开源蜜罐T-Pot – 作者:黑豹cyd0-安全小百科

T-Pot

本次我们了解的是开源蜜罐，及其与商业蜜罐的对比。

在国内外，许多的开源蜜罐为构建安全网络世界做出了重要贡献。根据对象类型的不同，又分为数据库蜜罐、Web蜜罐、服务蜜罐等。我们为大家列举了一些开源蜜罐。

在各类蜜罐之中，T-Pot多蜜罐平台脱颖而出。那么，是什么让它独树一帜呢？让我们来了解一下 T-Pot多蜜罐平台。

T-Pot基于linux的网络安装程序。蜜罐守护程序以及正在使用的其他支持组件已使用Docker进行集装箱化。这允许我们在同一网络接口上运行多个蜜罐守护进程，并将网络接口上捕获的流量重新路由到最合适的开源蜜罐，同时保持较小的占用空间并限制每个蜜罐在其自己的环境中。

这是T-Pot多蜜罐平台的系统构架图，由此可见，T-Pot是多系统的一个整合。

我们来简单介绍一下T-Pot的组成部分，正是它们的相互协作构建了一个强大的开源蜜罐平台。

Elastic-Search

Elastic Search 是一个性能十分强大的全文搜索引擎，它可以快速的进行海量数据的查询。在 T-Pot 的实际应用中，各个蜜罐所产生的日志都会导入到 Elastic Search 中，因此可以使用 Elastic Search 来进行检索，同时也可以使用他对数据进行各种复杂条件的查询和导出等。

Logstash

Logstash 用于接收从蜜罐传递过来的日志，然后对数据进行过滤和格式化后交由 Elastic Search 进行存储和建立索引。

Kibana

Kibana 用于对进行数据的可视化查询，支持以柱状图、线状图、饼图、旭日图等等输出各种图形，也能通过时间序列对蜜罐日志某个特征的趋势进行分析。

Head

Head 是一个网页前端，主要用于与 Elastic Search 集群进行交互。和上面的 Kibana 不同的是，他的可视化程度相对较低，但是更便于直接对数据进行操作，类似与 phpMyAdmin 的存在。

Conpot

Conpot 是一个低交互式的工业控制系统的蜜罐，内置了一系列常见的工业控制协议，并且易于修改和拓展，尽其所能的欺骗攻击者，以获得攻击者的最终目的。

Cowrie

Cowrie 是一个中等交互式的 SSH / Telnet 蜜罐，设计上用来记录暴力破解以及登录后 Shell 执行的操作。

主要功能有：

提供了虚假的文件系统（类似 Debian5.0），并且可以进行文件的增加和删除

随机增加某些文件的内容以便攻击者使用 cat 功能，例如 /etc/passwd

提供 UML 兼容格式的回话日志，可供用来重放会话

保存通过 wget 和 curl 下载的文件供后续的分析

此外，可以通过制作脚本检测cowrie日志，以实现自动化邮件报警功能。

Dionaea

Dionaea 是一系列基于 Python语言开发、libemu 作为 Shellcode 分析的蜜罐系统，支持多种不同协议。

ElasticPot

ElasticPot 是一个 Elasticsearch 的蜜罐。

eMobility

eMobility 是一个高交互式的蜜罐，针对的是下一代的交通基础设施（充电桩系统），用于收集攻击者的动机和方法。系统主要包括中央充电系统、充电点以及模拟的用户交易。

Glastopf

Glastopf 是一个 Python 语言开发的 Web 蜜罐，能提供各种基于漏洞类型的模拟。

HoneyTrap

HoneyTrap 是一个低交互式的蜜罐，通过监听 NFQUEUE 用户态数据包，相当与就监听了所有其他未监听的端口。主要功能用于观察攻击者的行为，同时也可以解析攻击的字符串，并且进行相应的下载保存。

Mailoney

Mailoney 是一个 SMTP 蜜罐。

Rdpy

Rdpy 是一个用 Python 实现的 RDP 和 VNC 协议，可以用作服务端以及客户端，同时也提供 RDP 的蜜罐，用于记录 RDP 的过程。

vnclowpot

vnclowpot 是一个低交互式的 VNC 蜜罐，主要用于记录 VNC 的认证过程。

Suricata

Suricata 是一个网络 IDS、IPS 和 NSM 引擎，主要分析并记录下连接中一些有用的信息。

p0f

p0f 利用一系列复杂的流量指纹识别，被动的来识别 TCP/IP 通信的对方信息，例如可以识别出对方的系统、在线时间等。