T-Pot 蜜罐的介绍及使用

栏目: 后端 · 发布时间: 6年前

内容简介:T-Pot 蜜罐是德国电信下的一个社区蜜罐项目,是一个基于 Docker 容器的集成了众多针对不同应用蜜罐程序的系统,目前发行的最高版本是 2017 年 11 月 7 日发布的 T-Pot 17.10,根据官方的介绍,每年都会发布一个新的版本。项目地址:https://github.com/dtag-dev-sec/tpotce

简介

T-Pot 蜜罐是德国电信下的一个社区蜜罐项目,是一个基于 Docker 容器的集成了众多针对不同应用蜜罐程序的系统,目前发行的最高版本是 2017 年 11 月 7 日发布的 T-Pot 17.10,根据官方的介绍,每年都会发布一个新的版本。

项目地址:https://github.com/dtag-dev-sec/tpotce

组成

T-Pot 蜜罐的介绍及使用

上图就是当前 T-Pot 最新版本的组成部分,T-Pot 可以理解成是这么多系统的一个整合。

下面将针对各个部分进行简单的介绍

Elastic-Search

  • 项目地址:https://www.elastic.co/products/elasticsearch
  • 监听端口:64298(本地,可以通过 64297 端口的 web 服务使用)

Elastic Search 一个性能十分强大的全文搜索引擎,他可以快速的进行海量数据的查询

在 T-Pot 的实际应用中,各个蜜罐所产生的日志都会导入到 Elastic Search 中,因此可以使用 Elastic Search 来进行检索,同时也可以使用他对数据进行各种复杂条件的查询和导出等

Logstash

  • 项目地址:https://www.elastic.co/products/logstash
  • 监听地址:N/A

Logstash 用于接收从蜜罐传递过来的日志,然后对数据进行过滤和格式化后交由 Elastic Search 进行存储和建立索引

Kibana

  • 项目地址:https://www.elastic.co/products/kibana
  • 监听端口:64296(本地,可以通过 64297 端口的 web 服务使用)

Kibana 用于对进行数据的可视化查询,支持以柱状图、线状图、饼图、旭日图等等输出各种图形,也能通过时间序列对蜜罐日志某个特征的趋势进行分析。

Head

  • 项目地址:https://mobz.github.io/elasticsearch-head/
  • 监听端口:64302(本地,可以通过 64297 端口的 web 服务使用)

Head 是一个网页前端,主要用于与 Elastic Search 集群进行交互。

和上面的 Kibana 不同的是,他的可视化程度相对较低,但是更便于直接对数据进行操作,类似与 phpMyAdmin 的存在

Conpot

  • 项目地址:http://conpot.org/
  • 监听端口:1025 50100

Conpot 是一个低交互式的工业控制系统的蜜罐,内置了一系列常见的工业控制协议,并且易于修改和拓展,尽其所能的欺骗攻击者,以获得攻击者的最终目的

Cowrie

  • 项目地址:http://www.micheloosterhof.com/cowrie/
  • 监听端口:2222 2223

Cowrie 是一个中等交互式的 SSH / Telnet 蜜罐,设计上用来记录暴力破解以及登录后 Shell 执行的操作

主要功能有:

  • 提供了虚假的文件系统(类似 Debian5.0),并且可以进行文件的增加和删除
  • 随机增加某些文件的内容以便攻击者使用 cat 功能,例如 /etc/passwd
  • 提供 UML 兼容格式的回话日志,可供用来重放会话
  • 保存通过 wget 和 curl 下载的文件供后续的分析

Dionaea

  • 项目地址:https://github.com/DinoTools/dionaea
  • 监听端口:21 42 69/udp 8081 135 443 445 1433 1723 1883 1900/udp 3306 5060/udp 5061/udp

Dionaea 是一系列基于 Python 语言开发、libemu 作为 Shellcode 分析的蜜罐系统,支持多种不同协议,见下表

  • blackhole
  • epmap
  • ftp
  • http
  • memcache
  • mirror
  • mqtt
  • mssql
  • mysql
  • pptp
  • sip
  • smb
  • tftp
  • upnp

ElasticPot

  • 项目地址:https://github.com/schmalle/ElasticpotPY
  • 监听端口:9200

ElasticPot 是一个 Elasticsearch 的蜜罐

eMobility

  • 项目地址:https://github.com/dtag-dev-sec/emobility
  • 监听端口:8080

eMobility 是一个高交互式的蜜罐,针对的是下一代的交通基础设施(充电桩系统),用于收集攻击者的动机和方法。

系统主要包括中央充电系统、充电点以及模拟的用户交易。

Glastopf

  • 项目地址:https://github.com/mushorg/glastopf
  • 监听端口:80

Glastopf 是一个 Python 语言开发的 Web 蜜罐,能提供各种基于漏洞类型的模拟

HoneyTrap

  • 项目地址:https://github.com/armedpot/honeytrap
  • 监听端口:NFQUEUE

HoneyTrap 是一个低交互式的蜜罐,通过监听 NFQUEUE 用户态数据包,相当与就监听了所有其他未监听的端口

主要功能用于观察攻击者的行为,同时也可以解析攻击的字符串,并且进行相应的下载保存

Mailoney

  • 项目地址:https://github.com/awhitehatter/mailoney
  • 监听端口:25

Mailoney 是一个 SMTP 蜜罐

Rdpy

  • 项目地址:https://github.com/citronneur/rdpy
  • 监听端口:3389

Rdpy 是一个用 Python 实现的 RDP 和 VNC 协议,可以用作服务端以及客户端,同时也提供 RDP 的蜜罐,用于记录 RDP 的过程

vnclowpot

  • 项目地址:https://github.com/magisterquis/vnclowpot
  • 监听端口:5900

vnclowpot 是一个低交互式的 VNC 蜜罐,主要用于记录 VNC 的认证过程

Suricata

  • 项目地址:https://github.com/OISF/suricata

Suricata 是一个网络 IDS、IPS 和 NSM 引擎,主要分析并记录下连接中一些有用的信息

p0f

  • 项目地址:http://lcamtuf.coredump.cx/p0f3/

p0f 利用一系列复杂的流量指纹识别,被动的来识别 TCP/IP 通信的对方信息,例如可以识别出对方的系统、在线时间等

安装

镜像安装

https://github.com/dtag-dev-sec/tpotce/releases/download/17.10/tpot.iso

在已有系统下安装

目前支持在全新的 Ubuntu 16.04 (64bit) 系统下进行安装

https://github.com/dtag-dev-sec/t-pot-autoinstall

界面

t-pot 的界面大概就是 Kibana、ES Head 等等组件的 Web 界面

下面将展示 Kibana 中最近 7 天(2018-08-15 至 2018-08-22)的蜜罐情况供参考

T-Pot 蜜罐的介绍及使用

(攻击地图)

T-Pot 蜜罐的介绍及使用

(攻击总量与走势)

T-Pot 蜜罐的介绍及使用

(攻击区域分布)

T-Pot 蜜罐的介绍及使用

(SSH 蜜罐记录的用户名和密码)

日志

基本上各个蜜罐的日志均导入到了 Elasticsearch 中,因此我们可以很快的在庞大的日志中找到我们想要的日志。但由于 Elasticsearch 的语法我不是十分熟悉,因此下面将记录几个常用的结构来以备今后的使用

使用位置: ES Head -> 复合查询

查询来自某个 IP 的日志

{
  "query": {
    "bool": {
      "must": [
        {
          "term": {
            "src_ip.keyword": "127.6.6.6"
          }
        }
      ]
    }
  },
  "from": 0,
  "size": 50
}

查询来自某个 IP 的日志并按日期倒序排列

{
  "query": {
    "bool": {
      "must": [
        {
          "term": {
            "src_ip.keyword": "127.6.6.6"
          }
        }
      ]
    }
  },
  "from": 0,
  "size": 50,
  "sort": [
    {
      "@timestamp": "desc"
    }
  ]
}

列出来自 Cowrie 蜜罐的、使用次数最多的用户名

{
  "query": {
    "bool": {
      "must": [
        {
          "term": {
            "type.keyword": "Cowrie"
          }
        }
      ]
    }
  },
  "aggs": {
    "genres": {
      "terms": {
        "field": "username.keyword",
        "size": 10
      }
    }
  },
  "size": 0
}

这里只列出 2018.08.21 的结果

root - 19660
admin - 7267
空 - 2626
enable - 876
shell - 870
user - 596
Administrator - 571
super - 515
superuser - 514
tech - 375

我就顺便把密码前 20 列出来了,改一下查询参数就可以的了

空 - 5255
1234 - 1024
system - 876
admin - 862
sh - 846
password - 833
123456 - 802
12345 - 623
ibmdb2 - 514
user - 434
pass - 421
1111 - 415
7ujMko0admin - 414
666666 - 413
888888 - 412
54321 - 410
changeme - 384
cat1029 - 380
alpine - 377
manager - 363

列出来自 Suricata 且端口为 80 且 User-Agent 以 python-request 开头的日志

{
  "query": {
    "bool": {
      "must": [
        {
          "term": {
            "type.keyword": "Suricata"
          }
        },
        {
          "term": {
            "dest_port": "80"
          }
        },
        {
          "wildcard": {
            "http.http_user_agent.keyword": "python-request*"
          }
        }
      ],
      "must_not": [],
      "should": []
    }
  },
  "size": 50
}

参考链接

dtag-dev-sec/tpotce: T-Pot Universal Installer and T-Pot ISO Creator

dtag-dev-sec/t-pot-autoinstall: Autoinstall T-Pot on Ubuntu 16.04

T-Pot 17.10 - Multi-Honeypot Platform rEvolution

基于 Docker 的蜜罐平台搭建:T-Pot 17.10 - FreeBuf 互联网安全新媒体平台 | 关注黑客与极客


以上所述就是小编给大家介绍的《T-Pot 蜜罐的介绍及使用》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

标签: t-pot 蜜罐

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

一个APP的诞生

一个APP的诞生

Carol 炒炒、刘焯琛 / 电子工业出版社 / 2016-7-1 / 79

在移动互联网高度发达的今天,一个个APP,成为我们通向网络世界的窗口。它的诞生流程,令不少对互联网世界产生幻想甚至试图投身其中的年轻人充满了好奇。 《一个APP 的诞生》就是这样一步一步拆分一个APP 的诞生过程。从前期市场调研,竞品分析开始,一直到设计规范,界面图标,设计基础,流程管理,开发实现,市场推广,服务设计,甚至跨界融合,都有陈述。 《一个APP 的诞生》被定义是一本教科书,......一起来看看 《一个APP的诞生》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

SHA 加密
SHA 加密

SHA 加密工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具