ハニーポットについて
現在ハニーポットを運用していますが、ある程度どのハニーポットがどのような情報の収集に適しているのかをまとめておこうと思います。
有名どころをいくつか以下にまとめておきます。
各ハニーポットについて
- Dionaea
- 低対話型・サーバー型のハニーポット
- プロトコルは、FTP, MSSQL, MySQL, TFTP, SMB, そして今流行りのmemcachedなどをサポート
- もともとあったNepenthesというハニーポットの進化バージョン
- マルウェアの収集などには最適(私はこれが一番お気に入り)
- https://github.com/DinoTools/dionaea
- Cowrie
- 低対話型・サーバー型ハニーポット
- プロトコルは、SSH, SFTP, SCPなどをサポート(SSH専用のハニーポット)
- telnetに関してもいけます
- もともとあったKippoというハニーポットの進化バージョン
- SSHによる不正なログイン試行などを記録
- https://github.com/micheloosterhof/cowrie
- Glastopf
- 低対話型・サーバー型ハニーポット
- Webに特化したハニーポット
- SQL injectionなどWeb Applicationに対する攻撃を記録
- https://github.com/mushorg/glastopf
- honeytrap
- 低対話型・サーバー型ハニーポット
- TCPやUDPに対する攻撃を記録
- 攻撃者がサーバーなどに攻撃する際に行われる、初期段階の攻撃を観測
- https://github.com/tillmannw/honeytrap
- Conpot
- 低対話型・サーバー型ハニーポット
- ICS/SCADAに特化したハニーポット(個人的に興味がある)
- https://github.com/mushorg/conpot
まだまだ知識が乏しいので、現状こんな感じでしかまとめられていませんが、今後もう少し知識を増やして色々かけるようにしようと思います
また、現在運用しているT-PotはStandardの設定でインストールしたため、Conpotはインストールされていません。
なので、今年中にはConpotでの産業システムに対する攻撃観測などをおこなってみたいと考えています
今回はここまでということで。