Kuldeep-Mishra00/Kuldeeps-tpot-repository
GitHub: Kuldeep-Mishra00/Kuldeeps-tpot-repository
在 Microsoft Azure 上部署 T-Pot 多蜜罐框架并利用 ELK Stack 进行威胁情报分析的项目,捕获并解析了超过 10 万次真实攻击事件。
Stars: 0 | Forks: 0
# 基于云的威胁情报与实时蜜罐部署 (T-Pot)
## 📌 项目验证档案
* 宿主机/运营者 ID:CyberKull(通过活跃的部署档案验证)
* 云平台:Microsoft Azure
* 目标环境 OS:Linux(Ubuntu Server 部署)
* 基础设施安全:启用了 Trusted Launch 与虚拟 TPM 执行
## 🚀 项目概述
本项目展示了企业级多蜜罐框架的实时云架构与部署,使用托管在实时 Microsoft Azure 虚拟实例上的 Telekom Security T-Pot(社区版)。核心目标是故意将未经加固的系统暴露于全球互联网流量中,捕获恶意遥测数据,记录行为向量,并使用集成的云原生 ELK Stack(Elasticsearch、Logstash、Kibana)pipeline 解析复杂的攻击者数据。
在单个部署窗口内,该蜜罐框架记录了海量的全网利用流量,成功记录了超过 100,000 次以上的总体安全事件,其中在连续的 24 小时窗口内捕获了多达 98,565 次不同的攻击。
## 🏗️ 基础设施与网络架构
1. 云资源配置:在 Microsoft Azure 上部署了一台名为 HoneyPot 的专用 container 宿主机 VM,并激活了 Trusted Launch 和 Secure Boot 架构,以处理并发的 pipeline 资源负载。
2. Network Security Group (NSG) 配置:配置了激进的 ingress 防火墙规则,允许跨越端口 1 - 65535 的所有入站流量。此举旨在最大化系统的攻击面以收集遥测数据,同时将管理控制层路由至安全的非标准管理端口。
## 📊 威胁情报与真实数据分析(Kibana 日志)
直接从 Elastic 分析索引中提取的数据突显了各种复杂的企业自动化扫描、字典凭证撞库活动以及协议利用尝试:
### 1. 攻击向量与 daemon 分类明细
* Honeytrap(39,000+ 次命中):在网络日志中占据主导地位;配置为捕获自动化端口扫描、侦察探测和低交互的原始协议篡改。
* RDPHoneypot(32,000+ 次命中):极高的目标优先级;拦截了大量主动寻找利用端口 3389 上远程桌面协议漏洞的暴力破解扫描。
* Cowrie(16,000+ 次命中):中交互蜜罐,用于记录持续的交互式 SSH/Telnet 终端劫持尝试和登录序列。
* Sentrypeer(10,000+ 次命中):捕获了持续存在的自动化 botnet 枚举 VoIP 和 SIP 电话中继的行为,以寻找开放配置泄漏。
* Dionaea(1,000+ 次命中):记录了明确意图传输恶意二进制文件或恶意软件投放器的高风险操作利用 payload。
### 2. 目标凭证分诊(暴力破解字典亮点)
* 热门用户名向量:自动化脚本绝大多数针对默认的管理员用户名 Administrator,紧随其后的是 root、admin、user 和 testuser 等其他默认名称。
* 热门密码向量:威胁行为者主要依赖于完全留空凭证字符串 *(blank)* 以捕获配置错误的系统,并辅以针对 123456、password、1234 和 root 等通用序列的大规模凭证撞库迭代。
### 3. 威胁行为者基础设施与来源信誉
* 大规模基础设施扫描器:排名前列的自动化攻击流量源自与大规模自治系统相关的网络提供商,包括 BlueVPS OU(20,864 次)、Google LLC(20,684 次)和 TechTies Inc.。
* 恶意地理位置映射:实时跟踪矩阵分析了跨多个地理位置流的威胁指标,分离出了具有攻击性的恶意 IP,例如 91.211.27.22(记录了 20,844 次攻击)、34.53.217.247 和 45.141.233.34。
* IP 信誉源:T-Pot 的内部关联索引自动查询了外部威胁情报库,将绝大部分入站连接直接归类为经过验证的已知攻击者(例如源 IP 45.198.224.18 和 204.76.203.51)。
## 📸 部署产物(工作证明)
### 🖥️ 1. Azure 基础设施运行状态
在 Microsoft Azure 控制台中验证 container 宿主机的部署与健康配置。

### 📊 2. 实时 Kibana T-Pot 仪表板 — 高级指标
可视化展示 10 万次以上的累计蜜罐攻击、直方图以及 daemon 命中分布。

### 👤 3. 攻击者凭证与自治系统档案
解析密码标签云、目标漏洞 CVE 频率以及热门恶意主机 ASN。

### 🗺️ 4. 实时攻击地图与攻击者 IP 日志
对实时基础设施命中情况进行地理映射,并结合实时的 IP 信誉跟踪。

## 🎯 关键要点与验证技能
* 云系统加固:Azure VM 计算资源配置、Network Security Group (NSG) 防火墙规则操纵以及公共 endpoint 暴露的实践经验。
* 威胁建模与侦察:深入了解现实世界中恶意行为者的自动化行为、常见的脚本字典矩阵以及活跃的端口扫描指标。
* SIEM 工程与分析:熟练掌握在 Elastic Stack 环境中解析实时 JSON 事件、构建可视化效果以及监控复杂的 SIEM 仪表板基础设施。
标签:CISA项目, ELK Stack, Microsoft Azure, 内容过滤, 威胁情报, 安全数据分析, 开发者工具, 蜜罐, 证书利用, 请求拦截, 越狱测试