T-Potとはいくつかのハニーポットが準備されたプラットフォームです。ハニーポットのツールがまとめられていて便利。

GitHubからtpot.isoを入手します。

ここのSystem Requirementsにシステム要件がありますが、注意点はDHCPでIPが取得できること、プロキシなしでインターネットへ接続できることです。 DMZ上にDHCPサーバを用意して、指定MACに固定IPを払い出すということが少し敷居が高いです。

インストール時のキャプチャ(19.03)

ブラウザで、httpsを利用してIPアドレス:64297にアクセスします。 ユーザ名とパスワードはインストール時に設定したものを利用します。

Tpotを見ると全体が表示されます。30分も待てばこんな感じで攻撃が観測できます。

CowrieはTelnetとSSHのハニーポット。ポートが開いていればログインを試みることは攻撃の定石。 ダッシュボードでも情報は得られますが、詳細を追うにはログを見ます。

ログは左側のメニューからDiscoverをクリックします。ここから欲しい情報だけを表示します。

_type=Cowrieを指定します。

時刻の左側にある黒い▲のアイコンをクリックして詳細を表示します。messageとsrc_ipのトグルアイコンをクリックして▲を元に戻します。

どこから何のコマンドを入力されたかは見やすくなります。