Yatharth5002/serverless-honeypot

# Terraform Honeypot — AWS 上的自动化欺骗基础设施 ## 工作原理 1. **攻击者扫描**您的 AWS 基础设施 2. **GuardDuty** 标记该行为（T1595 — 主动扫描） 3. **EventBridge** 实时路由检测结果 4. **Lambda** 对攻击者进行指纹识别（IP、方法、时间） 5. **诱饵环境**部署到 S3 上并包含诱饵文件 6. **DynamoDB** 记录每个会话的详细信息 7. **SNS** 发送即时警报邮件 ## 架构 ``` flowchart LR A[Attacker] --> B[GuardDuty] B --> C[EventBridge] C --> D[Lambda — fingerprint + deploy] D --> E[DynamoDB — session log] D --> F[S3 — bait files] D --> G[SNS — alert email] ``` ## MITRE ATT&CK 映射 | 技术 | ID | 检测点 | |---|---|---| | 主动扫描 | T1595 | GuardDuty → EventBridge 触发 | | 钓鱼获取信息 | T1598 | S3 诱饵文件访问日志 | ## 部署 ``` terraform init terraform apply ``` 彻底销毁环境： ``` terraform destroy ``` ## 技术栈 - **IaC：** Terraform (HCL) - **运行时：** Python 3.x (Lambda) - **服务：** GuardDuty · EventBridge · Lambda · S3 · DynamoDB · SNS - **成本：** 低流量下约 $0/月（Lambda 免费套餐 + GuardDuty 试用） ## 安全与道德规范 本项目仅用于防御性研究和经授权的环境。请仅在您拥有或获得明确监控许可的基础设施中进行部署。 ## 作者 Aaditya Bhutra · [LinkedIn](https://linkedin.com/in/aaditya-bhutra) · [GitHub](https://github.com/aadityabhutra)

标签：AWS, BOF, DPI, ECS, Terraform, 安全, 密码管理, 欺骗防御, 蜜罐, 证书利用, 超时处理