T-Pot 19.03 T-Pot 19.03 runs on Debian (Sid), is based heavily on docker, docker-compose and includes dockerized versions of the following honeypots adbhoney, ciscoasa, conpot, cowrie, dionaea, elasticpot, glastopf, glutton, heralding, honeypy, honeytrap, mailoney, medpot, rdpy, snare, tanner Furthermore we use the following tools Cockpit for a lightweight, webui for…
持续更新。。。
DTAG 社区蜜罐项目:http://dtag-dev-sec.github.io
官方简介:https://dtag-dev-sec.github.io/mediator/feature/2019/04/01/tpot-1903.html
项目地址:https://github.com/dtag-dev-sec/tpotce
T-pot MuMulti-Honeypot-Platform-Revolution 的系统架构图
实时统计各项攻击行为,清晰的各种报表统计,准确定位攻击源IP与真实地理位置.
T-Pot基于linux的网络安装程序。蜜罐守护程序以及正在使用的其他支持组件已使用Docker进行集装箱化。这允许我们在同一网络接口上运行多个蜜罐守护进程,同时保持较小的占用空间并限制每个蜜罐在其自己的环境中。
在T-pot中含有以下各种dockerized honeypots
adbhoney
低交互工控蜜罐,提供一系列通用工业控制协议, 能够模拟复杂的工控基础设施。
ciscoasa
基于kippo更改的中交互ssh蜜罐, 可以对暴力攻击账号密码等记录,并提供伪造的文件系统环境记录黑客操作行为, 并保存通过wget/curl下载的文件以及通过SFTP、SCP上传的文件。
conpot
低交互工控蜜罐,提供一系列通用工业控制协议, 能够模拟复杂的工控基础设施。
cowrie
基于kippo更改的中交互ssh蜜罐, 可以对暴力攻击账号密码等记录,并提供伪造的文件系统环境记录黑客操作行为, 并保存通过wget/curl下载的文件以及通过SFTP、SCP上传的文件。
dionaea
Dionaea是运行于Linux上的一个应用程序,将程序运行于网络环境下,它开放Internet常见服务的默认端口,当有外来连接时,模拟正常服务给予反馈,同时记录下出入网络数据流。网络数据流经由检测模块检测后按类别进行处理,如果有 shellcode 则进行仿真执行;程序会自动下载 shellcode 中指定或后续攻击命令指定下载的恶意文件。
elasticpot
模拟elastcisearch RCE漏洞的蜜罐,通过伪造函数在/,/_search, /_nodes的请求上回应脆弱ES实例的JSON格式消息。
glastopf
低交互型Web应用蜜罐, Glastopf蜜罐它能够模拟成千上万的web漏洞,针对攻击的不同攻击手段来回应攻击者,然后从对目标Web应用程序的攻击过程中收集数据。它的目标是针对自动化漏洞扫描/利用工具,通过对漏洞利用方式进行归类,针对某一类的利用方式返回对应的合理结果,以此实现低交互。
glutton
所有吃蜜罐,可喂食蜜罐。
heralding
一个捕获蜜罐的凭证。
honeypy
一种低交互蜜罐能力,具有更强的媒体交互能力。 HoneyPy是用 python 编写的,目的是便于使用: 部署,使用插件扩展功能,并应用自定义配置。 交互的级别由插件的功能决定。 可以创建插件来模拟基于UDP或者基于TCP的服务,从而提供更多交互。 默认情况下,所有活动都记录到文件中,但将蜜罐活动发布到 Twitter 或者web服务端点也可以.
honeytrap
观察针对TCP或UDP服务的攻击,作为一个守护程序模拟一些知名的服务,并能够分析攻击字符串,执行相应的下载文件指令。
mailoney
SMTP蜜罐,开放继电器,通过 python 编写的信誉收集器。
medpot
rdpy
Rdpy 是一个用 Python 实现的 RDP 和 VNC 协议,可以用作服务端以及客户端,同时也提供 RDP 的蜜罐,用于记录 RDP 的过程
snare
Snare/Tanner是web蜜罐Glastopf 的继任者。SNARE是一个Web应用程序蜜罐传感器,可以吸引来自Internet的各种恶意。
tanner
Snare/Tanner是web蜜罐Glastopf 的继任者。TANNER是一种远程数据分析和分类服务,用于评估HTTP请求并组成SNARE事件服务的响应。
在主机上同时安装了以下几种工具
先安装主机系统,官方指定Debian系统,建议9.7及更新版本,测试过程使用的是:debian-9.9.0-amd64-xfce ,各个版本Debian下载地址:Debian release)
6-8 GB RAM (less RAM is possible but might introduce swapping)
128 GB SSD (smaller is possible but limits the capacity of storing events)
Network via DHCP
A working, non-proxied, internet connection
git clone https://github.com/dtag-dev-sec/tpotce
cd tpotce/iso/installer/
su root
./install.sh --type=user
cp tpot.conf.dist tpot.conf
./install.sh --type=auto --conf=tpot.conf
# 配置文件里面含有64297端口进行Web管理的用户名和密码
# 即用户名webuser,密码w3b$ecret
因需下载文件多来自国外的源,安装过程需要很久的等待,安装完成过后,系统将自动重启。
3.首次运行
https://:64294
ssh -l username -p 64295
user: [tsec or user] you chose during one of the post Debian install methods
pass: [password] you chose during the Debian installation
https://:64297
user: [user] you chose during the installation,according to tpot.conf
pass: [password] you chose during the installation,according to tpot.conf
即用户名webuser,密码w3b$ecret
Cockpit Containers
需要将登录用户添加到docker用户组中。
# 将当前用户加入docker组:
$ sudo usermod -aG docker $USER
涉及较多的Kibana可视化配置,
For the ones of you who want to live on the bleeding edge of T-Pot development we introduced an update feature which will allow you to update all T-Pot relevant files to be up to date with the T-Pot master branch. If you made any relevant changes to the T-Pot relevant config files make sure to create a backup first.
cd /opt/tpot/
./update.sh -y