服务器端口蜜罐 如何对数据进行分析与统计?



             在当今的网络时代中,存有着各种各样数据流量,包含网络环境扫描数据流量、百度搜

索引擎网络爬虫数据流量、恶意程序的检测数据流量这种,比如mirai木马病毒在实现telnet暴破

环节中,其目标IP地址便是随机生成的(排出局域网IP地址及某些特别IP地址)。前不久,自

己对SSH蜜獾Cowire的.docxker布署及数据展示实现了详细介绍,有兴趣爱好的阅读者还可以

查阅文章内容《Cowrie蜜獾的Docker布署环节及Elasticsecite+Kibani数据可视化》。这篇文章

将再次蜜獾这一角度,详细介绍一类全服务器端口蜜獾。
 
 
 
一般说来,绝大多数蜜獾全是针对某类服务来运转的,比如上文提及的ssh蜜獾rcowrie。运用

模拟仿真这类服务的常规协义互动,实现交谈环节,并实现传输数据,根据这类蜜獾还可以统

计网络攻击的行为。但上文提及,mirai木马病毒精准定位目标是运用任意的IP地址优化算法产

生;另外每日云服务器的SSH服务器端口也接到各种各样暴破数据流量,从而自己萌发了1个

念头,那麼是否也有别的服务器端口也在遭受扫描或是恶意攻击。要获得这种信息内容,显而

易见应用tcpdump并不行得通,尽管能接到各种各样扫描的数据流量,但沒有系统软件tcp协议

的支承,并无法获知联接的负荷;而假如应用打开好几个服务器端口又不实际,终究服务器端

口数目这么多,管理起来都不简洁。要考量所述要求,须要1个可以收到全服务器端口数据流

量的蜜獾。
 
 
这篇文章根据所述情况,布署一个全服务器端口蜜獾,并对十几天時间内接到的系统日志实

现简洁深入分析。总体的文章内容如下所示:最先详细介绍应用tcppc-die及.docxker构建1个

还可以统计联接信息内容的蜜獾,随后运用iptables将端口映射之指定服务器端口,最终深入

分析数据采集到的两个星期的数据信息。最先来实际表明一下下,针对这款蜜獾的实际要求。


 
 
 
1.可以收到服务端(恶意攻击或扫描)的联接,不用实现实际的某类协义的互动,可以收到

并统计客户上传进来的数据信息,不断运转只需服务端仍在传送数据;

 
2.可以统计系统日志,包含联接信息内容,数据文件內容等;
 
3.可以收到系统软件的全服务器端口数据流量。
 
秉着不反复代码重构的观念,在githxt上检索"aiiporthoneypros",找到一个可以考量功能模

块的系统tcppc-die。除开能考量所述要求,另外还能适用UDP协义,乃至还可以载入SSL证

书,实现SSL交谈。此次布署环节中不考量SSL及UDP。其githxt首页上也详细介绍了怎样

可以捕捉全服务器端口的数据信息负荷,运用iptables实现转发,但这篇文章沒有选用他的

指令,请阅读者慎重尝试。
分享: