這幾天介紹的DShield蜜罐是基於Cowrie的低交互蜜罐，只模擬特定服務紀錄Telnet和SSH的網路登入流量捕捉brute force attack，協助SANS ISC研究，並不適合佈署在網路環境內網中；今天要來介紹一個高交互蜜罐：T-Pot。T-Pot是一個知名的高交互蜜罐，之前在鐵人賽《學習網路安全監控的30天系列 第 29 篇：香甜可口的蜜罐Honeypot誘捕入侵者》稍微介紹過，相較於DShield只利用Cowrie收集Telnet和SSH，T-Pot本身除了Cowrie還配備以下多個蜜罐專案adbhoney, ciscoasa, conpot, dionaea, elasticpot, glutton, heralding, honeypy, honeytrap, mailoney, medpot, rdpy, snare, tanner，模擬、分析多種服務如SMTP、RDP等等，靜待駭客上門踩中陷阱。

目前版本的T-Pot 19.03 在Debian (Sid)系統上運行，除了各種模擬的服務外，T-Pot本身搭載很多工具，分析蜜罐收集到的資料。例如：

Cyberchef ，可快速轉換資料格式、內容、加密解密、解壓縮、解析IPv6地址、解碼Base64字元串等等，轉換不同格式的數據操作，幫助分析，之前鐵人賽《 學習網路安全監控的30天系列 第 25 篇：洋蔥料理的Chef》有寫過介紹；

ELK stack，開源的SIEM架構，將資料圖形化顯示，讓資安團隊查詢、分析、比對。之前鐵人賽《資安分析師的轉職升等之路系列 Day 20 沒有SIEM? 試養開源的加拿大馬鹿ELK》有寫過介紹。由於T-Pot 19.03有ELK Stack的架構，所以安裝時有更大的彈性，可以只安裝蜜罐做為Sensor，將資料傳至另一台專門進行分析的伺服器。

Suricata，知名的開源IDS/IPS，T-Pot利用Suricata的IDS引擎搭配特徵資料庫進行比對來辨別網路行為。

“So where is this cutting edge stuff?”– James Bond, from Die Another Day

*之前鐵人賽的文章
學習網路安全監控的30天系列 第 29 篇：香甜可口的蜜罐Honeypot誘捕入侵者
https://ithelp.ithome.com.tw/articles/10209693

學習網路安全監控的30天系列 第 25 篇：洋蔥料理的Chef
https://ithelp.ithome.com.tw/articles/10208974

資安分析師的轉職升等之路系列 Day 20 沒有SIEM? 試養開源的加拿大馬鹿ELK
https://ithelp.ithome.com.tw/articles/10196402