多协议蜜罐初体验 🐝

多协议蜜罐初体验 🐝

目标:快速搭建多协议蜜罐,记录攻击行为,入门蜜罐实践


🎯 实验目标

  • 搭建 TCP / HTTP / HTTPS / SSH / Telnet / FTP 的低交互蜜罐
  • 捕获和记录攻击输入
  • 了解异步架构 asyncio 的多协议处理方式
  • 学习 JSONL 格式日志记录与分析

🛠 环境准备

  • Python 3.11+ 🐍
  • 系统:Linux / Windows / macOS
  • 端口:非特权端口(避免 root)
bash 复制代码
python multi_protocol_honeypot.py --host 0.0.0.0 --log honeypot_sessions.jsonl --generate-cert

⚠️ --generate-cert 用于 HTTPS 自签名证书


📡 测试示例

TCP 测试

bash 复制代码
nc 127.0.0.1 9000
# 输入任意文本,观察回显 🔁

Telnet 测试

bash 复制代码
telnet 127.0.0.1 2323
# 登录 mini-shell,输入 whoami / exit

FTP 测试

bash 复制代码
ftp 127.0.0.1 2121
# USER test
# PASS 1234
# LIST / RETR filename
# QUIT

📄 日志示例

json 复制代码
{
  "session_id": "3f6e0d4a-1234-5678-9abc-abcdef123456",
  "protocol": "telnet",
  "remote_ip": "127.0.0.1",
  "remote_port": 50232,
  "login": "test",
  "password": "<captured>",
  "inputs": [
    {"ts": "2025-09-26T12:00:01+00:00", "input": "whoami"},
    {"ts": "2025-09-26T12:00:05+00:00", "input": "exit"}
  ],
  "raw_base64": "dGVzdF9sb2dpbgpwd2QK..."
}

✅ 每条会话包含:协议类型、远端 IP、输入记录、原始数据


📊 日志解析示例

python 复制代码
import json

with open("honeypot_sessions.jsonl") as f:
    for line in f:
        entry = json.loads(line)
        if entry["protocol"] == "telnet":
            print(entry["remote_ip"], entry["login"], len(entry["inputs"]))
  • 可以统计攻击来源 IP 🌍
  • 分析常用命令和密码尝试 🔑

🔚 总结

  • 低交互蜜罐易于部署
  • JSONL 格式便于批量分析
  • 适合入门攻击行为记录和日志分析

相关推荐
thinktik4 分钟前
AWS EKS 集成Load Balancer Controller 对外暴露互联网可访问API [AWS 中国宁夏区]
后端·kubernetes·aws
追逐时光者29 分钟前
将 EasySQLite 解决方案文件格式从 .sln 升级为更简洁的 .slnx
后端·.net
驰羽39 分钟前
[GO]GORM 常用 Tag 速查手册
开发语言·后端·golang
AntBlack1 小时前
虽迟但到 :盘一盘 SpringAI 现在发展得怎么样了?
后端·spring·openai
ss2732 小时前
手写Spring第4弹: Spring框架进化论:15年技术变迁:从XML配置到响应式编程的演进之路
xml·java·开发语言·后端·spring
舒一笑3 小时前
🚀 PandaCoder 2.0.0 - ES DSL Monitor & SQL Monitor 震撼发布!
后端·ai编程·intellij idea
Java中文社群3 小时前
服务器被攻击!原因竟然是他?真没想到...
java·后端
helloworddm4 小时前
Orleans 流系统握手机制时序图
后端·c#
开心-开心急了5 小时前
Flask入门教程——李辉 第三章 关键知识梳理
后端·python·flask
Code blocks5 小时前
GB28181视频服务wvp部署(一)
java·spring boot·后端