close

‍‍


目錄









































一.介紹
二.系統架構
三.安裝
四.運行
五.日誌分析
六.思考
七.參考

一、介紹








































RiotPot是一個功能齊全的交互式蜜罐,主要專注於IOT和OT協議,同時也能夠模擬其他服務。

該蜜罐主要通過插件的形式加載到蜜罐中去,使RiotPot成為模塊化且非常便攜的蜜罐系統。運行的服務是在運行時候加載的,這意味着蜜罐即使能夠根據變化實時變化。

二、系統架構








































圖1-1系統架構

該架構包含六大部分(如圖1-1系統架構)

RIoTPot core:負責容器網絡配置、管理和編排所需模塊
Configuration & Orchestration:配置模塊在啟動時候為RIoTPot提供所需要的參數。這包括特定協議和配置文件模擬的用戶偏好以及所需的交互級別。

Attack Capture and Noise Filter:攻擊捕獲和過濾掉從互聯網範圍的搜索(如Shodan和Censys)接收到的可以流量。
Hybrid-Interaction (Low and High-Interaction modes) :RIotPot用Go語言實現,並通過包促進模塊化結構和開發。
Attack Database:攻擊數據庫存儲蜜罐收到的所有攻擊流量。

三、 安裝








































建議採用docker方式安裝
# riotpot/depoyments
$ docker-compose -p riotpot -f docker-compose.yml up -d --build #構建完成之後開啟蜜罐系統
Docker鏡像(如圖1-2 docker鏡像)
圖1-2 docker鏡像

TIPS:
1.docker-compose版本必須支持3.8版本
2.build/docker/Dockerfile、build/docker/Dockerfile.documentation文件中添加RUN go env -w GOPROXY=https://goproxy.io,direct

四、 運行








































開啟蜜罐
# riotpot/deployments
$ docker-compose up
關閉蜜罐
# riotpot/deployments
$ docker-compose down -v

運行界面(如圖1-3後端界面)
默認提供7中服務(httpd、echod、sshd、telnetd、mqttd、coapd、modbusd)
圖1-3後端界面

五、日誌分析








































RioTPot攻擊日誌主要存於PostgreSQL數據庫
httpd、telnetd攻擊payload(如圖1-4攻擊payload)
圖1-4攻擊payload

TIPS:
1.默認5432端口沒有映射出來,需要修改docker-compose.yml文件(ports: "5432:5432")

六、思考








































如何將市面上常見的物聯網設備以模擬方式放入RiotPot蜜罐中?
默認提供的服務以插件化方式開發,存放於plugin目錄下(如圖1-5服務插件)
圖1-5服務插件

各個服務對應各個服務接口,並將攻擊payload實時存儲於PostgreSQL數據庫中

優點:
1.服務採用插件化方式,魯棒性較強
2.可模擬諸多常見IOT協議

缺點
1.無法有效模擬真實設備,只能提供簡單服務
現有的框架下,攻擊payload都是現成開發好的模塊,無法模擬設備進程。如何對該框架進行二次開發,將設備模擬功能添加,感興趣的小夥伴可以思考下。

七、 參考








































https://github.com/aau-network-security/riotpot

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()