Batina-Jennifer/deception-tech-honeypots

GitHub: Batina-Jennifer/deception-tech-honeypots

一个基于 T-Pot 的蜜罐部署指南，利用欺骗技术捕获并分析攻击者侦察行为。

Stars: 0 | Forks: 0

# 🍯 蜜罐 - 欺骗技术本指南介绍部署蜜罐的流程，蜜罐是最流行的欺骗技术之一。
该设置包含以下三个重要部分：
- AWS Ubuntu 服务器（暴露于互联网的服务器） - Kali Linux 主机（用于连接蜜罐） - T-Pot（蜜罐工具） ## 🪛 工具与技术 - T-Pot (T-Pot GitHub 仓库) - Kali Linux - AWS EC2 - Elastic Stash(ELK)、Kibana ## ⚙️ 初始设置 1. 安装 Hypervisor（适用于家庭实验室的托管 Hypervisor），如 VirtualBox、VMWare 等。 2. 安装最新的 Kali Linux 磁盘镜像，并将其上传到 VirtualBox Hypervisor。这将成为我们连接蜜罐的主机。 3. 获取 AWS 免费额度账户，并通过点击“启动实例”设置 EC2 实例。
配置如下： - 名称：jenbat-honeypot（任意名称） - 操作系统镜像：Ubuntu - Amazon 机器镜像（AMI）：Ubuntu Server 22.04（免费额度） - 实例类型：m7i-flex.large，8G 内存（免费额度，16G 更佳） - 密钥对：创建新的密钥对（重要文件） - 网络：允许来自我的 IP 的 SSH 访问 - 存储：建议 30GiB 4. 配置完成后，启动实例。
![启动实例]() ## 💻 流程步骤 1. 在 Kali Linux 中，进入存放 `.pem` 格式密钥文件的 Downloads 文件夹。 2. 修改文件权限，仅允许用户读取，禁止组和其他用户读取（最小权限原则）。chmod 400 (key-file.pem) 3. 使用服务器的公网 IP 通过 SSH 远程连接到 Ubuntu 机器。ssh -i (key-file.pem) ubuntu@(server-instance-public-IP) ![Ubuntu SSH]() 4. 进入 Ubuntu 机器后，提升权限。sudo -i 5. 获取 root 权限后，更新 Ubuntu 服务器以下载最新软件包并安装 T-Pot。apt update && apt upgrade -y 6. 运行 reboot 重启机器。连接会在重启后关闭，请重新 SSH 连接。 7. 重新连接到 Ubuntu 服务器后，进入 `/opt` 目录以安装 T-Pot 等可选软件包。 8. 进入 `/opt` 目录后，从 GitHub 克隆 T-Pot（参考“工具与技术”部分中的链接）：sudo git clone (T-Pot GitHub 仓库) 9. 进入 `tpotce/` 目录并安装依赖项：./install.sh ![T-POT](https://raw.githubusercontent.com/Batina-Jennifer/deception-tech-honeypots/main/) 10. 出现提示时，选择安装类型“h”以安装 T-Pot 标准版/Hove 版本。 11. 系统会提示输入 Web 用户名和密码，用于登录 T-Pot 可视化界面和仪表板。请妥善保存。 12. 在最后一步，将获得一个特定的 TCP 端口，用于保持与 Ubuntu 服务器的连接。重启并通过该新 TCP 端口重新 SSH 连接：ssh -i (key-file.pem) -p 64295 ubuntu@(server-instance-public-IP) 13. 首先进入 AWS 控制台，导航至 EC2 --> 安全组 --> 选择刚创建的安全组 --> 编辑入站规则 --> 添加规则 --> 自定义 TCP，端口范围填写（T-Pot 提供的端口），添加我的 IP --> 保存规则。 ![端口连接]() 14. 在 Kali 上执行 sudo reboot，并使用新分配的端口 SSH：ssh -i (key-file.pem) -p 64295 ubuntu@(server-instance-public-IP) 15. 检查 T-Pot 服务运行状态：systemctl status tpot.service ![T-POT 状态]() 16. 列出 Docker 中每个容器镜像的名称和状态：docker ps --format "table {{.Name}}\t{{.Status}}" ![Docker 状态]() 17. 在连接 WebUI 前，先查找 NGINX 所在端口（T-Pot 暴露 WebUI 的端口）：docker port nginx。记下其中一个提到的 TCP 端口。 18. 再次编辑 AWS 控制台中的安全组入站规则，添加 NGINX 的自定义 TCP 端口以及我的 IP。 19. 为了确保陷阱成功，暴露一组常用可利用端口，如 HTTP、HTTPS、RDP、SSH、SMB、MySQL，允许任意访问（0.0.0.0/0）。保存规则。 ![暴露至互联网]() 20. 要访问交互式 WebUI，请在 Kali 上打开浏览器，输入 https://public-IP:nginx-port。出现提示时输入第 11 步的用户名和密码。探索仪表板和洞察信息。 ![蜜罐 WebUI]() （访问未知链接/页面时请谨慎。使用后请安全地停用 EC2 实例。注意可能产生的 EC2 实例使用费用或其他云提供商费用。） ## 📸 T-Pot 的快照与洞察 攻击地图 ![蜜罐 WebUI]()

Kibana 仪表板 1 ![蜜罐 WebUI]()

Kibana 仪表板 2 ![蜜罐 WebUI]()

Kibana 仪表板 3 ![蜜罐 WebUI]()

通过此蜜罐设置获得的洞察将揭示组织中防御机制的运行状态，帮助识别网络犯罪分子和攻击者在互联网上常用的未知攻击模式。这些信息可用于增强组织当前的网络安全态势，使其具备更强的抗攻击能力。

标签：AMSI绕过, AWS EC2, ELK, SSH, VirtualBox, VMware, 侦察行为, 威胁检测, 安全部署, 密钥对, 底层分析, 攻击者行为, 欺骗技术, 生成式AI安全, 虚拟化, 虚拟机, 蜜罐, 证书利用, 请求拦截, 越狱测试