T-Pot多蜜罐平臺：讓蜜罐實現更簡單

 

這兩年蜜罐技術被關注的愈來愈多，也漸造成低交互、中交互、高交互等交互程度的各種蜜罐，從web業務蜜罐、ssh應用蜜罐、網絡協議棧蜜罐到系統主機型蜜罐的各功能型蜜罐。小到一個word文檔的蜜標，到一個系統級的服務蜜罐，再到多功能蜜罐組成的蜜網，大到包含流控制重定向分佈式蜜網組成的蜜場。

隨着虛擬化技術的發展，各類虛擬蜜罐也獲得發展，能夠經過虛擬機來實現高交互蜜罐，以及經過docker實現的業務型蜜罐，再也不像是之前須要昂貴硬件設備的部署支撐，這也大大減小了蜜罐的部署成本，一臺主機就能夠實現整個集數據控制，數據捕獲和數據分析於一體多功能多蜜罐高交互蜜網的體系架構。也已經產生了一些不錯的開源蜜罐產品或項目，好比MHN(現代蜜網)、HoneypotProject。 MHN現代蜜網簡化了蜜罐的部署，集成了多種蜜罐的安裝腳本，能夠快速部署、使用，也可以快速的從節點收集數據。國外也有不少公司作基於蜜罐的欺騙技術產品創新。

蜜罐高保真高質量的數據集把安全人員從之前海量日誌分析的繁瑣過程當中解脫出來，對於蜜罐的鏈接訪問都是攻擊信息，而且再也不像之前的特徵分析具備必定的滯後性，能夠用於捕獲新型的攻擊和方法。前段時間做者就經過高交互蜜罐捕獲了ssh自動化爆破工具，可以針對整個互聯網進行爆破嘗試，並可以自動識別某些低交互蜜罐。

如今各功能蜜罐這麼多，雖然MHN簡化了各蜜罐的部署過程，但仍是須要手動安裝多個系統sensor來實現多個不一樣蜜罐。在蜜罐的研究過程當中，有沒有一個提供能更簡單方便的平臺實現咱們對蜜罐的研究與使用。

這裏將介紹一個開源多蜜罐平臺T-Pot16.10，安裝一次系統，輕鬆使用裏面多種蜜罐， 而且提供良好的可視化。官方英文介紹：https://dtag-dev-sec.github.io/mediator/feature/2016/10/31/t-pot-16.10.html

T-Pot16.10開源多蜜罐平臺

 T-Pot16.10多蜜罐平臺直接提供一個系統iso，裏面使用docker技術實現多個蜜罐，更加方便的蜜罐研究與數據捕獲。下面是剛把它部署到互聯網6個小時的狀況，先來看看它長什麼，有沒有使用的慾望。

是否是看到都想感覺一下？別激動仍是先介紹一下它。

T-Pot16.10 使用Ubuntuserver 16.04 LTS 系統，基於docker 技術提供了下面一些蜜罐容器：

Conpot: 低交互工控蜜罐，提供一系列通用工業控制協議, 可以模擬複雜的工控基礎設施。

Cowrie: 基於kippo更改的中交互ssh蜜罐, 能夠對暴力攻擊帳號密碼等記錄，並提供僞造的文件系統環境記錄黑客操做行爲, 並保存經過wget/curl下載的文件以及經過SFTP、SCP上傳的文件。

Dionaea: Dionaea是運行於Linux上的一個應用程序，將程序運行於網絡環境下，它開放Internet常見服務的默認端口，當有外來鏈接時，模擬正常服務給予反饋，同時記錄下出入網絡數據流。網絡數據流經由檢測模塊檢測後按類別進行處理，若是有 shellcode 則進行仿真執行；程序會自動下載 shellcode 中指定或後續攻擊命令指定下載的惡意文件。

Elasticpot: 模擬elastcisearch RCE漏洞的蜜罐，經過僞造函數在/,/_search, /_nodes的請求上回應脆弱ES實例的JSON格式消息。

Emobility: 在T-Pot中使用的高交互蜜罐容器， 旨在收集針對下一代交通基礎設施的攻擊動機和方法。Emobility蜜網包含一箇中央收費系統，幾個收費點，模擬用戶的事務。一旦攻擊者訪問中控系統web界面，監控並處理運行收費交易，並與收費點交互。除此以外，在隨機時間，黑客可能與正在收取車輛費用的用戶進行交互。

Glastopf: 低交互型Web應用蜜罐, Glastopf蜜罐它可以模擬成千上萬的web漏洞，針對攻擊的不一樣攻擊手段來回應攻擊者，而後從對目標Web應用程序的攻擊過程當中收集數據。它的目標是針對自動化漏洞掃描/利用工具，經過對漏洞利用方式進行歸類，針對某一類的利用方式返回對應的合理結果，以此實現低交互。

Honeytrap: 觀察針對TCP或UDP服務的攻擊，做爲一個守護程序模擬一些知名的服務，並可以分析攻擊字符串，執行相應的下載文件指令。

Conpot: 低交互工控蜜罐，提供一系列通用工業控制協議, 可以模擬複雜的工控基礎設施。

Cowrie: 基於kippo更改的中交互ssh蜜罐, 能夠對暴力攻擊帳號密碼等記錄，並提供僞造的文件系統環境記錄黑客操做行爲, 並保存經過wget/curl下載的文件以及經過SFTP、SCP上傳的文件。

Dionaea: Dionaea是運行於Linux上的一個應用程序，將程序運行於網絡環境下，它開放Internet常見服務的默認端口，當有外來鏈接時，模擬正常服務給予反饋，同時記錄下出入網絡數據流。網絡數據流經由檢測模塊檢測後按類別進行處理，若是有 shellcode 則進行仿真執行；程序會自動下載 shellcode 中指定或後續攻擊命令指定下載的惡意文件。

Elasticpot: 模擬elastcisearch RCE漏洞的蜜罐，經過僞造函數在/,/_search, /_nodes的請求上回應脆弱ES實例的JSON格式消息。

Emobility: 在T-Pot中使用的高交互蜜罐容器， 旨在收集針對下一代交通基礎設施的攻擊動機和方法。Emobility蜜網包含一箇中央收費系統，幾個收費點，模擬用戶的事務。一旦攻擊者訪問中控系統web界面，監控並處理運行收費交易，並與收費點交互。除此以外，在隨機時間，黑客可能與正在收取車輛費用的用戶進行交互。

Glastopf: 低交互型Web應用蜜罐, Glastopf蜜罐它可以模擬成千上萬的web漏洞，針對攻擊的不一樣攻擊手段來回應攻擊者，而後從對目標Web應用程序的攻擊過程當中收集數據。它的目標是針對自動化漏洞掃描/利用工具，經過對漏洞利用方式進行歸類，針對某一類的利用方式返回對應的合理結果，以此實現低交互。

Honeytrap: 觀察針對TCP或UDP服務的攻擊，做爲一個守護程序模擬一些知名的服務，並可以分析攻擊字符串，執行相應的下載文件指令。

在這個平臺上，使用了下面的這些工具：

ELK: 優雅地可視化T-Pot捕獲到的攻擊事件

Elasticsearch-head: 一個web前端來瀏覽和操做ElasticSearch集羣  

Netdata: 實時性能監控

Portainer: docker的web操做界面

Suricate: 開源的網絡安全威脅檢測引擎。

Wetty: web界面的ssh客戶端

T-Pot 是基於Ubuntu server 16.04TLS 的網絡安裝，所以安裝過程當中必定須要保證聯網。這些蜜罐守護程序或者其餘組件都經過docker虛擬化技術提供。這樣可使咱們在一個網卡上運行多個蜜罐系統，而且整個系統更好維護。這些蜜罐程序封裝在docker容器中提供了良好的隔離環境而且更容易更新。 這些事件能夠經過數據分析工具ewsposter進行關聯，也支持蜜網項目hpfeeds數據分享。

T-Pot蜜罐平臺結構圖：

 

 

在docker中的全部數據是隔離裏，一旦docker容器崩潰，docker容器環境產生的全部數據都會消失並重啓一個新的docker實例。所以，對於有些數據須要永久保存，例如配置文件，在主機上有個永久存儲目錄/data/， 在系統或者容器重啓後都能持續有效。重要的日誌數據也經過docker 指定vulume選項存儲在容器外的主機文件系統/data/<container-name>中， 容器裏的應用程序可以將日誌記錄到該目錄下。

該平臺須要知足硬件要求： T-Pot 安裝須要至少4G 內存， 64G 磁盤空間， 而且聯網。 

該系統安裝步驟：

1.  下載 top.iso 或者本身建立操做系統環境。

2.  安裝到聯網的VM或者物理機上。安裝過程跟普通安裝Ubuntu 過程同樣， 其中須要爲tsec用戶設置密碼。

3. 正常安裝系統後，第一次啓動系統時將選擇安裝類型，此時將根據選擇下載安裝相應容器服務。

 有4種安裝類型，不一樣安裝類型須要的知足要求不同， 咱們這裏選典型T-Pot安裝。

1）T-Pot Installation (Cowrie, Dionaea, ElasticPot, Glastopf, Honeytrap, ELK, Suricata+P0f & Tools)

2）Sensor Installation (Cowrie, Dionaea, ElasticPot, Glastopf, Honeytrap)

3）Industrial Installation (ConPot, eMobility, ELK, Suricata+P0f & Tools)

4）Everything Installation (Everything, all of the above)

後面設置web 帳號密碼，再填寫一些相關信息，自動完成docker鏡像安裝下載，安裝成功後從新啓動系統進入以下頁面：

其中紅色的爲公網ip地址。

可能在安裝過程當中因爲源的緣由或者網絡不穩定形成安裝失敗，這時後面能夠登陸到系統，用戶名爲tsec, 密碼爲安裝系統時設置的密碼， 進行sudo su 操做提高權限，手動執行/root/install.sh的安裝腳本， 腳本檢測出不是第一次安裝將自動終止，這是須要清除一下文件/root/install.err, /root/install.log以及後面的錯誤提醒，也能夠根據實際狀況註釋掉腳本已經完成的工做， 只繼續進行中斷未完成的命令。 

4.  開始愉快的使用吧。

經過瀏覽器訪問https://ip:64297訪問T-Pot控制面板。經過安裝時建立的web 帳戶密碼驗證登陸。

前面咱們已經將各攻擊事件經過Kibana面板展現出來了， 咱們也能夠根據本身的須要設計這些面板可視化展現。

這裏爲了捕獲到攻擊，須要將T-Pot平臺放置在互聯網上，不然捕獲不到任何攻擊。我這裏經過在路由器上設置DMZ將T-Pot放到互聯網上。若是你是路由器作一個NAT轉換來實現的話，這裏須要把這些端口作NAT轉換。

T-Pot平臺不只提供了蜜罐數據捕獲，還有強大的ELK進行數據處理分析， 還可以處理Elk集羣，把T-Pot中集成的多蜜罐能夠分佈式部署在多個系統上進行數據捕獲並統一提供可視化分析展現。

還提供docker的web控制界面，直接能夠經過web界面來管理控制咱們的各個蜜罐容器。也可以根據須要設計本身的容器蜜罐或容器服務。

還提供了Web ssh 客戶端，經過web控制檯直接就登陸了系統進行操做了，系統實際的22端口 ssh服務實際上是一個cowrie蜜罐。 這樣咱們經過控制檯就能方便的登陸到實際系統， 設計方便。

還有強大的系統性能監控平臺，實時監控主機系統和各容器資源使用狀況。

你也可使用ISO Creator 來建立你本身的ISO安裝鏡像。

建立鏡像要求：

Ubuntu 16.04 LTS 或者更新的系統做爲主機系統，其餘系統沒有測試，至少4G內存，32G磁盤空間。

建立ISO鏡像：

1.     克隆倉庫並進入目錄

git clone https://github.com/dtag-dev-sec/tpotce.git

cd tpotce

2.     調用腳原本創建ISO鏡像， 這個腳本將下載安裝一些必須的依賴包。它將下載T-Pot基於的ubuntu網絡安裝鏡像（大約50M）.

sudo./makeiso.sh

成功後你將在目錄下發現tpot.iso和tpot.sha256兩個文件。

如今能夠方便的玩蜜罐了。前段時間本身也封裝了一些docker高交互蜜罐容器，如今能夠方便地集成到T-Pot平臺上了， 讓蜜罐部署更簡單， 功能更豐富。