“傻瓜式”蜜罐技术实现：多蜜罐（Honeypot）平台T-Pot

6月12日文 习大大说，“没有网络安全就没有国家安全”。随着网络技术的不断升级，网络威胁的不断复杂化，要做好网络安全防御工作必须提升态势感知方面的能力，所谓知己知彼百战不殆。

越来越多的人开始关注蜜罐技术，从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐等各功能型低交互、中交互、高交互等交互程度的各类蜜罐。小到一个word文档的蜜标，到一个系统级的服务蜜罐，再到多功能蜜罐组成的蜜网（例如MHN现代蜜网），大到包含流控制重定向分布式蜜网组成的蜜场。

那么，什么是蜜罐技术？蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。
例如，MHN现代蜜网就简化了蜜罐的部署，集成了多种蜜罐的安装脚本，可以快速部署、使用，也能够快速的从节点收集数据。并且蜜罐高保真高质量的数据集把安全人员从以前海量日志分析的繁琐过程中解脱出来，对于蜜罐的连接访问都是攻击信息，并且不再像以前的特征分析具有一定的滞后性，可以用于捕获新型的攻击和方法。
虽然MHN简化了各蜜罐的部署过程，但还是需要手动安装多个系统sensor来实现多个不同蜜罐。E安全为大家推荐一个更简单方便的平台供读者研究/使用蜜罐。

T-Pot16.10开源多蜜罐平台
T-Pot平台建立在Ubuntu Server 16.10 LTS的基础上。T-Pot使用的蜜罐守护进程和其它支持组件通过Docker实现了超虚拟化，因此不用像是以前需要昂贵硬件设备的部署支撑，减少了大量部署成本，一台主机就可以实现整个集数据控制，数据捕获和数据分析于一体多功能多蜜罐高交互蜜网的体系架构。这就允许开发人员在同一网络接口上运行多个蜜罐守护进程，不会出现任何问题，并能使整个系统的维护率极低。将蜜罐守护进程封装在Docker中可以很好地隔离运行环境和简单的更新机制。[官方英文介绍：https://dtag-dev-sec.github.io/mediator/feature/2016/10/31/t-pot-16.10.html]

何为Docker？
Docker是世界领先的软件容器平台。Docker能开发人员更富有成效地编码，更高效地扩展技能，简化开发环境，消除依赖项冲突等。运营商使用Docker在独立的容器中并行运行和管理应用程序，以获得更好的计算密度。企业使用Docker构建灵活的软件分发途径。

T-Pot开发人员将Docker化的蜜罐（conpot、cowrie、 dionaea、 elasticpot、emobility、glastopf 和 honeytrap）与Suricata（一款网络安全监控引擎）和ELK堆栈结合，从而将T-Pot捕获的所有事件形象化。事件将通过专门开发的数据提交工具Ewsposter关联。Ewsposter还支持Honeynet项目。

“傻瓜式”蜜罐技术实现：多蜜罐（Honeypot）平台T-Pot-E安全

Docker中的所有数据都是不稳定的。一旦Docker容器崩溃，Docker环境中生成的所有数据就会消失，并会重启新实例。因此，对于一些需要持久化的数据，例如配置文件等，需将持久性数据存储安装到主机的/data/中，使其在容器或系统重启时仍可用，并能保持持久性。

系统启动时，基本上会发生如下情况：

启动主机系统。

启动所有Docker容器（蜜罐、IDS、Elk、Ewsposter）。

Ewsposter定期检查蜜罐容器的新攻击，并将数据提交到社区后端。

Docker配置如下（链接）：

conpot

cowrie

dionaea

elasticpot

elk-stack

emobility

glastopf

honeytrap

suricata

如何安装？
T-Pot 是基于Ubuntu server 16.04TLS 的网络安装，如果所选安装类型的Docker镜像需要从Docker中心获取，安装过程就需要联网。根据安装类型，可任意安装在真实的硬件或虚拟机中，步骤如下：

1. 下载 top.iso 或者自己创建操作系统环境。
2. 安装到联网的VM或者物理机上。安装过程跟普通安装Ubuntu 过程一样， 其中需要为tsec用户设置密码。
3. 正常安装系统后，第一次启动系统时将选择安装类型，此时将根据选择下载安装相应容器服务。

根据自身需要从有以下4种安装类型中选择（经典版当然是1、T-Pot Installation）：

1）T-Pot Installation (Cowrie, Dionaea, ElasticPot, Glastopf, Honeytrap, ELK, Suricata+P0f & Tools)

2）Sensor Installation (Cowrie, Dionaea, ElasticPot, Glastopf, Honeytrap)

3）Industrial Installation (ConPot, eMobility, ELK, Suricata+P0f & Tools)

4）Everything Installation (Everything, all of the above)

系统要求
其他确保指定的T-Pot系统符合以下要求：

T-Pot安装

安装T-Pot ISO镜像时，确保目标系统（物理/虚拟）满足以下最低要求：

至少4 GB RAM (推荐使用6-8 GB)

至少64 GB 磁盘 (推荐使用128 GB SSD)

启用DHCP的网络

连接互联网

传感器安装

安装类型目前仅能通过ISO Creator（https://github.com/dtag-dev-sec）获取。当安装T-Pot ISO镜像时，确保目标系统（物理/虚拟）满足以下最低要求：

至少3 GB RAM (推荐使用4-6 GB)

至少64 GB 磁盘(推荐使用64 GB SSD)

启用DHCP的网络

连接互联网

工业设备安装

安装类型目前仅能通过ISO Creator（https://github.com/dtag-dev-sec）获取。当安装T-Pot ISO镜像时，确保目标系统（物理/虚拟）满足以下最低要求：

至少4 GB RAM (推荐使用8 GB)

至少64 GB 磁盘 (推荐使用128 GB SSD)

启用DHCP的网络

连接互联网

安装局限？
安装类型目前仅能通过ISO Creator（https://github.com/dtag-dev-sec）获取。当安装T-Pot ISO镜像时，确保目标系统（物理/虚拟）满足以下最低要求：

至少8 GB RAM

至少128 GB 磁盘 (推荐使用128 GB SSD或更大)

启用DHCP的网络

连接互联网

如何创建ISO镜像？预建ISO镜像
提供可供下载的ISO镜像安装（约600MB），使用相同的工具（与自己使用的工具相同）创建，以创建自己的镜像。这样做基本上只会节省下载组件和创建ISO镜像的时间。您可以下载预建的安装镜像（地址http://community-honeypot.de/tpot.iso），并跳转到安装部分（https://github.com/dtag-dev-sec/tpotce#vm）。ISO镜像在Strato / Cronon上托管。你也可以使用ISO Creator （https://github.com/dtag-dev-sec/tpotce）来自定义安装创建你自己的ISO安装镜像。

创建ISO镜像的要求
你也可以使用ISO Creator （https://github.com/dtag-dev-sec/tpotce）来自定义安装创建你自己的ISO安装镜像。

Ubuntu 14.04.4或更新的主机系统，至少4GB可用内存，至少32GB磁盘空间，必须连接互联网。

1、克隆仓库并进入目录

git clone https://github.com/dtag-dev-sec/tpotce.git
cd tpotce

2、调用脚本来建立ISO镜像， 这个脚本将下载安装一些必须的依赖包。它将下载T-Pot基于的ubuntu网络安装镜像（约50M）。构建成功后，您会在目录中找到ISO镜像 tpot.iso和tpot.sha256两个文件

在虚拟机中运行
如果想在虚拟化环境中运行T-Pot。虚拟系统配置取决于虚拟提供商。借助VirtualBox和VMWare可以成功测试系统，只需对默认设备配置进行些许修改。

确保满足系统要求，并分配>=64 GB的虚拟硬盘和>=4 GB RAM，并将网络桥接到T-Pot。

需要启用Suricata网络接口混合模式（Promiscuous Mode）才能正常工作。确保在配置期间启用混合模式。

如果将无线网卡作为T-Pot的主要网卡（NIC），请注意并非所有网络接口驱动器都支持无线网卡，例如，在VirtualBox中，必须选择NIC的“MT SERVER”模型。

将tpot.iso ISO安装到虚拟机，并继续安装。

在硬件上运行
如果您决定在专用硬件上运行T-Pot，请按照以下步骤操作：

1. 把ISO镜像刻录到CD，或使用镜像制作可引导U盘。虽然大多数CD刻录工具可以将ISO镜像刻录到CD，但从ISO镜像创建可引导U盘的程序取决于系统。有各种Windows GUI可用，例如http://www.ubuntu.com/download/desktop/create-a-usb-stick-on-windows可能有帮助 。 在Linux或Mac Os上，您可以使用工具dd通过T-Pot的ISO Creator制作U盘
2. 从U盘启动并安装。

多蜜罐平台：首次运行
“傻瓜式”蜜罐技术实现：多蜜罐（Honeypot）平台T-Pot-E安全

安装需要的互动微乎其微，只需要解决一些区域和键盘设置，其它都可以自动配置。系统将重启两次。确保多蜜罐平台需要下载升级和Docker化的蜜罐组件时能访问互联网，安装也许会花上一些时间，这取决于根据网络连接和选择的安装类型。

一旦完成安装，系统将自动重启，将展示T-Pot登录界面。首次登录的用户凭证如下：

用户名: tsec

密码: tsec

首次登录后需要设置新的密码。

所有蜜罐服务均会自动启动。

系统布局
确保系统可通过互联网访问，否则，T-Pot将不会捕获任何攻击。除了敌对的内部网络攻击。推荐将T-Pot放在未过滤的区域，所有TCP和UDP流量会在这里转发到T-Pot的网络接口。如果您位于NAT网关后面（例如家用路由器），应将以下端口转发到T-Pot。

基本上，您可以根据需要进行TCP端口转发，因为honeytrap会动态绑定任何未被其它蜜罐守护进程覆盖的TCP端口。如果需要访问外部SSH，请将TCP端口64295转发到T-Pot。 T-Pot需要输出http和https连接进行更新（ubuntu、docker）并提交攻击（ewsposter、hpfeeds）。

本文转自d1net（转载）