 130.120.84.0/24) and not ether src 00:10:5a:d8:8b:51 honeyd[13826]: Sending ICMP Echo Reply: 130.120.84.67 -> 130.120.84.63 honeyd[13826]: Sending ICMP Echo Reply: 130.120.84.67 -> 130.120.84.63 honeyd[13826]: Sending ICMP Echo Reply: 130.120.84.67 -> 130.120.84.63 honeyd[13826]: Sending ICMP Echo Reply: 130.120.84.67 -> 130.120.84.63 honeyd[13826]: Sending ICMP Echo Reply: 130.120.84.67 -> 130.120.84.63 #On peut voir ici que Honeyd a répondu à une requête ICMP. La machine qui a initié cette réponse (130.120.84.63) s'est adressé à une machine qui n'existe pas sur le réseau (130.120.84.67). Une alerte est donc générée et envoyée au Prelude-manager. Nous pouvons donc visualiser cette alerte sur le frontend de Prelude.