Sandhiya1022/cowrie-honeypot

# 🍯 Cowrie SSH/Telnet 蜜罐 — 威胁情报项目 一个全生命周期的蜜罐部署项目，旨在捕获、记录和分析针对标准网络端口（SSH、Telnet、HTTP、FTP）的真实暴力破解攻击和未经授权的访问尝试。 ## 📌 项目概述 | 项目 | 详情 | |------|--------| | **蜜罐** | Cowrie（交互式 SSH 和 Telnet） | | **平台** | Ubuntu Server | | **监控端口** | SSH (22 → 2222)，Telnet (23 → 2223) | | **日志格式** | JSON (cowrie.json) | | **分析** | Python + Matplotlib/Pandas 仪表板 | ## 🎯 主要成果 - 部署了交互式蜜罐基础设施，用于捕获、记录和分析针对标准网络端口（SSH、Telnet、HTTP、FTP）的真实暴力破解攻击和未经授权的访问尝试。 - 分析捕获的威胁情报，以识别攻击模式、提取恶意 payload，并追踪主要攻击者来源和技术。 - 监控针对易受攻击 Web 界面的模拟应用层攻击，捕获并分类利用尝试，例如 **Directory Traversal** 和 **Remote File Inclusion (RFI)**。 - 通过将原始 JSON 日志数据关联到可视化仪表板中，生成具有指导意义的安全报告，详细展示攻击频率、目标分布和会话交互情况。 ## ⚙️ 快速开始 ### 前置条件 - Ubuntu 20.04 / 22.04 服务器 - Root 或 sudo 权限 - Python 3.8+ ### 1. 克隆此代码库 ``` git clone https://github.com/YOUR_USERNAME/cowrie-honeypot.git cd cowrie-honeypot ``` ### 2. 运行安装脚本 ``` chmod +x scripts/setup.sh sudo bash scripts/setup.sh ``` ### 3. 应用防火墙规则 ``` chmod +x scripts/firewall_rules.sh sudo bash scripts/firewall_rules.sh ``` ### 4. 分析捕获的日志 ``` pip install -r requirements.txt python3 scripts/analyze_logs.py --log /home/cowrie/cowrie/var/log/cowrie/cowrie.json ``` ## 📊 示例发现 - **主要攻击源国家：** 中国、俄罗斯、美国、荷兰 - **最常尝试的用户名：** `root`、`admin`、`ubuntu`、`pi`、`user` - **最常尝试的密码：** `123456`、`password`、`admin`、`root`、`1234` - **攻击者登录后的常见命令：** `uname -a`、`cat /etc/passwd`、`wget`、`curl`、`chmod +x` - **观察到的 payload 类型：** Mirai 僵尸网络变种、挖矿木马、reverse shell ## 🛡️ 安全架构 ``` Internet (Attackers) │ ▼ port 22 / 23 [iptables PREROUTING] │ REDIRECT ▼ port 2222 / 2223 [Cowrie Honeypot] │ logs all activity ▼ [cowrie.json / cowrie.log] │ ▼ [Python Analysis Scripts] │ ▼ [Dashboard / Threat Report] Real SSH → port 22222 (admin access only) ``` ## 📁 日志字段参考 | 字段 | 描述 | |-------|-------------| | `eventid` | 事件类型（例如 `cowrie.login.failed`） | | `src_ip` | 攻击者的源 IP | | `username` | 尝试的用户名 | | `password` | 尝试的密码 | | `input` | 攻击者输入的命令 | | `session` | 唯一会话 ID | | `timestamp` | UTC 时间戳 | | `url` | 恶意软件下载 URL（如果有） | ## 📄 许可证 本项目仅供**教育和研究用途**。请勿在你不拥有或未获授权的网络上部署蜜罐。 ## 🙋 作者 **Sandhiya V** — SOC 见习分析师 | EC-Council CSA 候选人 网络安全爱好者 | SIEM | 威胁情报 | 事件响应

标签：Python, 威胁情报, 底层分析, 开发者工具, 无后门, 网络安全, 蜜罐, 证书利用, 逆向工具, 隐私保护