【ハニーポットの検証】T-POT 18.11の使い勝手や収集できたものの違いなど

12月2日の日中からT-POT 18.11を稼働していますが、今のところ順調に動いていますね。運用を始めて2日半ほど経過しており、徐々にログがたまってきたので、少し公開したいと思います。

ハニーポットへの攻撃状況

12月2日～12月4日までの攻撃状況 

【ハニーポット毎の攻撃状況】

こちら、新画面ですね。

選択期間に受けた攻撃がハニーポット毎に数値で表示されるようになりました。

その下は、それを棒グラフにしたものですね。

一番下の折れ線グラフは、これまでもあったハニーポット毎の時間軸での攻撃状況です。

これを見ると、今まであまり目立たなかったMailoneyが結構な頻度で攻撃をうけていますね。ただ、タイムスタンプを見ると、4日の9時には終息しているようなので、突発的な攻撃だったのでしょうか。

新しく追加されたハニーポットとしては、Tannerが多めの攻撃を受けているのが分かりますね。

【UserName & Password】

こちら、UserNameとPasswordのTagcloudです。一見同じように見えるのですが、実は非常にありがたい更新がされています。
これまでは、CowrieのUserNameとPasswordやDionaeaのUserNameとPasswordといったように、ハニーポット毎にTagcloudが分かれていました。そのため、このブログでは、最も多いCowrieに限定して紹介していたのですが、それだとSSHとtelnetに対する攻撃しか紹介できていないという問題点がありました。

しかし、今回すべてのハニーポットのUserNameとPasswordを集約する機能がつきましたので、全ての攻撃で使われたUserNameとPasswordを簡単に収集することができます。

【UserNameのTOP10】

　

【PasswordのTOP10】

　

 一応、こんな感じで若干の違いが発生しますね。

まだ、ログが少ないのでこんなものですが、ログが増えたらどう変わるか、気になるところですね。

ダッシュボードの大きな変化とすると、こんなところでしょうか。

Cockpit

ここもT-POT 18.11で大きく変更になった部分です。

これまでのNetdataとWebTTYがなくなって、Cockpitに統合されました。

こんな感じでシステムの稼働状況を確認したり、ログやストレージの状況、ネットワークの状況なども確認することができます。

また、この画面からターミナルに接続することも可能です。

慣れないうちは戸惑いましたが、結構便利ですね。

ただ、ターミナルでコピペがうまくできない（右クリックメニューがうまく表示されない）ことがありますので、その点が若干不便ですね。