【ハニーポットの検証】T-POT 18.11の使い勝手や収集できたものの違いなど
12月2日の日中からT-POT 18.11を稼働していますが、今のところ順調に動いていますね。運用を始めて2日半ほど経過しており、徐々にログがたまってきたので、少し公開したいと思います。
ハニーポットへの攻撃状況
12月2日~12月4日までの攻撃状況
【ハニーポット毎の攻撃状況】
こちら、新画面ですね。
選択期間に受けた攻撃がハニーポット毎に数値で表示されるようになりました。
その下は、それを棒グラフにしたものですね。
一番下の折れ線グラフは、これまでもあったハニーポット毎の時間軸での攻撃状況です。
これを見ると、今まであまり目立たなかったMailoneyが結構な頻度で攻撃をうけていますね。ただ、タイムスタンプを見ると、4日の9時には終息しているようなので、突発的な攻撃だったのでしょうか。
新しく追加されたハニーポットとしては、Tannerが多めの攻撃を受けているのが分かりますね。
【UserName & Password】
こちら、UserNameとPasswordのTagcloudです。一見同じように見えるのですが、実は非常にありがたい更新がされています。
これまでは、CowrieのUserNameとPasswordやDionaeaのUserNameとPasswordといったように、ハニーポット毎にTagcloudが分かれていました。そのため、このブログでは、最も多いCowrieに限定して紹介していたのですが、それだとSSHとtelnetに対する攻撃しか紹介できていないという問題点がありました。
しかし、今回すべてのハニーポットのUserNameとPasswordを集約する機能がつきましたので、全ての攻撃で使われたUserNameとPasswordを簡単に収集することができます。
【UserNameのTOP10】
【PasswordのTOP10】
一応、こんな感じで若干の違いが発生しますね。
まだ、ログが少ないのでこんなものですが、ログが増えたらどう変わるか、気になるところですね。
ダッシュボードの大きな変化とすると、こんなところでしょうか。
Cockpit
ここもT-POT 18.11で大きく変更になった部分です。
これまでのNetdataとWebTTYがなくなって、Cockpitに統合されました。
こんな感じでシステムの稼働状況を確認したり、ログやストレージの状況、ネットワークの状況なども確認することができます。
また、この画面からターミナルに接続することも可能です。
慣れないうちは戸惑いましたが、結構便利ですね。
ただ、ターミナルでコピペがうまくできない(右クリックメニューがうまく表示されない)ことがありますので、その点が若干不便ですね。