开源多蜜罐平台T-Pot安装与使用

考虑到vps性能与复杂度原因,暂时不实际操作

(普通配置:4 GB RAM(建议6-8 GB)64 GB磁盘(建议使用128 GB SSD) ) 网上的说法。。。 当然如果攻击流量没有那么大,蜜罐数量安装的少,也不用这么高的配置,但是1G恐怕不行。。。

T-Pot是多个蜜罐的集合,常见的多个服务端口蜜罐,具备图形化界面

参考:

https://www.freebuf.com/sectool/178998.html
http://www.pianshen.com/article/169892807/
https://www.colabug.com/5380446.html
https://www.freebuf.com/sectool/134504.html
https://www.freebuf.com/sectool/190840.html
https://4hou.win/wordpress/?cat=157

总结来说,该平台整合了以下docker容器(如果单测试,可以参考):

conpot:低交互工控蜜罐,提供一系列通用工业控制协议, 能够模拟复杂的工控基础设施。

cowrie:基于kippo更改的中交互ssh蜜罐, 可以对暴力攻击账号密码等记录,并提供伪造的文件系统环境记录黑客操作行为, 并保存通过wget/curl下载的文件以及通过SFTP、SCP上传的文件。

dionaea:Dionaea是运行于Linux上的一个应用程序,将程序运行于网络环境下,它开放Internet常见服务的默认端口,当有外来连接时,模拟正常服务给予反馈,同时记录下出入网络数据流。网络数据流经由检测模块检测后按类别进行处理,如果有 shellcode 则进行仿真执行;程序会自动下载 shellcode 中指定或后续攻击命令指定下载的恶意文件。

elasticpot:模拟elastcisearch RCE漏洞的蜜罐,通过伪造函数在/,/search, /nodes的请求上回应脆弱ES实例的JSON格式消息。

elk-stack:ELK架构,可以同时实现日志收集、日志搜索和日志分析的功能。

emobility:Kibana可视化的插件,能建立更美观的Dashboard。

ewsposter:数据分析工具ewsposter,将蜜罐数据进行关联。

glastopf:低交互型Web应用蜜罐, Glastopf蜜罐它能够模拟成千上万的web漏洞,针对攻击的不同攻击手段来回应攻击者,然后从对目标Web应用程序的攻击过程中收集数据。它的目标是针对自动化漏洞扫描/利用工具,通过对漏洞利用方式进行归类,针对某一类的利用方式返回对应的合理结果,以此实现低交互。

honeytrap:观察针对TCP或UDP服务的攻击,作为一个守护程序模拟一些知名的服务,并能够分析攻击字符串,执行相应的下载文件指令。

mailoney:SMTP的蜜罐。

netdata:web端设备性能的实时监控工具。

portainer:web端docker容器管理工具。

rdpy:python搭建的远程桌面蜜罐。

spiderfoot:web端的一个自动化爬虫工具。

suricata & p0f:网络安全监控引擎和指纹识别系统。

vnclowpot:vnc服务的低交互蜜罐。

Wetty:web端的SSH控制台。


2019.5.2

发表评论

电子邮件地址不会被公开。 必填项已用*标注