前言
这两年蜜罐技术
被关注的越来越多,也渐形成低交互、中交互、高交互等交互程度的各类蜜罐,从WEB
业务蜜罐、SSH应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各功能型蜜罐。小到一个Word文档的蜜标,到一个系统级的服务蜜罐,再到多功能蜜罐组成的蜜网,大到包含流控制重定向分布式蜜网组成的蜜场。
这里将介绍一个开源多蜜罐平台,安装一次系统,轻松使用里面多种蜜罐
。
T-Pot
蜜罐是德国电信下的一个社区蜜罐项目,是一个基于Docker
容器的集成了众多针对不同应用蜜罐程序的系统,根据官方的介绍,每年都会发布一个新的版本。
技术概念
T-Pot基于Ubuntu ServerLTS的网络安装程序。蜜罐守护程序以及正在使用的其他支持组件已使用Docker进行集装箱化。这允许我们在同一网络接口上运行多个蜜罐守护进程,同时保持较小的占用空间并限制每个蜜罐在其自己的环境中。
上图就是当前 T-Pot 最新版本的组成部分,T-Pot 可以理解成是这么多系统的一个整合。
下面将针对各个部分进行简单的介绍
Elastic-Search
- 项目地址: https://www.elastic.co/products/elasticsearch
- 监听端口:64298(本地,可以通过 64297 端口的 web 服务使用)
Elastic Search 一个性能十分强大的全文搜索引擎,他可以快速的进行海量数据的查询
在 T-Pot 的实际应用中,各个蜜罐所产生的日志都会导入到 Elastic Search 中,因此可以使用 Elastic Search 来进行检索,同时也可以使用他对数据进行各种复杂条件的查询和导出等
Logstash
- 项目地址: https://www.elastic.co/products/logstash
- 监听地址:N/A
Logstash 用于接收从蜜罐传递过来的日志,然后对数据进行过滤和格式化后交由 Elastic Search 进行存储和建立索引
Kibana
- 项目地址: https://www.elastic.co/products/kibana
- 监听端口:64296(本地,可以通过 64297 端口的 web 服务使用)
Kibana 用于对进行数据的可视化查询,支持以柱状图、线状图、饼图、旭日图等等输出各种图形,也能通过时间序列对蜜罐日志某个特征的趋势进行分析。
Head
- 项目地址: https://mobz.github.io/elasticsearch-head/
- 监听端口:64302(本地,可以通过 64297 端口的 web 服务使用)
Head 是一个网页前端,主要用于与 Elastic Search 集群进行交互。
和上面的 Kibana 不同的是,他的可视化程度相对较低,但是更便于直接对数据进行操作,类似与 phpMyAdmin 的存在
Conpot
- 项目地址: http://conpot.org/
- 监听端口:1025 50100
Conpot 是一个低交互式的工业控制系统的蜜罐,内置了一系列常见的工业控制协议,并且易于修改和拓展,尽其所能的欺骗攻击者,以获得攻击者的最终目的
Cowrie
- 项目地址: http://www.micheloosterhof.com/cowrie/
- 监听端口:2222 2223
Cowrie 是一个中等交互式的 SSH / Telnet 蜜罐,设计上用来记录暴力破解以及登录后 Shell 执行的操作
主要功能有:
- 提供了虚假的文件系统(类似 Debian5.0),并且可以进行文件的增加和删除
- 随机增加某些文件的内容以便攻击者使用
cat
功能,例如/etc/passwd
- 提供 UML 兼容格式的回话日志,可供用来重放会话
- 保存通过 wget 和 curl 下载的文件供后续的分析
Dionaea
- 项目地址: https://github.com/DinoTools/dionaea
- 监听端口:21 42 69/udp 8081 135 443 445 1433 1723 1883 1900/udp 3306 5060/udp 5061/udp
Dionaea 是一系列基于 Python 语言开发、libemu 作为 Shellcode 分析的蜜罐系统,支持多种不同协议,见下表
- blackhole
- epmap
- ftp
- http
- memcache
- mirror
- mqtt
- mssql
- mysql
- pptp
- sip
- smb
- tftp
- upnp
ElasticPot
- 项目地址: https://github.com/schmalle/ElasticpotPY
- 监听端口:9200
ElasticPot 是一个 Elasticsearch 的蜜罐
eMobility
- 项目地址: https://github.com/dtag-dev-sec/emobility
- 监听端口:8080
eMobility 是一个高交互式的蜜罐,针对的是下一代的交通基础设施(充电桩系统),用于收集攻击者的动机和方法。
系统主要包括中央充电系统、充电点以及模拟的用户交易。
Glastopf
- 项目地址: https://github.com/mushorg/glastopf
- 监听端口:80
Glastopf 是一个 Python 语言开发的 Web 蜜罐,能提供各种基于漏洞类型的模拟
HoneyTrap
- 项目地址: https://github.com/armedpot/honeytrap
- 监听端口:NFQUEUE
HoneyTrap 是一个低交互式的蜜罐,通过监听 NFQUEUE 用户态数据包,相当与就监听了所有其他未监听的端口
主要功能用于观察攻击者的行为,同时也可以解析攻击的字符串,并且进行相应的下载保存
Mailoney
- 项目地址: https://github.com/awhitehatter/mailoney
- 监听端口:25
Mailoney 是一个 SMTP 蜜罐
Rdpy
- 项目地址: https://github.com/citronneur/rdpy
- 监听端口:3389
Rdpy 是一个用 Python 实现的 RDP 和 VNC 协议,可以用作服务端以及客户端,同时也提供 RDP 的蜜罐,用于记录 RDP 的过程
vnclowpot
- 项目地址: https://github.com/magisterquis/vnclowpot
- 监听端口:5900
vnclowpot 是一个低交互式的 VNC 蜜罐,主要用于记录 VNC 的认证过程
Suricata
Suricata 是一个网络 IDS、IPS 和 NSM 引擎,主要分析并记录下连接中一些有用的信息
p0f
p0f 利用一系列复杂的流量指纹识别,被动的来识别 TCP/IP 通信的对方信息,例如可以识别出对方的系统、在线时间等
安装
镜像安装
https://github.com/dtag-dev-sec/tpotce/releases
在已有系统下安装
https://github.com/dtag-dev-sec/t-pot-autoinstall
界面
版权声明:本文为原创文章,版权归 Mark's Blog 所有,转载请注明出处!
本文链接:https://www.quchao.net/T-Pot.html
友情提示:如果博客部分链接出现404,请留言或者联系博主修复。
搭好后没有IP提示是啥原因博主:qq:2901540659博主有时间麻烦答一下.在线等
建议防火墙打开服务端口。
想玩又不会,看上去好屌的感觉!
系统看着好高大上
是的,插件齐全。