基于Docker的蜜罐平台搭建：T-Pot 17.10

这几年随着威胁情报的成熟，蜜罐技术被关注的越来越多，也渐形成低交互、中交互、高交互等交互程度的各类蜜罐，从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各功能型蜜罐。小到一个word文档的蜜标，到一个系统级的服务蜜罐，再到多功能蜜罐组成的蜜网，大到包含流控制重定向分布式蜜网组成的蜜场。

随着虚拟化技术的发展，各种虚拟蜜罐也得到发展，可以通过虚拟机来实现高交互蜜罐，以及通过docker实现的业务型蜜罐，不再像是以前需要昂贵硬件设备的部署支撑，这也大大减少了蜜罐的部署成本，一台主机就可以实现整个集数据控制，数据捕获和数据分析于一体多功能多蜜罐高交互蜜网的体系架构。也已经产生了一些不错的开源蜜罐产品或项目，比如 MHN(现代蜜网)、HoneypotProject。 MHN 现代蜜网简化了蜜罐的部署，集成了多种蜜罐的安装脚本，可以快速部署、使用，也能够快速的从节点收集数据。国外也有很多公司做基于蜜罐的欺骗技术产品创新。

蜜罐高保真高质量的数据集把安全人员从以前海量日志分析的繁琐过程中解脱出来，对于蜜罐的连接访问都是攻击信息，并且不再像以前的特征分析具有一定的滞后性，可以用于捕获新型的攻击和方法。前段时间作者就通过高交互蜜罐捕获了ssh自动化爆破工具，能够针对整个互联网进行爆破尝试，并能够自动识别某些低交互蜜罐。

现在各功能蜜罐这么多，虽然MHN简化了各蜜罐的部署过程，但还是需要手动安装多个系统sensor来实现多个不同蜜罐。在蜜罐的研究过程中，有没有一个提供能更简单方便的平台实现我们对蜜罐的研究与使用。

以上内容摘录自 Freebuf.com 失路之人 的文章 T-Pot多蜜罐平台：让蜜罐实现更简单

他的文章介绍了T-Pot16.10，目前该蜜罐已更新到T-Pot17.10。安装一次系统，就可以轻松使用里面多种蜜罐， 并且提供良好的可视化。 官方英文介绍： 。

本文对T-Pot17.10进行简要介绍，并讲讲我在安装该平台时遇到的坑和坑和坑，希望对大家有帮助。

T-Pot17.10基于Ubuntu Server 16.04.x LTS的一个蜜罐平台。 蜜罐程序以及正在使用的其他支持组件使用docker进行了容器化。 我们可以在同一台设备上运行多个蜜罐进程，每个蜜罐占用的空间较小并限制在蜜罐自己的环境中运行。

该平台的架构图如下：

在T-Pot17.10中，作者将docker容器化后的蜜罐、ELK数据日志平台、几个管理工具整合了到一个平台中。

总结来说，该平台整合了以下docker容器：

conpot：低交互工控蜜罐，提供一系列通用工业控制协议, 能够模拟复杂的工控基础设施。

cowrie：基于kippo更改的中交互ssh蜜罐, 可以对暴力攻击账号密码等记录，并提供伪造的文件系统环境记录黑客操作行为, 并保存通过wget/curl下载的文件以及通过SFTP、SCP上传的文件。

dionaea：Dionaea是运行于Linux上的一个应用程序，将程序运行于网络环境下，它开放Internet常见服务的默认端口，当有外来连接时，模拟正常服务给予反馈，同时记录下出入网络数据流。网络数据流经由检测模块检测后按类别进行处理，如果有 shellcode 则进行仿真执行；程序会自动下载 shellcode 中指定或后续攻击命令指定下载的恶意文件。

elasticpot：模拟elastcisearch RCE漏洞的蜜罐，通过伪造函数在/,/search, /nodes的请求上回应脆弱ES实例的JSON格式消息。

elk-stack：ELK架构，可以同时实现日志收集、日志搜索和日志分析的功能。

emobility：Kibana可视化的插件，能建立更美观的Dashboard。

ewsposter：数据分析工具ewsposter，将蜜罐数据进行关联。

glastopf：低交互型Web应用蜜罐, Glastopf蜜罐它能够模拟成千上万的web漏洞，针对攻击的不同攻击手段来回应攻击者，然后从对目标Web应用程序的攻击过程中收集数据。它的目标是针对自动化漏洞扫描/利用工具，通过对漏洞利用方式进行归类，针对某一类的利用方式返回对应的合理结果，以此实现低交互。

honeytrap：观察针对TCP或UDP服务的攻击，作为一个守护程序模拟一些知名的服务，并能够分析攻击字符串，执行相应的下载文件指令。

mailoney：SMTP的蜜罐。

netdata：web端设备性能的实时监控工具。

portainer：web端docker容器管理工具。

rdpy：python搭建的远程桌面蜜罐。

spiderfoot：web端的一个自动化爬虫工具。

suricata & p0f：网络安全监控引擎和指纹识别系统。

vnclowpot：vnc服务的低交互蜜罐。

Wetty：web端的SSH控制台。

Kibana DashBoard 界面图：