adop05/tpot-honeypot

# T-POT 蜜罐部署与威胁情报分析 ## 项目概述 本项目演示了 T-POT 多蜜罐平台的部署、安全隔离与分析过程。目标是将一个设计上存在脆弱性的环境暴露于公共互联网，捕获自动化攻击，并分析由此产生的威胁情报，以识别当前的攻击者趋势、来源和攻击方法。 在部署期间，蜜罐捕获了**超过 12,000 次攻击事件**，显示出加密货币挖矿僵尸网络活动的高度集中。 ## 架构与安全设计 为了在不危及内部家庭实验室安全的前提下暴露蜜罐，我实施了严格的 DMZ 架构和零信任网格网络。 ### 1. 虚拟环境 * **虚拟化平台：** Proxmox VE * **操作系统：** Fedora Linux * **存储：** 128GB（通过 LVM 配置，以防止在大量日志摄入期间触发 Elasticsearch 水位标记锁） * **平台：** T-POT（基于 Debian 的 Docker 部署） ### 2. 网络隔离与防火墙（pfSense） 为确保攻击者只能与蜜罐交互，而无法渗透至我的内部网络，建立了以下防火墙规则： * **WAN 端口转发：** 明确地将来自公网 IP 的 22 端口（SSH）流量路由至蜜罐的内部 IP（`10.0.0.102`），作为 Cowrie 的主要陷阱。 * **LAN DMZ 强制执行：** 严格的阻止规则，防止 `10.0.0.102` 向任何其他内部 LAN 子网发起连接。  *（说明：将 22 端口暴露至公共互联网）*  *（说明：通过阻止蜜罐访问其他本地子网来保护内部网络）* ### 3. 零信任架构 —— 带外管理（Tailscale） 为了安全地管理 Fedora 服务器，同时避免将管理端口暴露至公共互联网或处理复杂的内部路由问题，我在虚拟机上直接部署了 **Tailscale**。这创建了一个安全的 WireGuard 隧道，使我能够绕过 pfSense 防火墙，从我的工作站原生地 SSH 连接到该机器。 # 网络拓扑 ``` flowchart TD %% Clean, dark-theme styling matching the SOC Lab aesthetic classDef default fill:#2b2b2b,stroke:#666,stroke-width:1px,color:#eee; subgraph External [External] Attacker[Attacker Node] end subgraph Proxmox [Proxmox Host Home Lab] direction TB subgraph Edge [Edge / Gateway] pfSense[pfSense Firewall] end subgraph DMZ [Target Honeypot] direction LR TPOT[T-POT Server] IP[IP: 10.0.0.102] end subgraph LAN [Internal Network] Workstation[Workstation] end end subgraph Overlay [Encrypted Overlay Network] Tailscale[Tailscale VPN] end %% Traffic Flow (Dotted for external/blocked, Solid/Thick for internal) Attacker -. "SSH Brute Force" .-> pfSense pfSense ==> |NAT Port Forward| TPOT TPOT -. "LAN Block Rule" .-x Workstation %% Management Flow Workstation --> |Auth & Tunnel| Tailscale Tailscale --> |Secure SSH Access| TPOT ``` ## 威胁情报与分析 架构确保安全后，蜜罐保持在线以摄入流量。以下是对捕获事件的分析。 ### 全球攻击分布  **分析：** * 大部分攻击源自美国、中国、新加坡、罗马尼亚和德国。虽然攻击遍布各大洲，但上述国家是事件发生最多的地方。 ### 攻击者基础设施（顶级 ASN 与来源 IP）   **分析：** * 自治系统编号（AS/N）显示，来自中国的攻击源自腾讯、中国电信和北京百度网。而在某些美国攻击案例中，攻击来自微软公司。 * 这些数据表明，攻击者利用合法的云服务提供商来发动暴力破解活动。 ### 攻击方法：发现加密货币僵尸网络  **分析：** 虽然标准的默认凭据（如 `root/admin`, `root/123456`）很常见，但最关键的发现是高度针对性的加密货币挖矿僵尸网络活动。 * **针对 Web3 基础设施：** 频率最高的用户名尝试包括 `solana`, `raydium`, `ethereum` 和 `firedancer`。 * **结论：** 这表明自动化扫描程序正在专门寻找暴露的、安全性差的加密货币节点、验证器服务器和区块链基础设施。 ## 克服的技术挑战 * **Elasticsearch 存储锁定：** T-POT 会产生海量数据。当 Fedora 逻辑卷使用率达到 98% 时，Elasticsearch 会触发高水位标记锁定，阻止新数据摄入。我成功处理了 Proxmox 存储扩展问题，并使用 Linux LVM 命令（`growpart`, `lvextend`, `xfs_growfs`）将文件系统扩展至 128GB，从而恢复了 Kibana 仪表盘并挽救了蜜罐。 * **级联连接与公网 IP：** 最初，我陷入了双 NAT 困境，流量在到达 PfSense 防火墙之前需要经过我的 ISP。问题源于我的设置，即多个调制解调器相互连接导致开销问题。解决方法是将这些调制解调器设置为 AP 模式，并对我的 ISP 调制解调器执行 MAC 欺骗，以便 pfSense 能够获得公网 IP。 ## 结论 部署 T-POT 提供了关于网络安全架构、严格防火墙规则实施和 SIEM 数据分析的实践经验。它成功展示了暴露的基础设施被攻击的速度有多快。

标签：AMSI绕过, DMZ, Docker, Fedora Linux, OISF, pfSense, Proxmox VE, Tailscale, T-POT, 僵尸网络, 加密货币挖矿, 威胁情报, 威胁检测, 安全架构, 安全防御评估, 底层分析, 开发者工具, 开源安全, 攻击分析, 攻击捕获, 日志管理, 网络安全, 网络隔离, 虚拟化, 蜜罐, 证书利用, 请求拦截, 越狱测试, 防火墙, 隐私保护, 零信任网络