======T-Pot====== T-Potとはいくつかの[[https://ja.wikipedia.org/wiki/%E3%83%8F%E3%83%8B%E3%83%BC%E3%83%9D%E3%83%83%E3%83%88|ハニーポット]]が準備されたプラットフォームです。ハニーポットのツールがまとめられていて便利。 =====入手===== [[https://github.com/dtag-dev-sec/tpotce/releases|GitHub]]からtpot.isoを入手します。 =====システム要件===== ここの[[https://github.com/dtag-dev-sec/tpotce|System Requirements]]にシステム要件がありますが、注意点はDHCPでIPが取得できること、プロキシなしでインターネットへ接続できることです。 DMZ上にDHCPサーバを用意して、指定MACに固定IPを払い出すということが少し敷居が高いです。 =====インストール===== インストール時のキャプチャ(19.03) {{wiki:tpotinst01.png?640}} {{wiki:tpotinst02.png?640}} {{wiki:tpotinst03.png?640}} {{wiki:tpotinst04.png?640}} {{wiki:tpotinst05.png?640}} {{wiki:tpotinst06.png?640}} {{wiki:tpotinst07.png?640}} {{wiki:tpotinst08.png?640}} {{wiki:tpotinst09.png?640}} {{wiki:tpotinst10.png?640}} {{wiki:tpotinst11.png?640}} {{wiki:tpotinst12.png?640}} {{wiki:tpotinst13.png?640}} {{wiki:tpotinst14.png?640}} {{wiki:tpotinst15.png?640}} {{wiki:tpotinst16.png?640}} =====Webコンソールへのアクセス===== ブラウザで、httpsを利用してIPアドレス:64297にアクセスします。 ユーザ名とパスワードはインストール時に設定したものを利用します。 {{wiki:tpotweb01.png?640}} Tpotを見ると全体が表示されます。30分も待てばこんな感じで攻撃が観測できます。 {{wiki:tpotweb02.png?640}} =====Cowrie===== CowrieはTelnetとSSHのハニーポット。ポートが開いていればログインを試みることは攻撃の定石。 ダッシュボードでも情報は得られますが、詳細を追うにはログを見ます。 {{wiki:tpotweb02.png?640}} ログは左側のメニューからDiscoverをクリックします。ここから欲しい情報だけを表示します。 {{wiki:tpotweb04.png?640}} _type=Cowrieを指定します。 {{wiki:tpotweb05.png?640}} 時刻の左側にある黒い▲のアイコンをクリックして詳細を表示します。messageとsrc_ipのトグルアイコンをクリックして▲を元に戻します。 {{wiki:tpotweb06.png?640}} どこから何のコマンドを入力されたかは見やすくなります。 {{wiki:tpotweb07.png?640}}