這幾天介紹的DShield蜜罐是基於Cowrie的低交互蜜罐,只模擬特定服務紀錄Telnet和SSH的網路登入流量捕捉brute force attack,協助SANS ISC研究,並不適合佈署在網路環境內網中;今天要來介紹一個高交互蜜罐:T-Pot。T-Pot是一個知名的高交互蜜罐,之前在鐵人賽《學習網路安全監控的30天系列 第 29 篇:香甜可口的蜜罐Honeypot誘捕入侵者》稍微介紹過,相較於DShield只利用Cowrie收集Telnet和SSH,T-Pot本身除了Cowrie還配備以下多個蜜罐專案adbhoney, ciscoasa, conpot, dionaea, elasticpot, glutton, heralding, honeypy, honeytrap, mailoney, medpot, rdpy, snare, tanner,模擬、分析多種服務如SMTP、RDP等等,靜待駭客上門踩中陷阱。
目前版本的T-Pot 19.03 在Debian (Sid)系統上運行,除了各種模擬的服務外,T-Pot本身搭載很多工具,分析蜜罐收集到的資料。例如:
Cyberchef ,可快速轉換資料格式、內容、加密解密、解壓縮、解析IPv6地址、解碼Base64字元串等等,轉換不同格式的數據操作,幫助分析,之前鐵人賽《 學習網路安全監控的30天系列 第 25 篇:洋蔥料理的Chef》有寫過介紹;
ELK stack,開源的SIEM架構,將資料圖形化顯示,讓資安團隊查詢、分析、比對。之前鐵人賽《資安分析師的轉職升等之路系列 Day 20 沒有SIEM? 試養開源的加拿大馬鹿ELK》有寫過介紹。由於T-Pot 19.03有ELK Stack的架構,所以安裝時有更大的彈性,可以只安裝蜜罐做為Sensor,將資料傳至另一台專門進行分析的伺服器。
Suricata,知名的開源IDS/IPS,T-Pot利用Suricata的IDS引擎搭配特徵資料庫進行比對來辨別網路行為。
“So where is this cutting edge stuff?”– James Bond, from Die Another Day
*之前鐵人賽的文章
學習網路安全監控的30天系列 第 29 篇:香甜可口的蜜罐Honeypot誘捕入侵者
https://ithelp.ithome.com.tw/articles/10209693
學習網路安全監控的30天系列 第 25 篇:洋蔥料理的Chef
https://ithelp.ithome.com.tw/articles/10208974
資安分析師的轉職升等之路系列 Day 20 沒有SIEM? 試養開源的加拿大馬鹿ELK
https://ithelp.ithome.com.tw/articles/10196402