T-Pot 蜜罐的介绍及使用

简介

T-Pot 蜜罐是德国电信下的一个社区蜜罐项目,是一个基于 Docker 容器的集成了众多针对不同应用蜜罐程序的系统,目前发行的最高版本是 2017 年 11 月 7 日发布的 T-Pot 17.10,根据官方的介绍,每年都会发布一个新的版本。

项目地址:https://github.com/dtag-dev-sec/tpotce

组成

T-Pot 蜜罐的介绍及使用

上图就是当前 T-Pot 最新版本的组成部分,T-Pot 可以理解成是这么多系统的一个整合。

下面将针对各个部分进行简单的介绍

Elastic-Search

  • 项目地址:https://www.elastic.co/products/elasticsearch
  • 监听端口:64298(本地,可以通过 64297 端口的 web 服务使用)

Elastic Search 一个性能十分强大的全文搜索引擎,他可以快速的进行海量数据的查询

在 T-Pot 的实际应用中,各个蜜罐所产生的日志都会导入到 Elastic Search 中,因此可以使用 Elastic Search 来进行检索,同时也可以使用他对数据进行各种复杂条件的查询和导出等

Logstash

  • 项目地址:https://www.elastic.co/products/logstash
  • 监听地址:N/A

Logstash 用于接收从蜜罐传递过来的日志,然后对数据进行过滤和格式化后交由 Elastic Search 进行存储和建立索引

Kibana

  • 项目地址:https://www.elastic.co/products/kibana
  • 监听端口:64296(本地,可以通过 64297 端口的 web 服务使用)

Kibana 用于对进行数据的可视化查询,支持以柱状图、线状图、饼图、旭日图等等输出各种图形,也能通过时间序列对蜜罐日志某个特征的趋势进行分析。

Head

  • 项目地址:https://mobz.github.io/elasticsearch-head/
  • 监听端口:64302(本地,可以通过 64297 端口的 web 服务使用)

Head 是一个网页前端,主要用于与 Elastic Search 集群进行交互。

和上面的 Kibana 不同的是,他的可视化程度相对较低,但是更便于直接对数据进行操作,类似与 phpMyAdmin 的存在

Conpot

  • 项目地址:http://conpot.org/
  • 监听端口:1025 50100

Conpot 是一个低交互式的工业控制系统的蜜罐,内置了一系列常见的工业控制协议,并且易于修改和拓展,尽其所能的欺骗攻击者,以获得攻击者的最终目的

Cowrie

  • 项目地址:http://www.micheloosterhof.com/cowrie/
  • 监听端口:2222 2223

Cowrie 是一个中等交互式的 SSH / Telnet 蜜罐,设计上用来记录暴力破解以及登录后 Shell 执行的操作

主要功能有:

  • 提供了虚假的文件系统(类似 Debian5.0),并且可以进行文件的增加和删除
  • 随机增加某些文件的内容以便攻击者使用 cat 功能,例如 /etc/passwd
  • 提供 UML 兼容格式的回话日志,可供用来重放会话
  • 保存通过 wget 和 curl 下载的文件供后续的分析

Dionaea

  • 项目地址:https://github.com/DinoTools/dionaea
  • 监听端口:21 42 69/udp 8081 135 443 445 1433 1723 1883 1900/udp 3306 5060/udp 5061/udp

Dionaea 是一系列基于 Python 语言开发、libemu 作为 Shellcode 分析的蜜罐系统,支持多种不同协议,见下表

  • blackhole
  • epmap
  • ftp
  • http
  • memcache
  • mirror
  • mqtt
  • mssql
  • mysql
  • pptp
  • sip
  • smb
  • tftp
  • upnp

ElasticPot

  • 项目地址:https://github.com/schmalle/ElasticpotPY
  • 监听端口:9200

ElasticPot 是一个 Elasticsearch 的蜜罐

eMobility

  • 项目地址:https://github.com/dtag-dev-sec/emobility
  • 监听端口:8080

eMobility 是一个高交互式的蜜罐,针对的是下一代的交通基础设施(充电桩系统),用于收集攻击者的动机和方法。

系统主要包括中央充电系统、充电点以及模拟的用户交易。

Glastopf

  • 项目地址:https://github.com/mushorg/glastopf
  • 监听端口:80

Glastopf 是一个 Python 语言开发的 Web 蜜罐,能提供各种基于漏洞类型的模拟

HoneyTrap

  • 项目地址:https://github.com/armedpot/honeytrap
  • 监听端口:NFQUEUE

HoneyTrap 是一个低交互式的蜜罐,通过监听 NFQUEUE 用户态数据包,相当与就监听了所有其他未监听的端口

主要功能用于观察攻击者的行为,同时也可以解析攻击的字符串,并且进行相应的下载保存

Mailoney

  • 项目地址:https://github.com/awhitehatter/mailoney
  • 监听端口:25

Mailoney 是一个 SMTP 蜜罐

Rdpy

  • 项目地址:https://github.com/citronneur/rdpy
  • 监听端口:3389

Rdpy 是一个用 Python 实现的 RDP 和 VNC 协议,可以用作服务端以及客户端,同时也提供 RDP 的蜜罐,用于记录 RDP 的过程

vnclowpot

  • 项目地址:https://github.com/magisterquis/vnclowpot
  • 监听端口:5900

vnclowpot 是一个低交互式的 VNC 蜜罐,主要用于记录 VNC 的认证过程

Suricata

  • 项目地址:https://github.com/OISF/suricata

Suricata 是一个网络 IDS、IPS 和 NSM 引擎,主要分析并记录下连接中一些有用的信息

p0f

  • 项目地址:http://lcamtuf.coredump.cx/p0f3/

p0f 利用一系列复杂的流量指纹识别,被动的来识别 TCP/IP 通信的对方信息,例如可以识别出对方的系统、在线时间等

安装

镜像安装

https://github.com/dtag-dev-sec/tpotce/releases/download/17.10/tpot.iso

在已有系统下安装

目前支持在全新的 Ubuntu 16.04 (64bit) 系统下进行安装

https://github.com/dtag-dev-sec/t-pot-autoinstall

界面

t-pot 的界面大概就是 Kibana、ES Head 等等组件的 Web 界面

下面将展示 Kibana 中最近 7 天(2018-08-15 至 2018-08-22)的蜜罐情况供参考

T-Pot 蜜罐的介绍及使用

(攻击地图)

T-Pot 蜜罐的介绍及使用

(攻击总量与走势)

T-Pot 蜜罐的介绍及使用

(攻击区域分布)

T-Pot 蜜罐的介绍及使用

(SSH 蜜罐记录的用户名和密码)

日志

基本上各个蜜罐的日志均导入到了 Elasticsearch 中,因此我们可以很快的在庞大的日志中找到我们想要的日志。但由于 Elasticsearch 的语法我不是十分熟悉,因此下面将记录几个常用的结构来以备今后的使用

使用位置: ES Head -> 复合查询

查询来自某个 IP 的日志

{
  "query": {
    "bool": {
      "must": [
        {
          "term": {
            "src_ip.keyword": "127.6.6.6"
          }
        }
      ]
    }
  },
  "from": 0,
  "size": 50
}

查询来自某个 IP 的日志并按日期倒序排列

{
  "query": {
    "bool": {
      "must": [
        {
          "term": {
            "src_ip.keyword": "127.6.6.6"
          }
        }
      ]
    }
  },
  "from": 0,
  "size": 50,
  "sort": [
    {
      "@timestamp": "desc"
    }
  ]
}

列出来自 Cowrie 蜜罐的、使用次数最多的用户名

{
  "query": {
    "bool": {
      "must": [
        {
          "term": {
            "type.keyword": "Cowrie"
          }
        }
      ]
    }
  },
  "aggs": {
    "genres": {
      "terms": {
        "field": "username.keyword",
        "size": 10
      }
    }
  },
  "size": 0
}

这里只列出 2018.08.21 的结果

root - 19660
admin - 7267
空 - 2626
enable - 876
shell - 870
user - 596
Administrator - 571
super - 515
superuser - 514
tech - 375

我就顺便把密码前 20 列出来了,改一下查询参数就可以的了

空 - 5255
1234 - 1024
system - 876
admin - 862
sh - 846
password - 833
123456 - 802
12345 - 623
ibmdb2 - 514
user - 434
pass - 421
1111 - 415
7ujMko0admin - 414
666666 - 413
888888 - 412
54321 - 410
changeme - 384
cat1029 - 380
alpine - 377
manager - 363

列出来自 Suricata 且端口为 80 且 User-Agent 以 python-request 开头的日志

{
  "query": {
    "bool": {
      "must": [
        {
          "term": {
            "type.keyword": "Suricata"
          }
        },
        {
          "term": {
            "dest_port": "80"
          }
        },
        {
          "wildcard": {
            "http.http_user_agent.keyword": "python-request*"
          }
        }
      ],
      "must_not": [],
      "should": []
    }
  },
  "size": 50
}

参考链接

dtag-dev-sec/tpotce: T-Pot Universal Installer and T-Pot ISO Creator

dtag-dev-sec/t-pot-autoinstall: Autoinstall T-Pot on Ubuntu 16.04

T-Pot 17.10 - Multi-Honeypot Platform rEvolution

基于 Docker 的蜜罐平台搭建:T-Pot 17.10 - FreeBuf 互联网安全新媒体平台 | 关注黑客与极客


以上所述就是小编给大家介绍的《T-Pot 蜜罐的介绍及使用》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

为你推荐:

相关软件推荐:

标签: t-pot 蜜罐

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

离散数学及其应用

离散数学及其应用

Kenneth H.Rosen / 机械工业出版社 / 2012-11 / 99.00元

本书是介绍离散数学理论和方法的经典教材,已经成为采用率最高的离散数学教材,被美国众多名校用作教材,获得了极大的成功。中文版也已被国内大学广泛采用为教材。作者参考使用教师和学生的反馈,并结合自身对教育的洞察,对第7版做了大量的改进,使其成为更有效的教学工具。. 本书可作为1至2个学期的离散数学课入门教材,适用于数学,计算机科学。计算机工程.信息技术等专业的学生。 本书特点 实例:书中有8......一起来看看 《离散数学及其应用》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具