KingMike77/Tpot-Honeynet-Threat-Intelligence

# T-Pot 欺骗网络 — 每周威胁情报项目 面向互联网的欺骗网络，用于实时威胁情报收集和分析。部署于 2026 年 5 月 29 日。 ## 关于本项目 本项目是一个面向互联网的实时欺骗网络，全天候收集来自全球威胁行为者的真实攻击数据。每周，从实时数据中选出 3 个最活跃或最有趣的攻击 IP，使用 OSINT 工具进行画像，并作为结构化每周威胁情报报告发布。 本项目的目标是构建威胁情报分析和威胁狩猎的实战经验。与使用模拟或实验室生成数据不同，本项目中的每个发现都来自真实攻击者对实时系统的攻击。随着时间的推移，新的活动被识别，新的威胁行为者被画像，报告每周都会演变，以捕捉趋势攻击模式和新兴威胁。 ## 实验室架构  欺骗网络运行在装有 Proxmox VE 作为虚拟机管理程序的 HP EliteDesk 800 G6 Mini 上。在 Proxmox 上运行一个 Debian 13 虚拟机，其中运行 T-Pot。T-Pot 同时运行 20+ 个欺骗服务，每个服务作为其自己的隔离 Docker 容器。所有入站互联网流量都通过配置为 IP 透传模式的 AT&T 光纤网关流经，进入 TP-Link Archer BE3500 实验室路由器。路由器有一个 DMZ 规则，将所有入站流量直接转发到 192.168.0.221 的 T-Pot 虚拟机。实验室网络（192.168.0.0/24）与家庭网络完全分离，两者之间没有连接。 ## 工作原理 当互联网上的攻击者扫描或探测公共 IP 时，他们的流量通过 AT&T 网关，击中实验室路由器，并被转发到 T-Pot 虚拟机。然后，T-Pot 根据攻击者所针对的端口将每个连接路由到正确的欺骗服务。攻击者认为他们找到了一个真实的易受攻击的系统。他们尝试的每个凭证、运行的每个命令和发送的每个有效载荷都会被记录、处理并存储在 Elasticsearch 中，可以在 Kibana 中进行搜索和可视化。 ## 我是如何受到保护的 将家庭机器指向开放的互联网听起来很危险。它之所以安全，是因为它采用了一种分层防御策略，其中每一层都阻止攻击者进一步深入，即使前一层被突破。 **层 1 — 网络分段** 欺骗网络在其自己的专用网络（192.168.0.0/24）上运行，位于实验室路由器后面。家庭网络在 AT&T 网关后面的完全不同的子网上运行。两个网络之间没有路由。即使攻击者完全控制了 T-Pot 虚拟机，他们也会被困在实验室网络上，无法访问任何家庭设备。 **层 2 — Docker 容器隔离** 每个欺骗服务都在其自己的隔离 Docker 容器中运行。如果攻击者突破了一个欺骗服务，他们会落在没有访问其他容器或宿主操作系统的容器中。进一步深入需要 Docker 容器逃逸，这是一种难度更大的攻击。 **层 3 — Proxmox 虚拟机隔离** T-Pot 作为虚拟机在 Proxmox 上运行。即使攻击者实现了容器逃逸，他们也只会落在 Debian VM 中，而不是物理机上。要到达硬件，需要在该之上实现完整的虚拟机管理程序逃逸。 **层 4 — 实验室网络无个人设备** 没有个人电脑、手机或其他设备连接到实验室路由器。实验室网络上的唯一设备是运行欺骗网络的 G6 Mini。即使攻击者进入了实验室网络，也无法访问其他任何东西。 **层 5 — 管理访问受限** T-Pot 网页界面、SSH 和 Kibana 从不暴露给公共互联网。这些管理端口只能从受密码保护的实验室 WiFi 网络或通过 Tailscale VPN 访达。互联网上的攻击者无法到达管理层。 综合效果是，即使在最坏的情况下，每个层都被完全突破，攻击者仍然会被隔离在 VM 上，该 VM 位于一个没有其他东西的网络中。 ## T-Pot 欺骗网络服务 T-Pot 是由 Telekom Security 开发的一个开源欺骗网络平台，它将 20 多个单独的欺骗服务捆绑到一个部署中。每个服务作为其自己的 Docker 容器运行，并模拟不同类型的易受攻击的系统或网络服务。当攻击者连接到一个端口时，T-Pot 会自动将他们路由到与他们的目标匹配的欺骗服务。攻击者认为他们找到了一个真实的系统，而他们采取的每个行动都会被默默地捕获并记录。 下表涵盖了在此欺骗网络上积极接收攻击者流量的 10 个欺骗服务。虽然 T-Pot 运行的服务比这里列出的要多，但这些是根据欺骗网络中的实时数据，攻击者实际攻击的服务。 | 欺骗服务 | 端口 | 协议 | 攻击类型 | 捕获内容 | |---|---|---|---|---| | **Cowrie** | 22, 23 | SSH / Telnet | 爆破，后渗透 | 模拟 Linux 服务器。接受登录并将攻击者放入一个假壳中。捕获每个键入的命令、尝试的凭证和尝试下载的恶意软件。 | | **Dionaea** | 3306, 445, 80 | MySQL / SMB / HTTP | 数据库勒索软件，恶意软件 | 捕获寻找暴露数据库的机器人，使用默认凭证进行身份验证，清除数据库并留下要求加密货币的勒索笔记。 | | **Sentrypeer** | 5060 | SIP / VoIP | VoIP 诈骗 | 模拟 VoIP 服务器。捕获劫持电话系统进行欺诈性国际通话的攻击者，这些通话费用由受害者支付。 | | **Honeytrap** | 所有端口 | TCP / UDP | 端口扫描，侦察 | 同时监听数千个端口。捕获不匹配更具体欺骗服务的内容，包括扫描、探测和原始漏洞利用尝试。 | | **Heralding** | 21, 3389, 5900, 25 | FTP / RDP / VNC / SMTP | 凭证填充 | 模拟多个登录服务。记录自动化机器人尝试的每个用户名和密码组合，这些机器人尝试通过 FTP、远程桌面、VNC 和电子邮件进行登录。 | | **Tanner** | 80, 443 | HTTP / HTTPS | 网络应用程序攻击 | 模拟易受攻击的网站。捕获 SQL 注入、文件包含、远程代码执行尝试和自动化漏洞扫描器。 | | **Ciscoasa** | 443 | HTTPS | Cisco 防火墙利用 | 模拟 Cisco ASA 防火墙。捕获针对已知 Cisco 漏洞的利用尝试。 | | **Adbhoney** | 5555 | ADB | 安卓设备攻击 | 模拟具有调试端口暴露的安卓设备。捕获尝试在安卓设备上安装恶意软件或加密货币矿工的攻击者。 | | **Redishoneypot** | 6379 | Redis | 数据库攻击 | 模拟暴露的 Redis 数据库。捕获尝试利用配置不当的 Redis 实例来访问服务器的攻击者。 | | **ElasticPot** | 9200 | HTTP | Elasticsearch 利用 | 模拟暴露的 Elasticsearch 数据库。捕获数据盗窃尝试和勒索笔记注入。 | ## 遇到的问题及解决方案 **T-Pot 容器重启后无法启动** 由于安装脚本在中间由于网络超时失败，T-Pot systemd 服务从未注册。解决方案是手动创建一个 systemd 服务文件并启用它，以便 T-Pot 在每次启动时自动启动。 **虚拟机重启后 DNS 故障** Tailscale 不断覆盖 DNS 配置文件，使用 Docker 无法使用的 IPv6 DNS 服务器，导致容器镜像拉取失败，出现 DNS 解析错误。解决方案是手动设置 Google DNS（8.8.8.8）并锁定文件，以便在重启时无法被覆盖。 **T-Pot 网页界面登录不工作** T-Pot 配置文件中的网页凭证条目为空或具有格式错误的编码字符串，导致初始化容器在每次启动时终止。解决方案是通过在编码之前删除尾随换行符来正确生成凭证，然后使用 Python 将值写入配置文件，以避免字符转义问题。 **欺骗网络没有互联网流量** 在设置实验室路由器 DMZ 之后，欺骗网络没有收到任何流量。AT&T 光纤网关在它们到达实验室路由器之前拦截了所有入站连接。解决方案是在 AT&T 网关上启用 IP 透传模式，以便所有入站流量直接通过到实验室路由器。 **虚拟机每次重启后都获得不同的 IP 地址** T-Pot 虚拟机使用 DHCP，因此每次重启都会收到不同的 IP 地址，破坏了路由器 DMZ 规则。解决方案是在虚拟机的网络接口配置文件中直接配置静态 IP。 **Proxmox 防火墙阻止虚拟机流量** 尽管 Proxmox 主机可以通信，但 T-Pot 虚拟机无法与实验室路由器通信。Proxmox 内置防火墙在虚拟机的网络接口上启用，并静默丢弃流量。解决方案是在 Proxmox 硬件设置中禁用虚拟机的网络设备的防火墙。 ## 每周威胁情报报告 这是一个持续的项目，旨在构建威胁狩猎和威胁情报分析的实战经验。每周，都会审查实时欺骗网络中的攻击数据，并选择最有趣的 IP 进行深入研究。这不仅仅限于攻击量最大的攻击者。有时，一个具有较低击中次数的 IP 也会被选中，因为其活动类型、背后的基础设施或 OSINT 发现使其从威胁情报的角度来看更有趣。 每个报告都涵盖威胁行为者画像、Spiderfoot 的 OSINT 发现、Kibana 攻击仪表板、MITRE ATT&CK 映射、入侵指标和分析师建议。随着时间的推移，这些报告将显示攻击模式如何演变，以及针对面向互联网系统的哪些活动正在进行。 所有每周报告都在 [weekly-reports](weekly-reports/) 文件夹中。 ### 报告索引 | 周 | 期间 | 报告 | |---|---|---| | 第 1 周 | 2026 年 5 月 29 日 – 5 月 31 日 | [WTIR-01-2026](weekly-reports/WTIR-01-2026.md) | ## 实验室环境 | 组件 | 详细信息 | |---|---| | 平台 | T-Pot 24.04.1 HIVE | | 硬件 | HP EliteDesk 800 G6 Mini | | 虚拟机管理程序 | Proxmox VE | | 虚拟机操作系统 | Debian 13 | | 实验室路由器 | TP-Link Archer BE3500 | | ISP | AT&T 光纤（IP 透传） | | 远程访问 | Tailscale VPN | | 部署日期 | 2026 年 5 月 29 日 | ## 作者 **Michael Mensah** [](https://github.com/KingMike77) [](https://linkedin.com/in/michael-mensah-cybersecurity)

标签：Docker, ESC4, OSINT, SSH 暴力破解, VoIP 欺诈, 代码示例, 凭证填充, 勒索软件, 威胁情报, 威胁趋势, 安全防御评估, 实时威胁情报, 密码管理, 开发者工具, 攻击数据收集, 攻击模式分析, 数据分析, 日志审计, 网络安全, 网络架构, 虚拟化, 蜜网, 误配置预防, 请求拦截, 越狱测试, 逆向工具, 隐私保护